Este nuevo ataque phishing permite bypassear 2FA

Desde hace unos años los dobles factores de autenticación nos han ayudado a proteger nuestra identidad digital de una forma rápida y sencilla. A pesar de la dura capa de seguridad que resultan ser los 2FA unos expertos han demostrado que no son completamente infalibles y es posible engañar a una víctima para que revele sus credenciales e incluso facilite su código OTP. Este ataque se demostró por primera vez en la conferencia Hack in the Box que tuvo lugar en pasado mes en Ámsterdam. El video de la demostración fue publicado en YouTube y busca resaltar el hecho de los ciberdelincuentes son cada vez mejores rompiendo las capas extra de seguridad a pesar de que usemos herramientas como 2FA.

El hack empleado en la demo para romper 2FA utiliza una combinación de dos potentes herramientas llamadas Muraena y NecroBrowser, las cuales trabajan en tándem para automatizar el ataque. La combinación de estas dos herramientas trabaja a la perfección ya que una realiza el ataque y la otra realiza un seguimiento de la sesión de la víctima. Muraena es la herramienta encargada de capturar el tráfico entre la víctima y el sitio web actuando como un proxy. Una vez que Muraena lleva a la víctima hasta una página falsa (de aspecto similar a la auténtica) solicitará a los usuarios sus credenciales y el código OTP, al igual que lo haría la página original. En cuanto Muraena ha autenticado la cookie de la sesión comienza el trabajo de NecroBrowser, una herramienta capaz de crear ventanas para mantener el seguimiento de miles de cuentas.

Figura 1: Demostración del ataque en la conferencia Hack in the Box

Su autor también ha publicado en GitHub una demostración del ataque para que otros desarrolladores puedan analizar cómo funciona detalladamente. Varios expertos en el ámbito de la ciberseguridad han asegurado que estas herramientas facilitan mucho el trabajo a los atacantes “amateur”. También han querido resaltar que no hay razones para perder la confianza en los dobles factores de autenticación o en la biometría ya que dificultan mucho el trabajo de los atacantes y son una mejor alternativa que utilizar únicamente un usuario y una contraseña. Independientemente del método que escojas para proteger tus cuentas desde Seguridad Apple queremos recordarte la importancia de una rápida actuación si sospechas que alguna de tus cuentas puede haberse visto comprometida.

Toca hacer la declaración de hacienda: Temporada de Phishing

Se acerca la época de pagar tasas y de realizar las declaraciones de la renta en EEUU y como es un clásico también las estafas relacionadas con las mismas. Durante el mes de febrero ya se realizaron más de 300.000 intentos de estafas phishing al día y ahora que se aproxima el fin del plazo para realizar los pagos este número va en incremento ya que durante las últimas dos semanas de plazo cerca del 20-25% de los estadounidenses realizan su declaración. Microsoft es consciente de este problema y ha aprovechado para advertir a sus usuarios de los peligros de realizar estos trámites a última hora y ha facilitado una serie consejos con los que evitar incurrir en estafas.

Las contraseñas no son suficiente: No confiéis vuestra seguridad a una simple contraseña, utilizad un doble factor de autenticación siempre que sea posible. Con el doble factor de autenticación será necesario introducir un código temporal o usar biometría aparte de la contraseña, haciendo que sea mucho más difícil acceder vuestra cuenta, Además Microsoft ofrece su app Authenticator (aunque podeis utilizar otras alternativas, como Latch), con la que podréis gestionar el inicio de sesión en vuestros dispositivos, incluyendo productos de Apple.

Se cuidadoso con el e-mail: Microsoft recomienda no fiarse de ningún link sospechoso que recibamos por email, sobre todo cuando sea un correo que no esperamos, también es recomendable analizar el remitente antes de descargar ningún archivo contenido en el email. A la hora de realizar todas las gestiones es de vital importancia asegurarse de hacerlo a través de la página oficial accediendo a ella directamente desde el navegador.

Figura 1: Estafa phishing basada en devolución de renta

Se aún más cuidadoso con los archivos adjuntos: Los archivos adjuntos son buenos lugares para esconder malwares con los que obtener tu información personal. Este es uno de los métodos más utilizados por los criminales debido a su eficacia, por la red circulan numerosos archivos PDF de aspecto inocuo pero que incorporan malwares con los que se obtienen los credenciales de las personas que los descargan.

Mantén tu Software actualizado: Mantener tu software actualizado es de vital importancia, ya que en las actualizaciones se incluyen varios parches de seguridad y con ellas se arreglan algunas vulnerabilidades que pueden resultar críticas.

Nueva campaña de Phishing con Seguridad Nacional como objetivo

Una nueva campaña de ciberespionaje ha tomado como objetivo la Seguridad Nacional y a instituciones académicas de EEUU, se cree que esta operación está siendo llevada a cabo por un grupo de hackers provenientes de Corea del norte. Como en otros casos, el ataque ha utilizado la técnica del spear phishing que consiste en el envió de e-mails que contienen nuevos malwares como BabyShark. Se sabe que esta nueva campaña comenzó a lo largo de noviembre y fue descubierta a comienzos de año, por el momento parece seguir estando activa.

Los e-mails en cuestión están diseñados para parecer enviado por un experto en seguridad que trabaja de consultor en seguridad nacional y que aborda varios temas importantes de seguridad incluyendo el tema nuclear. Mientras que gran parte del contenido de estos e-mails es publicidad que se puede encontrar en internet, los atacantes también utilizan contenido que no es público, algo que sugiere que esta campaña de phishing ya se ha cobrado alguna victima con acceso a documentos importantes. Como en la mayoría de los ataques phishing la campaña se centra en engañar a los usuarios para que activen los macros y así dejen actual a algunos malwares como BabyShark, un malware que al comunicarse con un servidor de control obtiene la clave para mantener su acceso a la red.

