Pagina principal Seguridad Después de la fuga masiva de Tumblr, es hora de hablar sobre phishing

Después de la fuga masiva de Tumblr, es hora de hablar sobre phishing

  • Joseph Goodman
  • 0
  • 1555
  • 84
Anuncio

Oh querido. Otra vez esto no. 68 millones de cuentas de Tumblr se han salpicado en la web oscura y se están vendiendo por el miserable precio de 0.452 bitcoins. Al momento de escribir, eso es alrededor de $ 240.

A primera vista, puede establecer un paralelismo entre esta fuga de datos y la fuga de LinkedIn de hace dos semanas Lo que necesita saber sobre la fuga masiva de cuentas de LinkedIn Lo que necesita saber sobre la fuga masiva de cuentas de LinkedIn Un pirata informático está vendiendo 117 millones de piratas informáticos Credenciales de LinkedIn en la web oscura por alrededor de $ 2,200 en Bitcoin. Kevin Shabazi, CEO y fundador de LogMeOnce, nos ayuda a comprender exactamente lo que está en riesgo. . En primer lugar, ambos conjuntos de datos son realmente antiguos; la violación de LinkedIn data de 2012, y la de Tumblr es de 2013. Ambos conjuntos de datos son enorme, y ambos fueron listados en la web oscura por la misma persona - Tranquilidad de espíritu.

Pero ahí es donde terminan las similitudes, porque aunque LinkedIn no aseguró sus contraseñas correctamente, las de Tumblr estaban protegidas con un cifrado SHA-1 (relativamente) fuerte. Esto significa que hay pocas posibilidades de que un atacante acceda a sus cuentas de Tumblr o recicle las combinaciones de inicio de sesión en otros servicios, como Facebook, PayPal o Twitter..

Sin embargo, hay un inconveniente. Un atacante que compra el vertedero ahora tiene una lista de 68 millones de cuentas de correo electrónico activas y verificadas.. Esto significa que cualquier usuario atrapado en él está en mayor riesgo de phishing y ataques basados ​​en correo electrónico..

Entonces, ¿qué aspecto tiene el phishing en 2016 y qué pasos puede tomar para protegerse??

El phishing no está pasado

Si no hubiera encontrado el informe de la placa base de Vice, podría ser perdonado por pensar que el phishing es una reliquia polvorienta de la década de 1990 y principios de 2000, que se remonta a la novela de Internet, y nadie sabía realmente cómo funcionan las cosas. Seguramente, usted argumenta, ya nadie se enamora de los correos electrónicos de phishing.

Las estadísticas no estarían de acuerdo. En primer lugar, los correos electrónicos de phishing todavía se envían en números improbablemente grandes. Según SecureList, propiedad de Kaspersky, los correos electrónicos de phishing y spam representaron el 54,2% de todos los correos electrónicos enviados en el tercer trimestre de 2015. Esta fue una ligera caída respecto al trimestre anterior, pero sigue siendo una cantidad notable de mensajes.

Q3 2015, el porcentaje de #spam en el tráfico de correo electrónico representó el 54.2% #KLreport #infosec https://t.co/nKGjX6CH3N pic.twitter.com/Sxs0wM7my7

- Kaspersky Lab (@kaspersky) 12 de noviembre de 2015

La mayor fuente de correos electrónicos de phishing es Estados Unidos, seguido de cerca por Vietnam, China y Rusia. Curiosamente, el país con la mayoría de los usuarios afectados por el phishing es Brasil, seguido de Japón, China y Vietnam. Ni los Estados Unidos, ni ningún otro país desarrollado y occidental, para el caso, se encuentran entre los diez primeros..

Pero si bien la tasa general de correos electrónicos maliciosos y spam ha disminuido ligeramente, la cantidad de correos electrónicos de phishing se ha disparado. Según Symantec, la proporción de correos electrónicos de phishing aumentó en enero de 2015 de uno de cada 1.517 correos electrónicos, a uno de cada 1.004.

Anti-Spam se está volviendo más inteligente, pero también lo son los correos electrónicos de phishing

En los años 1990 y 2000, el software antispam era poco sofisticado y apenas adecuado para su propósito. Muchos programas hicieron poco además de buscar palabras clave, como 'viagra', y desechar cualquier correo electrónico que las contuviera. Los spammers y los phishers los rodearon al escribir mal las palabras que estaban en la lista de palabras clave. Entonces, 'viagra' se convirtió en 'v1agra', que luego se convirtió en 'v1agr4' y luego 'v1a8r4'. Tienes la idea.

Algunos se volvieron aún más creativos y comenzaron a ocultar las palabras entre imágenes y tablas de colores especiales..

El resultado final fue que los usuarios estaban siendo literalmente inundado con spam y ataques de phishing. Pero eso cambió hacia el final de la década de 2000, cuando el antispam finalmente se volvió inteligente. Las computadoras más rápidas significaban que los servicios de correo electrónico en línea, como Gmail y Outlook, podían hacer cálculos complicados en tiempo real, lo que determinaba si un correo electrónico se enviaría a la bandeja de entrada del usuario o a la carpeta de correo no deseado..

En lugar de solo buscar palabras clave, los filtros de spam comenzaron a analizar cosas como el origen del mensaje de correo electrónico y el comportamiento de otros usuarios a correos electrónicos de naturaleza similar..

Los spammers no se han rendido. De hecho, de acuerdo con Securelist, se están volviendo aún más inteligentes, y cada vez es más difícil detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing ¡Atrapar un correo electrónico de phishing es difícil! Los estafadores se hacen pasar por PayPal o Amazon, tratando de robar su contraseña y la información de su tarjeta de crédito, su engaño es casi perfecto. Le mostramos cómo detectar el fraude.. .

