Categoría: Seguridad

Phising (24-09-06)

Abrimos los intentos de phising de esta semana con uno que me llega supuestamente de La Caixa. Dice asi:

Estimados clientes,

Nuestro banco regularmente perfecciona tecnologias para defender la información privada de nuestros clientes en la Red.

Ayer presentamos nuevas enmiendas en el sistema de seguridad del banco.

Como resultado muchas cuentas bancarias quedaron no activadas.
Para activarlas es necesario entrar en su cuenta por Internet.
Su cuenta estará activada automáticamente.
Simplemente haga clic aqui y entre en su cuenta.

Presentamos nuestras excusas por las incomodidades.

Caja de Ahorros y Pensiones de Barcelona Av. Diagonal, 621-629 08028 Barcelona NIF G.58.89999/8.
© Copyright «la Caixa», Barcelona 2006. Todos los derechos reservados.

Ese «haga clic aqui, envía el enlace a una dirección lacaixa.ru, que desde luego no es propiedad de La Caixa, aparte de que ninguna entidad bancaria enviaría un correo así a ninguno de sus clientes.
A la basura!

Múltiples vulnerabilidades en Apple Mac OS X AirPort

Lo cuentan hoy en Hispasec:
Se han encontrado múltiples vulnerabilidades en Apple Mac OS X que pueden ser aprovechadas por atacantes para comprometer un sistema vulnerable o provocar una denegación de servicio.

El primer fallo se debe a un desbordamiento de pila en el controlador wireless AirPort a la hora de manejar marcos mal formados. Esto puede ser aprovechado por un atacante cercano para ejecutar código arbitrario con privilegios de system.

El segundo fallo se debe a un desbordamiento de heap en el controlador wireless AirPort a la hora de procesar escaneo de actualizaciones en caché. Esto puede ser aprovechado por un atacante cercano para provocar una denegación de servicio o comprometer el sistema.

El tercer fallo se da también en el controlador wireless Airport, en las API para software de terceros. Esto puede ser aprovechado por un atacante cercano para ejecutar código con los privilegios del usuario ejecutando el software vulnerable.

Los productos afectados son:

Apple Mac OS X 10.3.9
Apple Mac OS X Server 10.3.9
Apple Mac OS X 10.4.7
Apple Mac OS X Server 10.4.7

Actualizaciones:
AirPort Upgrade 2006-001:
Security Upgrade 2006-005 (10.3.9)
Security Upgrade 2006-005 (10.4.7 PPC)
Security Upgrade 2006-005 (10.4.7 Universal)

Nueva versión de Firefox, Thunderbird y SeaMonkey corrige varias vulnerabilidades

Mozilla ha publicado una nueva actualización para Mozilla Firefox que soluciona siete problemas de seguridad. Cuatro están calificadas como críticas, dos como de moderado y una como de bajo peligro. Thunderbird y SeaMonkey también se ven afectados por las siguientes vulnerabilidades, según la clasificación MFSA (Mozilla Foundation Security Advisory).

MFSA 2006-57: Soluciona un problema de corrupción de heap a través de expresiones regulares en javascript. Es posible hacer que el motor de la expresión regular lea más allá del final de la memoria intermedia, provocando que la aplicación deje de funcionar.

MFSA 2006-58: Soluciona un fallo por el que se podría comprometer el mecanismo de actualización automática si el usuario acepta certificados no fiables.

MFSA 2006-59: Soluciona varios fallos de concurrencia que derivaban en problemas de corrupción de memoria que podrían ser potencialmente utilizados para ejecutar código arbitrario en el sistema.

MFSA 2006-60: Falsificación de firma RSA. Los clientes Mozilla contienen algunas Autoridades Certificadoras que tienen firmas RSA de exponente 3, que se han descubierto vulnerables a un ataque de falsificación por el que firmas inválidas no serían detectadas.

MFSA 2006-61: Soluciona una forma por la que se puede inyectar contenido dentro de un subframe de otra página utilizando
targetWindow.frames[n].document.open(). Esto haría que el contenido de un atacante pareciese legítimo en la página.