Figura 1: Esquema de funcionamiento de BabyShark

Un reciente análisis realizado a BabyShark ha revelado su conexión con otras campañas de hacking norcoreano como la de KimJongRAT, con la que se cree que comparte una base de datos en la que se almacena un gran volumen de información recogida por ambos malware. Por el momento se cree que BabyShark es otro malware norcoreano que forma parte de una campaña de hacking en la que los objetivos han sido especialmente seleccionados por la información confidencial y delicada con la que tratan.

Scams con los que debes que tener cuidado este noviembre

Octubre se fue y los disfraces de Halloween no son lo único que puede darnos un susto en estas fechas, los cibercriminales no descansan e intentarán hacerse con tus datos, tu dinero o trataran de robarte la idea de tu disfraz. A continuación os haremos un breve recorrido por algunas de las estafas más habituales durante esta época del año y os daremos algún que otro consejo para evitar caer en ellas.

Recuperar cuenta de Apple:

Este es una de las estafas más habituales desde hace años, pero sigue siendo una de las que más víctimas se cobran. La estafa consiste en un correo urgente que suplanta a Apple y te alerta de que tu cuenta ha sido bloqueada, además te ofrece un link que te redirige a un formulario que deberás rellenar con varios de tus datos personales. La mejor forma de no caer en esta estafa es realizar siempre todos los trámites desde la página oficial de Apple.

Scam de la caridad:

No hay nada peor que la gente con malas intenciones que se aprovecha de las desgracias de los demás. Tras desastres como el del Huracán Katrina algunos estafadores realizan campañas suplantando organizaciones que recogen donativos para ayudar a la gente. Antes de realizar cualquier donación comprueba que la organización con la que vas a tratar es de confianza y que está dada de alta por el sistema regulador del estado.

Figura 1: Estafas a la caridad

Descarga de falsas App para Android: 

Recientemente se han descubierto una serie de campañas que se aprovechan de los mensajes SMS para cometer estafas. Una de ellas consiste en enviar un SMS en el que se ofrece un link con el que descargar una app de mensajería de voz gratuita, si intentamos descargarla facilitaras a los atacantes la ID de tu dispositivo, la marca, modelo versión de OS, tu dirección IP e incluso el tipo de conexión que utilizas. Según McAfee ya se han detectado más de 5000 víctimas desde el mes de marzo.

Estafas de inversión: 

Desde la aparición de las criptomonedas estas se han convertido en objetivo de estafas, muchos usuarios intentan usar las criptomonedas para hacer dinero rápido y pueden acabar perdiendo miles de dólares. Una de las estafas más comunes es la creación de una falsa criptomoneda que aparenta ser muy prometedora animando a muchos usuarios a invertir en ella antes de que salga al mercado.

Figura 2: Se han realizado estafas a través de Crypto Shield

Con el historial de los vehículos:

En la actualidad comprar o vender un coche no resulta sencillo debido a la cantidad de papeleo que el proceso supone. Durante el último año se ha hecho popular una estafa que consiste en solicitar el historial del vehículo a través de una página web especializada para ello. Los estafadores pasan un link que suplanta una de estas páginas y que tiene un coste de 20 $ por realizar los trámites, después de pagar e introducir toda tu información personal el comprador interesado desaparece y tus 20 $ con él.

Fue Noticia en seguridad Apple: del 7 al 19 de mayo

Con el verano a la vuelta de la esquina en Seguridad Apple seguimos trabajando para traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 7 avisándoos de la posible llegada de un nuevo jailbreak para las últimas versiones de iOS 11.2 y 11.3.

El martes 8 os contamos cómo Apple sigue oponiéndose a realizar un Backdoor en sus productos para facilitar los trabajos de investigación del FBI y otras organizaciones gubernamentales tras el reporte de la RGS. 

El miércoles 9 os alertamos del descubrimiento de un nuevo Scam que está afectando directamente a la Fiscalía General del estado de Mississippi. 

El jueves 10 os hablamos del debate que ha surgido en torno al Face ID en el que se habla acerca de su grado de velocidad y seguridad a la hora de autenticar a un usuario.

El sábado 12 os hablamos de Black Dot, el nuevo Bug Unicode capaz de bloquear tanto dispositivos Android como dispositivos iOS.

El domingo cerramos la semana contándoos como activar y desactivar el sonido de carga en cualquier MacBook con macOS 10.10.3 o versiones posteriores. 

El lunes 14 os hablamos de las razones por las que Apple ha decidido eliminar algunas de las aplicaciones de su App Store dos semanas antes de la llegada del nuevo Reglamento General de Proteccion de Datos. 

El martes 15 os contamos como eliminar dispositivos obsoletos de vuestra aplicación de Find my iPhone de una manera definitiva.

El miércoles 16 os alertamos de una nueva campaña de Phishing que se aprovecha del revuelo creado por las nuevas políticas de la GDPR.

El jueves 17 os hablamos de las razones por las cuales el Security Update 2018-001 ocupa tanto espacio.

El viernes 18 os avisamos de la llegada de la tercera sesión de la segunda temporada de Code Talks for Devs que abordará el tema del Air Profiling con una interesante prueba de concepto.

Finalmente, ayer sábado, y como cada sábado, nuestro artículo referente a las historias más increíbles del mundo Apple. En esta ocasión le llega el turno al Apple II by Commodore, una situación que casi llega a ocurrir. Interesante historia que os recomendamos que leáis.