Una de las cosas que Securelist señaló en su informe es que los spammers a menudo adoptan un enfoque estacional para el spam y el phishing. Durante el verano, notó que la cantidad de correos electrónicos de phishing con un tema de viaje se disparó.

“En julio, los estafadores intentaron engañar a los usuarios enviando notificaciones falsas en nombre de los hoteles. El mensaje agradeció a los destinatarios por quedarse en su hotel y les pidió que vieran la factura adjunta. El archivo adjunto en realidad contenía Trojan-Downloader.Win32.Upatre.dhwi, que a su vez descargó y ejecutó Trojan-Banker.Win32.Dyre (visto como 98. ***. **. 39 / cv17.rar) haciendo clic en los enlaces escrito en el cuerpo del descargador.”

Una táctica utilizada para omitir los programas antispam es colocar todo en un archivo PDF, que luego el usuario abriría. Esto es efectivo porque es notablemente difícil 'leer' mediante programación un archivo PDF.

phishing PDF
hXXp: //dgreenwell.chytrak.cz/Label.html pic.twitter.com/eJl2RmImcJ

- JaromirHorejsi (@JaromirHorejsi) 18 de enero de 2016

Cuando los filtros antispam se adaptaron a este truco, los spammers comenzaron a usar objetos de mediabox en archivos PDF adjuntos, elementos en documentos PDF que se abren con un clic del mouse. Se pueden usar para redirigir al usuario a sitios web de phishing.

Un trampolín de phishing: incrusta redirecciones en documentos PDF http://t.co/E7lPSiB4q5 pic.twitter.com/BU97TpD1TK

- Mohtashim Nomani (@ mohtashim712) 18 de septiembre de 2015

Este juego de gato y ratón no muestra signos de finalización, con un claro ganador. De hecho, la guerra podría estar intensificándose.

Los servicios legítimos personalizan sus correos electrónicos, pero también lo hacen los atacantes

Para proteger a sus usuarios de los correos electrónicos de phishing, los servicios en línea, especialmente los servicios bancarios en línea, se han acostumbrado a personalizar sus correos electrónicos con un pequeño 'token' que es exclusivo del usuario. Uno de los bancos que uso incluye los últimos tres dígitos de mi número de cuenta en toda la correspondencia electrónica. Otro pone los primeros tres caracteres de mi código postal en la parte superior de todos los correos electrónicos.

Esto es algo que siempre debes buscar.

Curiosamente, los atacantes también han comenzado a personalizar sus correos electrónicos para que sean más efectivos. Una cosa que he notado es que algunos correos electrónicos de phishing han comenzado a tomar la primera parte de una dirección de correo electrónico (todo antes de la '@') y ponerla en el saludo. Mi correo electrónico de trabajo es '[email protected]', por lo que estos correos electrónicos comenzarán con 'Queridos mhughes'.

Mensajería de texto: la próxima frontera del phishing

Cada vez más, los servicios en línea que utilizamos están siendo vinculados con nuestros dispositivos móviles. Algunos servicios solicitan su número de teléfono para configurar la autenticación de dos factores ¿Qué es la autenticación de dos factores y por qué debe usarla? ¿Qué es la autenticación de dos factores y por qué debe usarla? La autenticación de dos factores (2FA) es Un método de seguridad que requiere dos formas diferentes de demostrar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con tarjeta de crédito no solo requiere la tarjeta, ... Otros lo solicitan para compartir información con usted..

Los sitios no protegen los números móviles en la forma en que hacen las contraseñas. La razón de esto es cuando hash-and-salt una contraseña Cada sitio web seguro hace esto con su contraseña Cada sitio web seguro hace esto con su contraseña ¿Alguna vez se ha preguntado cómo los sitios web mantienen su contraseña a salvo de violaciones de datos? , se vuelve imposible de leer. Para que los sitios envíen mensajes o llamen a un número, deben mantenerlo desprotegido.

Este hecho, junto con servicios de mensajería de texto extremadamente baratos (completamente legítimos) como Twilio, Nexmo y Plivo, (de los que las personas desconfían menos), significa que los atacantes se apoyan cada vez más en los SMS como un vector de ataque.

Este tipo de ataque tiene un nombre: smishing, mientras que el phishing de voz se llama vishing Nuevas técnicas de phishing para tener en cuenta: Vishing y Smishing Nuevas técnicas de phishing para tener en cuenta: Vishing y Smishing Vishing y smishing son nuevas variantes de phishing peligrosas. ¿Qué deberías estar buscando? ¿Cómo sabrás un intento de vishing o smishing cuando llegue? ¿Y es probable que seas un objetivo?? .

Ser sospechoso

Si no sabes si estás en el basurero de Tumblr, puedes averiguarlo yendo a Troy Hunt's Have I Been Pwned.

Si es así, es una buena idea restablecer sus contraseñas y configurar la autenticación de dos factores en todas sus cuentas. Pero mas importante, deberías subir tu medidor de sospecha a las once. No tengo dudas de que los usuarios afectados verán un aumento en los correos electrónicos no deseados y de phishing en las próximas semanas. Se verán convincentes. Para mantenerse seguros, los usuarios de Tumblr deben comenzar a tratar cualquier correo electrónico entrante con una buena dosis de escepticismo..

¿Has quedado atrapado en la fuga? ¿Recibiste correos electrónicos sospechosos? Déjame saber abajo en los comentarios.

Créditos de las fotos: mapa de bits de tabla HTML (Niels Heidenreich)




Nadie ha comentado sobre este artículo todavía.

Cómo construir un mapa mental en Microsoft PowerPoint
Productividad
3 trucos útiles de selección de texto para Microsoft Word que debes saber
Productividad
Solo necesita 5 carpetas para mantener Inbox Zero para correos electrónicos
Productividad
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.