MFSA 2006-62: Cross site scripting a través del bloqueador de ventanas emergentes. No supone una amenaza seria. La página del atacante debería encuadrarse en otra página, abrir una ventana emergente y que el usuario la abriese.

MFSA 2006-63: Afecta sólo a Thunderbird. Si un mensaje HTML que contiene una imagen remota apuntando a script XBL es abierto, un atacante podría ejecutar javascript aunque estuviese deshabilitado.

MFSA 2006-64: Soluciona varios problemas de estabilidad que derivaban en problemas de corrupción de memoria que podrían ser potencialmente utilizados para ejecutar código arbitrario en el sistema.

Estos problemas de seguridad están solucionados en la versión 1.5.0.7 de Firefox y Thunderbird y la 1.0.5 de SeaMonkey, y pueden actualizarse desde mozilla.org o a través de las actualizaciones automáticas.

Via Hispasec

23 detenidos por fraude en la Red

A raiz de un comentario de Emilio, me entero de que hay 23 detenidos por fraude en la Red.

Se trata de un grupo que obtenía datos bancarios de los clientes gracias a técnicas phising, y con ellos hacían transferencias sin consentimiento a cuentas externas.

De vez en cuando está bien que les metan mano a esta gentuza, aunque me temo que por cada 4 que meten en vereda, salen una docena.

Revista Insecure, nº 8


La revista Insecure publica este mes su número 8.
Los temas de este mes son:
* Payment Card Industry demystified
* Skype: how safe is it?
* Computer forensics vs. electronic evidence
* Review: Acunetix Web Vulnerability Scanner 4.0
* SSH port forwarding – security from two perspectives, part two
* Log management in PCI compliance
* Airscanner vulnerability summary: Windows Mobile security software fails the test
* Proactive protection: a panacea for viruses?
* Introducing the MySQL Sandbox
* Continuous protection of enterprise data: a comprehensive approach

Como en sus números anteriores, se puede descargar gratuitamente desde aqui.

Intento de estafa

He recibido un correo que tiene todas las pintas de tratarse de una estafa. Un poco de investigación en Google y los resultados indican que es asi. Hay mas gente que lo ha recibido y sospechan lo mismo.
El correo dice asi:

Buenos dmas M (me),
soy el Sr. Mr. LUC BANNY administrando del establecimiento IVOIRESHOPPING basada en AFRICA. ?Deseo hacer pedidos semanales con ustedes, pero mis preocupaciones son saber si disponen de un terminal de exaccion para Tarjetas Bancarias (VISA y MASTERCARD) en sus locales de tipo TPE o TPV? Por eso aprovecharse para saber si pueden efectuar la entrega por uno de los siguientes transportistas: , FEDEX OU CHRONOPOST. A la espera de una consecuencia favorable de su parte, reciben mis mejores saludos.

Cordialmente.

Contacto: Sr. Mr LUC BANNY
Direccion: Avenue 2 Rue 44 Treichville
Codigo Postal: 01 Bp 6231 Abidjan 01
Ciudad: Abidjan
Pais:Cote D’ivoire
Telefono: 00225 06490049

La traducción debe estar hecha con algún cutre-programa, puesto que a pesar de entenderse, deja mucho que desear. Y el hecho de que cuente con una cuenta de Yahoo Francia, en lugar de una corporativa, indica las intenciones de este señor Luc Banny.
Para nuestra colección.

Falsos avisos de virus por correo, que son peor que los virus

Hoy he recibido un correo que hacía mucho que no lo recibía, y encima por partida doble, es decir ha habido 2 personas que han pensado que me podía interesar.
El correo decía así:

POR FAVOR, HACER CIRCULAR ESTE AVISO ENTRE AMIGOS, FAMILIA,Y CONTACTOS!!
En los próximos días, deben estar atentos: No abran ningún mensaje con un archivo anexo llamado «Invitación», independientemente de quien se lo envíe. Es un virus que «abre» una antorcha olímpica que «quema» todo el disco duro C de la computadora. Este virus vendrá de una persona conocida que te tenia en su lista de direcciones. Es por eso que debes enviar este mail a todos tus contactos. Es preferible recibir 25 veces este mensaje que recibir el virus y abrirlo. Si recibes el correo
llamado «Invitación», aunque sea enviado por un amigo, no lo abras y apaga tu maquina inmediatamente. Es el peor virus anunciado por CNN. Un nuevo virus ha sido descubierto recientemente que ha sido clasificado por Microsoft como el virus mas destructivo que haya existido . Este virus fue descubierto ayer por la tarde por McAfee. Y no hay arreglo aun para esta clase de virus. Este virus destruye simplemente el Sector Zero del Disco Duro, donde la información vital de su función es guardada.
ENVIA ESTE E-MAIL A QUIENES CONOZCAS. COPIA ESTE CORREO A UNO NUEVO Y MANDALO A TODOS TUS AMIGOS Y RECUERDA: SI LO ENVIAS A ELLOS, NOS BENEFICIAS A TODOS

Dudo mucho de la existencia de este virus, y mas de la coletilla «ha sido clasificado por Microsoft como el virus mas destructivo que haya existido». El aviso en sí es un virus, al hacerme perder unos minutos en su lectura y mas en su propagación, si es que me decido a hacerlo. Es sabido que el principal culpable de la difusión de los virus es el propio ser humano que provoca los contagios por hacer lo que no debe, y una de los cosas que no se debería hacer, es difundir estas cosas.

El que ha empezado la cadena (hace años, seguramente), se debe estar tronchando de risa al ver cuantos «pican». Hay cosas mas importantes que hacer.

Fallo de seguridad en Second Life

La compañía propietaria de Second Life, un mundo virtual que crece rápidamente y en el que cientos de miles de personas realizan todo tipo de actividades a diario a través de Internet, ha revelado que se ha producido una filtración de información personal de sus usuarios, unos 650.000 en la actualidad.

En una correo enviado a todos los miembros de la comunidad, Linden Lab (compañía responsable de este universo virtual) ha admitido que su base de datos de clientes, que incluye nombres reales, direcciones, contraseñas y algunos datos de las tarjetas de crédito que estaban cifrados, había resultado comprometida. Por ello, se ha pedido a todos los usuarios (o residentes, según la jerga de Second Life) que cambien sus claves de acceso.

Copiado y pegado de Periodistadigital.com

Truquillo barato para evitar el spam en los blogs

Leo en este blog, un curioso truco, que aparentemente funciona, y que puede servir para evitar la incesante llegada de SPAM en los comentarios a los blogs.

No parece muy complicado de implementar. Por lo menos funcionará hasta que la nueva generación de Spammer se lo aprenda y lo salte.

Via Mangas Verdes.

Phising (08-09-06)

El intento de phising de hoy lleva como reclamo al Banco Santander.

Me llega asi:

Normas de Seguridad (Aviso)

Estimado cliente,

Entramos en contacto con Ud.para informarle que en fecha 08/09/2006 nuestro equipo de revision de cuentas identifica cierta actividad inusual en su cuenta, que ha sido verificada por nosotros, hallando todas las operaciones aceptables. Hemos realizado un escueto informe sobre todos los movimientos habidos en su cuenta el mes pasado.

——————————————————————————–
Compruebe, por favor, este informe pulsando en acoplamiento inferior:

https://gruposantander.es /bog /sbi

Servicio De Santander Central Hispano
——————————————————————————–
Esta notificaci?n de Santander fue enviada a *****@camyna.com . Por favor no responda a este correo electr?nico, esto es un correo automatizado solo para notificaciones.

© Santander Central Hispano, 2006. Todos los derechos reservados

Ya no cometen errores garrafales como antes, aunque alguna falta ortográfica sigue habiendo. El enlace es un engaño, porque no lleva a esa dirección que pone, en realidad lo hace a una del dominio johnsbaylobsters, que si se visita es una, aparentemente, página de venta de marisco.
¿Será todo una tapadera?, es probable. Lo que es seguro es que se trata de un engaño manifiesto.