Sin más, os citamos de nuevo dentro de dos semanas con un nuevo resumen de la actualidad en el mundo Apple, las cuales vienen cargadas de actualidad y novedades. Disfrutad de la primavera y seguid leyéndonos diariamente para estar informado de la actualidad en el mundo de la manzana mordida. 

Un phishing para robar los Apple ID aprovechando el revuelo de la GDPR

Hoy traemos una nueva campaña de phishing dirigida a usuarios de Apple, la cual intenta engañar a las víctimas para que actualicen sus perfiles bajo la apariencia de ser parte de una preparación proactiva de seguridad para la introducción de la GDPR o políticas de Regulación General de Protección de Datos, las cuales entrarán en vigor el 25 de mayo de este año. El objetivo es convencer a las víctimas para que revelen las credenciales de la cuenta de Apple a fin de recopilar información personal, incluida la tarjeta de crédito. Esta estafa es una de las muchas que aprovechan la inminente introducción de la GDPR en la Unión Europea. 

La estafa se detectó el 30 de abril, utiliznado la técnica de la ingeniería social y el envío de emails. La amenaza fue detectada por investigadores de Trend Micro. El correo electrónico que las víctimas reciben se hace pasar por un correo legítimo de Apple. En el correo se indica que la cuenta de Apple ha sido limitada debido a una actividad inusual y les insta a actualizar sus detalles de pago a través de un enlace. Al final el usuario acaba en un sitio web no legítimo y que parece ser Apple, pero no lo es. 

Figura 1: Sitio web de Apple no legítimo

Los ciberdelincuentes utilizan cualquier tipo de noticia o evento para llevar a cabo un engaño en la web. En este caso es la GDPR la que proporciona la "excusa" perfecta para hacer que los usuarios accedan a sus serivicios de Apple. Es un buen gancho ya que todo el mundo habla ahora mismo de la GDPR en la Unión Europea. Parece que la amenaza del phishing ha sido neutralizada, pero hay que estar con todos los sentidos bien abiertos. Estaremos atentos desde Seguridad Apple a otros posibles casos que salgan en los próximos días.

iCloud y el iPhone un negocio redondo para el mercado negro

Según un estudio, los kits de Phishing se hacen con gran cantidad de dispositivos iPhone en el mercado negro. Los estadounidenses comienzan a preocuparse más y más por este tipo de delito cibernético, los investigadores advierten a los usuarios que sean cautelosos, ya que los iPhone robados son tan valiosos que pueden llegar a costar 2100 dólares en algunos países. Un estudio descubrió que a los estadounidenses les preocupa que los delincuentes roben su información personal y su identidad. Una investigación de Trend Micro sugiere que a los estadounidenses priorizan sus miedos en este hecho.

Sin embargo, los malos no están interesados en obtener solo un teléfono caro, si no que tienen una estafa elaborada que hace que el dueño del teléfono anterior "voluntariamente" renuncie a toda la información necesaria para que no bloquee el teléfono y, además, de acceso a los delincuentes a su cuenta de iCloud. Los investigadores descubrieron una elaborada red de kits de estafas de phishing, vendedores en el mercado negro y herramientas utilizadas para revender los dispositivos en todo el mundo. Solamente el año pasado se robaron 23.000 dispositivos en el Aeropuerto Internacional de Miami y la demanda de estos dispositivos es asombrosa, ya que los iPhone antiguos robados se llegaron a vender en países de Europa del Este por 2100 dólares.

Figura 1: Phishing de iCloud

Los delincuentes están robando los teléfonos, esperando que las víctimas activen los servicios de Find My iPhone y luego envíen un correo electrónico de phishing diseñado para suplantar una notificación de Apple que le solicita a la víctima que inicie sesión en sus cuentas de iCloud. Los ladrones utilizan la información para, posteriormente, desbloquear el dispositivo robado para que pueda ser reutilizado y revendido. Los investigadores descubrieron que los ladrones, a menudo, contratan servicios de phishing de terceros para desblqouear los dispositivos y que estaban utilizando herramientas como MagicApp, AppleKit y Find My iPhone para automatizar el desbloqueo de iCloud. Sin duda, un negocio bien planificado y organizado por los delincuentes.

¡Alerta! Nueva oleada de ataques de phishing a usuarios de iPhone

Desde hace un tiempo el Phishing es uno de los métodos más utilizados y efectivos para la exfiltración de datos. La gran popularidad adquirida por los productos de Apple ha convertido a la marca de la manzana en uno de los principales objetivos de este tipo de ataques. Por lo general, hacer click sobre un e-mail que te pide que verifiques tu usuario y contraseña es una mala idea. Es muy sencillo construir una página web que parezca autentica y después utilizarla para adquirir información y credenciales, algunas de estas páginas están tan elaboradas que resulta difícil para los expertos en IT mas entrenados notar la diferencia entre una página legítima y una fraudulenta.

Según un usuario de Reddit, esta nueva campaña de Phishing está afectando a cientos de personas. En este caso la estafa se centra en los usuarios de iPhone. El método utilizado es el mismo que en casos anteriores, solo que más enfocado hacia iOS. El asunto del mensaje suele llevar frases como “Recordatorio: Hemos actualizado nuestras políticas de actualizaciones” combinado con un falso número de referencia, para poder pasar los filtros de spam. A continuación le sigue un mensaje que solicita que introduzcas tu usuario y contraseña con el fin de verificar la información de tu cuenta.

Figura 1: Mensaje fraudulento

Si pinchamos en el link del correo seremos redirigidos a una página falsa que almacenará nuestras credenciales cuando las introduzcamos. Sin duda es una estafa, para prevenir caer en estos fraudes Apple nos recomienda que siempre que debamos hacer alguna gestión en nuestras cuentas accedamos desde su página oficial, ya que su servicio técnico no se pondrá en contacto con nosotros a no ser que  lo hayamos solicitado previamente.

Los mensajes del sistema de iOS son fácilmente suplantados para realizar ataques de phishing

Hoy en día los ataques Phishing se han convertido en uno de los métodos más eficaces para la exfiltración de datos. Recientemente el desarrollador Felix Krause detectó otro método poco conocido entre los usuarios de Apple para la realización de este tipo de ataques. En este caso se aprovecha la facilidad para suplantar los mensajes emergentes del sistema operativo iOS. Al iniciar una aplicación infectada saltaría un pop-up pidiéndonos que introduzcamos nuestros credenciales de Apple, “es sorprendentemente fácil replicar un mensaje del sistema” afirmó Krause.

Felix decidió no publicar el código de su prueba de concepto porque sería demasiado fácil aprovecharse de él “son menos de 30 líneas de código, y cualquier ingeniero de iOS será capaz de construir su propio código de phishing”. Es habitual que el sistema iOS  solicite que introduzcas los credenciales de tu Apple ID para acceder a la tienda de iTunes y a muchas otras áreas del sistema operativo como algunas aplicaciones. Al solicitar los credenciales frecuentemente muchos usuarios no sospecharían que están siendo engañados. Esta situación podría ser fácilmente explotada por algunas aplicaciones con fines maliciosos, hasta los usuarios cuyos conocimientos en seguridad  son elevados podrían pasar un mal rato al no detectar un ataque de este tipo.

Figura 1: Ejemplo de phishing a través de un Pop-Up.

Para protegerse de estos ataques cuyo objetivo son los dispositivos móviles, Krause recomendó a los usuarios pulsar el botón del menú para ver si la aplicación se cierra y con ella el mensaje, en caso de suceder esto podríamos confirmar que se trata de un ataque phishing. Para evitar caer en este tipo de ataques es recomendable no introducir nuestros credenciales en los pop-ups e introducir los credenciales únicamente en la sección de ajustes. Krause también avisó que en el caso de introducir la contraseña y luego pulsar cancelar los dígitos escritos en el campo de la contraseña quedan registrados. Sin duda esta no es la primera vez que se ve un ataque de este tipo, durante el pasado año el desarrollador Jake Mor público un post en el que se detallaba como unos atacantes podrían robar credenciales de Apple ID e iCloud con aplicaciones señuelo que a través de una API descubren la dirección de e-mail asociada a la cuenta del usuario.

Según los expertos de la Black Hat el Phishing es el mejor método de exfiltración de datos

Seguro que alguna vez te has preguntado cual es el camino más fácil que tienen los ciberdelincuentes para robar tus datos. Bien, según algunos de los mejores expertos en ciberseguridad el mejor método para hacerlo es el Phishing. Este ha sido el resultado del estudio realizado por Bitglass sobre la seguridad en un entorno empresarial publicado el pasado martes. Para la realización del estudio Bitglass encuestó a 129 hackers de la White Hat y Black Hat que acudieron a la conferencia Black Hat de 2017 celebrada en Las Vegas.

En Seguridad Apple ya os hemos hablado antes del Phishing, pero para los que no estén familiarizados con este término, Phishing se refiere a un tipo de ataque en el que los atacantes envían emails fraudulentos suplantando a una empresa que parecen una forma legítima de ponerse en contacto con ellos para solucionar un problema de seguridad o con tu cuenta. El objetivo del ataque es adquirir información personal o sensible de los usuarios (cuentas, contraseñas, datos bancarios…). El 59% de los encuestados afirmaron que el Phishing es el mejor método para exfiltrar o robar este tipo de datos. La razón de ello, según un artículo de la prensa (en el que se anunciaba la publicación del estudio) es que los ciberdelincuentes siempre serán capaces de explotar los errores cometidos por los humanos o su ignorancia. El segundo mejor método según los encuestados es el malware o ransomware.

“El Phishing y el malware son estafas que se hacen más potentes cuando llegan a la nube ya que los empleados suelen usarla para compartir información corporativa” dijo Mike Schuricht, vicepresidente de dirección de productos en Bitglass.

Figura 1: Mejores metodos de exfiltración de datos.

Otro tema que quisieron resaltar los encuestados fue la deficiente seguridad que ofrece la protección de dispositivos por medio del uso de contraseñas, reconocimiento facial y controles de acceso. De hecho el reconocimiento facial resulta ser hasta 6 veces menos seguro que el uso del lector de huellas, algo que puede ser una mala noticia para Apple y el nuevo iPhone X. A parte del reporte, los expertos identificaron algunas áreas de la seguridad que comúnmente se pasan por alto en las empresas. Según ellos el mayor punto ciego en la seguridad de una empresa se encuentra en los dispositivos no administrados, las aplicaciones y programas obsoletos, dispositivos móviles, datos almacenados en la nube y en una incorrecta gestión de servicios.

Nueva oleada de estafas con usuarios de Apple como objetivo

A pesar de que la mayoría de ataques vayan dirigidos a sistemas Windows y Android los usuarios de Apple no deben bajar la guardia. No es la primera vez que desde Seguridad Apple os avisamos de lo peligrosas que son algunas de estas estafas. Las estafas de Phishing tratan de convencer y engañar al usuario para que este facilite sus datos y contraseñas a través de una dirección de correo o una página web engañosa. En este caso alguien supuestamente del servicio de soporte de Apple contacta contigo (normalmente vía e-mail) para avisarte de que tu Apple ID ha sido hackeada. Estos estafadores hacen creer a las víctimas que pueden tener serias consecuencias si no arreglan el problema de inmediato.

La principal pista para ver que un mensaje de este tipo no proviene de Apple es fijarse en la información que te piden, si se te pregunta por usuario, contraseña, número de la tarjeta de crédito, número de la seguridad social o alguna otra información personal ignóralo ya que son datos que Apple nunca solicita. Al facilitar estos datos a los estafadores ellos pueden acceder fácilmente a la información que tengas guardada en los servidores de Apple (desde e-mails hasta compras en iTunes). Estos ataques pueden derivar en un robo de identidad o de otras cuentas, ya que muchas personas utilizan las mismas contraseñas para todo. La mejor manera de prevenir una estafa de este tipo es conocer como funcionan, a continuación os daremos una serie de consejos para no caer en este tipo de trampas.

Figura 1: Correo que suplanta a Apple.

La mejor forma para detectar un fraude, como ya hemos mencionado antes, es fijarse en si los correos o mensajes nos piden introducir información personal o bancaria, ya que Apple nunca solicita este tipo de información.

Recibir una llamada, mensaje o e-mail sin razón alguna es síntoma de que algo no va bien. Apple envía e-mails a sus usuarios únicamente cuando introducen sus credenciales en un nuevo dispositivo y los agentes de soporte de Apple no contactarán contigo a no ser que sea para responderte una consulta que hayas efectuado previamente.

Si recibes un mensaje cuyo origen parece extraño o que te avise de las consecuencias perjudiciales que pueda tener no hacer algo de inmediato (como entrar en un link o cambiar tu contraseña) no le hagas caso.

Por último, es importante notificar a Apple cuando sospechemos que están intentando estafarnos, esto lo podremos hacer desde su página oficial, al igual que cualquier otra gestión de nuestra cuenta, desde cambiar la contraseña hasta activar un segundo factor de autenticación, algo que es muy recomendable y que puede paliar los daños causados por un robo de credenciales.

Phishing: Compraste canciones de Rihanna y Madonna y no lo sabías

Los ciberdelincuentes tampoco descansan en verano. Esta es la conclusión que se obtiene al ver el último phishing contra Apple aprovechando también la imagen de la cantante Rihanna. La campaña de phishing se detectó por el equipo de ESET en latinoamérica. El objetivo del phishing no deja de ser el de siempre, robar las credenciales de la cuenta de los usuarios de Apple, es decir, el Apple ID. El gancho no es más que un correo electrónico en el que se hace creer al usuario que ha comprado una canción de Rihanna desde iTunes. Si te llega un correo de este tipo, antes de nada, pregúntate, ¿Compré una canción de Rihanna? ¿Me están intentando robar el Apple ID? 

Los delincuentes han pensado que lo mejor es utilizar el nombre de una celebridad como Rihanna para lograr captar la atención de los usuarios de iTunes. Estadísticamente, según ha informado ESET, es probable que una gran parte de los que recibieron el correo electrónico hayan escuchado, descargado o comprado alguna de las canciones de la artista norteamericana. Como se ve en la imagen de los compañeros de ESET, también se utiliza la figura de Madonna para intentar engañar al usuario. En otras palabras, este tipo de estafa podría utilizar el nombre de cualqiuer artista famosa que venda en iTunes.

Figura 1: Correo electrónico falso de Apple. Fuente

Cuando el usuario pincha sobre el enlace para cancelar la supuesta compra, se le redirije a un nuevo sitio web que parece el login del Apple ID, pero que es falso. Además, se puede ver que el certificado del sitio al que se accede no está validado, por lo que no se puede verificar que estemos conectados a Apple realmente. Al final, en el proceso de estafa y de verificación del Apple ID se solicita información bancaria. Es un proceso de estafa común y que alberga posibilidades de funcionar en muchos casos, por lo que hay que estar atentos y no caer en la trampa.

OSX/Dok: Un nuevo malware portado de Windows que roba credenciales bancarias

Un nuevo malware existe para los equipos Mac, el cual roba las credenciales bancarias de los usuarios. Se transmite a través de un ataque de phishing y es capaz de robar credenciales de cuentas bancarias. El malware llamado OSX/Dok y fue descubierto por investigadores de Check Point Security. El malware refleja los sitios web de algunos de los principales bancos del mundo para robar dinero a sus usuarios. La propagación se ha llevado a cabo a través de ataques de phishing, por lo que es fácil que muchos usuarios queden infectados en sus equipos. 

Los investigadores han comentado que el malware es difícil de detectar, ya que es capaz de evitar las medidas de seguridad de los equipos Apple y espiar las comunicaciones de la víctima. Check Point indicó que han visto un reciente aumento en el malware en los sistemas Mac. Esto es algo que hemos ido indicando semanas atrás. Los delincuentes están comprando decenas de certificados de Apple para firmar el paquete de aplicaciones y evitar, de este modo, a GateKeeper. Tan pronto como Apple revoca uno de los certificados, los delincuentes cambian a otro, con nuevos certificados que, prácticamente, se utilizan a diario.

Figura 1: Check Point. Una de las páginas falsas del banco

¿Cómo funciona todo esto? Las víctimas llegan a sitios web falsos que se hacen pasar por bancos importantes. Los sitios falsos le indican a la víctima que instalen una aplicación en sus dispositivos móviles, loq ue podría potenciar a nuevas infecciones y fugas de datos del dispositivo móvil. Una vez que el malware se ha instalado en el dispsoitivo, se descarga el navegador de Tor y comienza a comunicarse con los servidores C&C controlados por los delincuentes. Se registra la ubicación del dispositivo infectado y se personaliza la página bancaria falsa dependiendo de la ubicación de la víctima. 

El malware pide a las víctimas que inicie sesión en la página bancaria falsa con sus credenciales y también le pide su número de teléfono para configurar la autenticación por SMS. Desafortunadamente, OSX/Dok aún está suelto y sus propietarios continúan invirtiendo cada vez más en su ofuscación utilizando certificados legítimos de Apple. El malware ha sido portado desde Windows, lo cual indica, también, una nueva tendencia.

Warning: El Sheriff del Condado de Berkeley alerta de Phishing de Apple

Recientemente se han vuelto a reportar estafas mediante phishing para obtener Apple ID, en esta ocasión de los residentes del condado de Berkeley. La oficina del Sheriff del condado de Berkeley publicó en su sitio web de Facebook que recientemente han recibido llamadas de usuarios alertando de la recepción de mensajes de correos electrónicos sospechosos. Estos correos habrían sido recibidos por parte de los residentes de dicho condado solicitándoles información sobre su Apple ID. Como ya hemos visto en otras ocasiones, el Apple ID es un elemento jugoso que aporta mucho juego a los estafadores.

En estos correos electrónicos, los cuales parecen auténticos, se puede ver un sitio web que parece legítimo y que indica que el Apple ID de su usuario ha sido utilizado por una persona cualquiera, en cada correo electrónico la persona va cambiando, para activar otro dispositivo. Se indica al usuario que el Apple ID se ha comprometido y que debe ser restablecido. Se le solicita que haga clic en el enlace que se le ha pasado. Cuando la víctima hace clic en el enlace e introduce las credenciales verá que el proceso de restablecer contraseña no funciona, pero ya se han regalado las credenciales.

Figura 1: Ejemplos en el Facebook de la Polícia de Berkeley

La polícia del condado de Berkeley alertó a sus vecinos y al resto del mundo a través de su sitio web , mostrando ejemplos de a que se enfrentaban, para que sus ciudadanos no hicieran caso y no cayeran este tipo de estafas. Nunca confíe en emails que parezcan venir de Apple y le soliciten datos sensibles sobre su cuenta o su Apple ID. Apple nos proporciona un sitio web dónde poder ver ante que situaciones nos enfrentamos, cómo detectarlas y cómo combatirlas.

Warning: Campaña de phishing en Alemania para robarte el Apple ID

Hoy, de nuevo, traemos una alerta sobre campañas de phishing relacionadas con la marca de Cupertino, con Apple. Los ciberdelincuentes siguen tratando de acceder a las cuentas de iCloud, ya sea por llamada telefónica o por mensaje de texto. Se intenta dirigir a los usuarios a páginas de inicio falsas y están allí para introducir sus datos. En el instante que el usuario introduce el Apple ID, éste es arrebatado por el delincuente, por lo que podría ser utilizado si no tiene un método de segundo factor de autenticación. En esta ocasión, la ola de ataques de phishing está ocurriendo en Alemania. De diferentes formas, los delincuentes tratan de hacerse con las contraseñas y otros datos relacionados con la cuenta de iCloud.

El modus operandi está siendo el envío de un SMS a la víctima en el que se indica que su cuenta de iCloud ha sido utilizada por un tercero. Se indica al usuario que si no es él el que ha utilizado la cuenta, debe cambiar la contraseña. Por supuesto, el vínculo o enlace que se envía llega a un sitio falso de inicio de sesión de iCloud. En este instante, el usuario está a merced del delincuente. Si el usuario introduce sus datos en el sitio web, estará regalando dicha información a los delincuentes que, a posteriori, podrá utilizar dicha información.

Figura 1: Fake de Apple ID

También, se está utilizando la técnica de informar al usuario que su iPhone perdido ha sido localizado y que debe acceder con sus credenciales al sitio del Apple ID, lo cual es totalmente falso. Como se ve hay distintas formas de llamar la atención de un usuario para robarle la información valiosa de su cuenta de Apple. Cada vez que recibas un correo electrónico, un SMS o similar, debes desconfiar por defecto y no hacer clic en enlaces contenidos en los mismos. Lo mejor es introducir las direcciones a mano, como en el caso de appleid.apple.com. De esta forma, nos ahorraremos muchos sobresaltos.

Homografía en los navegadores: Ésta no es la página de Apple que estabas buscando

Si normalmente usas Chrome, Firefox u Opera para visitar páginas web deberíais tener cuidado debido a una vulnerabilidad capaz de engañar hasta a los usuarios más listos para que confíen en páginas no legítimas. En estas páginas es común que se nos solicite descargar algún software malicioso camuflado en un programa que podría sernos útil o ingresar nuestros credenciales o datos bancarios. El Phishing se ha convertido en una práctica habitual entre los ciberdelincuentes y desde Seguridad Apple os recordamos la importancia de los dobles factores de autenticación ya que en casos de robo de credenciales los atacantes no podran entrar en nuestras cuentas.

La vulnerabilidad mencionada anteriormente - que no es nueva y se conoce desde hace ya unos años - se basa en la forma en la que los navegadores más utilizados muestran algunos caracteres extraños en su barra de direcciones. Hasta que Google lanzó su versión 58 hace unos días Chrome mostraba en su barra de direcciones  "https://www.apple.com". cuando la dirección introducida era "https://www.xn--80ak6aa92e.com", lo mismo sucedía en Firefox y Opera. Como la imagen que os mostramos a continuación muestra, la página no guarda ninguna relación con Apple. Si este dominio fuera registrado por un atacante podría replicar la página oficial de Apple y usarlo para promover software malicioso o engañar a los visitantes para divulgar sus credenciales o información comprometida.

Figura 1: Como se muestra el dominio https://www.xn--80ak6aa92e.com en los navegadores.

Xudong Zhen, desarrollador de aplicaciones web y diseñador de la página de Apple ha explicado cómo es esto posible:

“Punycode hace posible registrar dominios que contienen caracteres extraños, funciona convirtiendo los dominios con este tipo de caracteres en otros con un formato alternativo que solo utiliza caracteres similares a los que aparecen en la tabla ASCII. 

Desde la perspectiva de la seguridad, los dominios con Unycode pueden resultar bastante problemáticos porque algunos de los caracteres que usan son muy difíciles de distinguir de los de la tabla ASCII, como es el caso de la Cyrillic "а", la cual es casi idéntica a la a de la tabla ASCII dando lugar a posibles ataques homográficos. 

Por desgracia para los usuarios de Chrome, Firefox y Opera los mecanismos de estos navegadores para prevenir estos ataques fallan si cada carácter es replicado por uno de un lenguaje raro. Visualmente los dos dominios son indistinguibles debido a la fuente usada por Chrome y Firefox haciendo imposible identificar si se trata de un sitio fraudulento con un análisis a simple vista.”

Figura 2: Barra de busqueda al introducir el dominio https://www.xn--80ak6aa92e.com .

Para prevenir estos ataques se recomienda a los usuarios de Chrome que instalen la versión 58 lo antes posible, los usuarios de Firefox también podrán prevenir este tipo de ataques poniendo “about:config” en su barra de búsqueda e ignorando la advertencia de seguridad, tras hacer esto deberán buscar "punycode" en el apartado de búsqueda y hacer doble clic donde pone "network.IDN_show_punycode" hasta que el valor false cambie a true. Esto hará que las URLs que busquemos aparezcan en su lenguaje original haciendo más fácil la identificación de páginas fraudulentas.

Apple te dice cómo identificar y reportar sobre phishing y otros engaños

Apple tiene disponible para todos los usuarios un sitio web dónde puedes encontrar información sobre cómo identificar y reportar tanto phishing como mensajes sospechosos que te lleguen. El enfoque del sitio pretende proteger a los usuarios de Apple de posibles intentos de robos del Apple ID. Además, Apple indica que si crees que tu Apple ID ha sido comprometido visites el sitio web del Apple ID para poder restablecer y cambiar la contraseña de tu cuenta. El uso del 2FA es casi obligatorio y Apple ha lanzado una campaña llamativa para todos sus usuarios desde iOS 10.3 con el objetivo de incrementar de forma notoria el uso del segundo factor.

Sin duda, una gran iniciativa de Apple aportar este tipo de soluciones para sus usuarios. Es recomendable que te pases por el sitio y veas qué cosas debes tener en cuenta y, sobretodo, cómo evitar las estafas y los robos de identidad. A continuación os comentamos una serie de medidas que debemos tener en cuenta para evitar las estafas:

• Utilización del 2FA para el Apple ID.
• Utilización de contraseñas seguras.
• Verifica la correcta conexión de tu navegador con icloud.
• No hacer clic en ningún botón o enlace sin asegurarte de la dirección URL.
• Si no estás seguro del origen de una ventana emergente, no interactúes.
• Confirma siempre la identidad de la persona que te llame antes de dar ningún dato, puede que se hagan pasar por personal de Apple.
• No abrir, ni guardar, archivos adjuntos en correos supuestamente de Apple.

Figura 1: Cómo identificar un intento de suplantación

Apple también tiene un sitio dónde encontrar la ayuda del soporte técnico, ya que en algunos casos, éstos pueden ser más complejos o surgir dudas en el usuario. En estas fiestas y durante el resto del año pon atención en la interacción que hace Apple o los estafadores que utilizan la marca para intentar robar tu identidad.

Warning: La llamada falsa de Apple sobre iCloud

Las estafas con elementos de Apple siguen estando a la orden del día. Si recibes una llamada de "Apple" sobre una vulnerabilidad en iCloud no hagas caso. Hoy tenemos el caso de una persona cuya esposa le hizo saber que Apple Support había llamado para indicarles sobre la seguridad de iCloud. Lógicamente, no era Apple. Los estafadores trataban de aprovechar los informes sobre los millones de potenciales cuentas vulneradas que existen comprometidas. Apple dice que no se ha producido ningún incidente en iCloud que haya producido este hecho, por lo que al parecer dicha información viene de incidentes con terceros.

Lo que hay que tener en cuenta es que Apple no te llamará si no lo has solicitado. En este caso, la víctima recibió una llamada de Apple sin haberla solicitado. Nunca Apple te llamará, además, sin que haya un ser humano detrás, la llamada estaba automatizada. Apple señala esto en su sitio web de consejos sobre el phishing: "Si recibe una llamada no solicitada de alguien que afirma ser de Apple, cuelgue y póngase en contacto directamente con nosotros". La llamada usaba una voz sintetizada, además, bastante mala. Una llamada automatizada de una empresa de esta magnitud debería tener, al menos, calidad.

Figura 1: Consejos de Apple sobre el phishing

La víctima se dio cuenta de que el número al que estaban llamando no lo daban nunca. Era una línea casera que utilizan como respaldo y solo para llamadas salientes. La víctima verificó los números de teléfono que proporcionó a Apple a través de las cuentas del Apple ID y al que llamaban no se encontraban aquí. El mensaje recibido en la llamada ofrecía un número 855 y no proporcionaba una dirección web de Apple. El mensaje ofrecía ponerse en contacto con un asesor de apoyo y esto no es como Apple llama a su personal. 

Al final se puede ver y entender que este tipo de amenazas existen más y más cada día y que los estafadores buscan diferentes formas de conseguir su objetivo. Por suerte, la víctima se dio cuenta de diversos detalles que hacen que no confiara y denunciara este tipo de práctica. Es importante denunciar este tipo de prácticas, ya que ayudan a que otras personas no caigan en este tipo de ataques.

Fue noticia en Seguridad Apple: del 27 de marzo al 9 de abril

Ya es abril y como es habitual en Seguridad Apple os traemos un nuevo Fue Noticia, la sección en la que hacemos una breve recapitulación de las noticias más relevantes del mundo de la seguridad informática ocurridas durante las últimas dos semanas. A continuación os ofrecemos un resumen de estas noticias aderezadas con los mejores contenidos publicados en otros sitios de referencia.

Comenzamos el lunes 27 os recomendamos comprobar vuestros credenciales de Apple, ya que más de 600 millones de cuentas  podrían estar comprometidas.

El martes, os contamos en qué consisten las nuevas actualizaciones iOS 10.3, macOS 10.12.4 y WatchOS 3.2 , aparte de hablaros del Security Update 2017-001.

El miércoles 29 os avisamos de que los scammers se aprovechan de los usuarios que visualizan pornografía en iOS.

El día 30 os contamos cual ha sido la respuesta de Apple sobre su situación frente a las fugas de Vault 7.

El viernes 31 os hablamos de la liberación de iCloud para Windows 6.2, actualización que ha llegado con el fin de parchear algunas vulnerabilidades de su anterior versión.

El sábado 1 os advertimos de que los ataques phishing a usuarios de Apple continúan y os contamos  en que ha consistido el último de ellos.


El domingo 2 os presentamos LiberTV el nuevo jailbreak para Apple TV de cuarta generación, el cual es una adaptación del trabajo realizado por Luca Todesco con Yalu.

El lunes 3 os hablamos de que Apple ha publicado una actualización de la guía de seguridad en iOS 10.

El martes os avisamos de la actualización de iOS 10.3.1, una actualización de urgencia ya que arregla diversos errores y problemas de seguridad.

El miércoles 5 os recordamos que ya está aquí la tercera temporada de Eleven Paths Talks y os invitamos a que os registréis para el webcast y podáis seguir de cerca esta temporada la cual aborda muchos temas interesantes y de actualidad.

El jueves os advertimos de que el malware Pegasus para iOS ha "mutado" y ahora es capaz de infectar dispositivos con sistema Android.

El viernes 7 os hablamos sobre la necesidad de un nuevo estándar en los registros médicos electrónicos, lo que podría generar una guerra entre Apple y Microsoft.

Por último, ayer sábado hablamos sobre como el malware en Mac cada vez está más presente y las formas de protegerse de él no nos valdrán en un futuro. Tenemos que cambiar la mentalidad y las protecciones para mejorar la seguridad.

Desde Seguridad Apple os deseamos una feliz semana santa y como es costumbre estaremos al tanto de las noticias durante las próximas semanas para poderos traer el mejor contenido en la próxima entrega de nuestro Fue noticia en Seguridad Apple.

Los phishing a los usuarios de Apple continúan

Hoy en día los ataques phishing son unos de los más usados por ciberdelencuentes debido a su gran efectividad. Recientemente se ha descubierto un nuevo ataque de este tipo cuyo objetivo es la sustracción de datos personales y de cuentas bancarias. El Instituto Nacional de Ciberseguridad (INCIBE) ya ha comunicado que se han detectado una serie de correos fraudulentos en los que Apple es suplantado. El gran incremento de usuarios de iOS y MacOS ha convertido a la empresa californiana en un interesante objetivo para muchos  atacantes.

Estos correos tienen como asunto Notificación urgente- Apple S.A y en su contenido se alerta a las víctimas de que ha habido un intento de violación de seguridad en los últimos días pidiendo a los clientes que verifiquen de nuevo sus direcciones de correo y datos bancarios asociados a la cuenta. En el cuerpo del correo se puede encontrar un enlace el cual te dirige a la página “oficial” de inicio de sesión de Apple, sin embargo al fijarnos en la URL podremos confirmar que ésta no corresponde a de la página oficial de Apple.

Figura 1: Página de phishing.

La idéntica apariencia de muchas páginas de phishing respecto a algunas páginas oficiales hace que muchos de los usuarios no duden en introducir sus credenciales sin saber que están comprometiendo su cuenta totalmente. En este caso al logarse la víctima accedería a un formulario en el que se solicitan los datos de su tarjeta de crédito, DNI y número de teléfono; una vez introducida la contraseña de la tarjeta bancaria y enviado el formulario la página fraudulenta nos redirige a la página oficial de Apple con el fin de no levantar sospechas.

Desde Seguridad Apple os recordamos los grandes riesgos que corremos al facilitar nuestros datos por la red, hoy en día el phishing sigue siendo una de las principales amenazas en internet, por eso mismo os recomendamos el uso de dobles factores de autenticación, como Latch, con los cuales podréis proteger vuestra cuenta de una manera rápida y sencilla frente a este tipo de ataques.