viernes, 31 de enero de 2014

Password especifico para tu dispositivo movil

Hoy me he liado intentando activar un teléfono Android el cual fue adquirido en EEUU, el cual tras una hora de intentos fallidos y un dolor de cabeza por las trabas daba lo active, anteriormente he utilizado Android, y como dicho teléfono sera el Lexermovil, decidí asociar mi cuenta de gmail.

Desde mis últimos tiempos con Android para la fecha, han surgido muchos cambios, y la primer sorpresa fue que al intentar asociar mi cuenta al dispositivo, al momento de autentificar, indicaba que el usuario o password era erróneo, tras varios intentos, pensé que el problema era la autenticacion de dos pasos que tengo mi cuenta y efectivamente este era el problema.  

Ya que por razones de seguridad Google, crea un password especifico para dispositivos, distinta de la que tienes en tu correo. Permite asociar tu cuenta por medio de Google Authenticator o por un password especial.

Figura 1: Autenticar por codigo de barras y Google Authenticator.

En lo persona, preferí crear un password especifica y ingresar este en el dispositivo.


   Figura 2: Password especifico para aplicaciones.

Antes de hacer todo este procedimiento, desactive la autenticacion por 2 pasos, y por supuesto de esta forma, el móvil no presento complicaciones al asociar la cuenta. Esta es una muy buena opción de seguridad, pues al momento de que alguien robe un dispositivo con esta seguridad, fácilmente se podrá dejar fuera de tu información, ya que en cualquier momento podrás echarlo fuera desde tu correo.    

Saludos.
Lexer Pars.

jueves, 30 de enero de 2014

Hacking con buscadores

Una técnica muy especial al momento de recabar información de algún objetivo en una prueba de pentesting es el hacking con buscadores. Utilizando como herramientas el navegador web y un buscador, como google, bing, shodan,etc. Esta técnica se utiliza para hacer búsquedas mas certeras en la red, con el fin de tener información mas precisa de un determinado objetivo.

Los operadores suelen variar un poco de un buscador a otro, puedes echar un vistazo a los operadores de google. Utilizando los operadores se pueden encontrar muchas cosas interesantes, desde acceso a dispositivos como cámaras de vigilancia, planillas de empresa, acceso a servidores por RDP o servidores citrix, archivos de facturación etc.



 Figura 1: buscando archivos de facturación con google hacking.

Figura 2: Archivo en cache de facturación.

Figura 3: Archivo con datos de tarjetas de pago.

Esta técnica puede ser muy cruel si no se tienen medidas de prevención, como utiliza el protocolo de robots en tu sitio ayudara a reducir el numero de resultados indeseados, aunque, muchas veces los buscadores no respetan del todo este protocolo, nunca esta demás aplicarlo en tu sitio y por supuesto no publicar información confidencial que a después pueda ser consultada por cualquier usuario.   

Saludos.
Lexer Pars.

miércoles, 29 de enero de 2014

Lexer al Gym

Hace justo 8 días empece a ir al gimnasio y que como de la mayoría de informáticos, mover y ejercitar todos los músculos del cuerpo es algo poco usual. Yo en lo personal disfruto de estar trabajando frente al ordenador, puedo hacer muchas cosas y divertirme de lo lindo, ya sea programando, haciendo pentesting, trabajando, estudiando, etc.

Honestamente no pensé que esto de ir a un gimnasio fuera tan duro y es que tengo una rutina que debo cumplir de Lunes a Viernes, por suerte me han dejado descansar Sábado y Domingo, después de salir del gym me duele casi todo el cuerpo, es mas los primeros días, al acostarme, no podía ni moverme en la cama. Una de mis metas para este 2014 es mantener una vida mas sana y modelar un poco el cuerpo de informático que tengo.

Figura 1: Iniciando en el gym

Cabe destacar que ademas de lo saludable que es y el hecho de que rindes mas en todas tus actividad porque tienes mas energía, el cambio de ambiente te ayuda enormemente, ademas de conocer mas personas interesantes, al gym que voy es Power Millenium Gym, si no estas en ningun gimnasio, visita alguno que tengas cercano y empieza a ejercitarte, que mejoraras tu salud, rendirás mas, incluso resolverás esos problemas en el mundo de la seguridad y hacking con mayor fluidez con una mente despejada y un cuerpo saludable. 

Yo por mi parte, te mostrare mis avances al terminar esta rutina que dura 3 meses y luego, veremos que rutina me asigna mi instructor Mardo.

Saludos.
Lexer Pars.

martes, 28 de enero de 2014

Experiencias en consultoria

Si te fascina el mundo de la seguridad informática y piensas dedicarte a esto para vivir, debes formarte un panorama general de como y que ocurre en esta fantástico mundo cuando toca enfrentarte con el ambiente ejecutivo y se involucran aspectos de negocio. Acá tienes una ayuda por parte de drajonjartv donde puedes ver que sucede con la seguridad y los negocios.




Saludos.
Lexer Pars.

lunes, 27 de enero de 2014

Session Hijacking

Cada vez que accedemos aun servicio en internet, donde debemos autentificarnos, hay un proceso que debe seguirse para poder establecer una sesión en dicho servicio, desde ingresar un usuario y password, validar el acceso mediante dos paso, ya sea algún código por sms, llamada telefónica, etc. 

Al ingresar a un servicio en la red utilizando el navegador web, se crea una cookie justo de después de autentificarnos en el sistema o servicio, esta cookie se almacena en el dispositivo y es utilizada durante la navegación en el servicio o sistema, dicha cookie, almacena un identificador de sesión.

El ataque de session hijacking o robo de sesión, se ayuda con otros vectores de ataque como MITM, con el fin de snifferar el trafico de su victima. Este ataque puede ser de ser muy efectivo y ayuda a saltarse medidas de seguridad implementadas en los servicios, como puedes ingresar a tu correo electrónico fortificado, ya que se crear una sesión activa y valida, que a su vez evita todo el proceso de autenticar. Para realizar este ataque hay diversas herramientas como ettercap,dsniff, Hunt,etc.





Recomendación para caer bajo este tipo de ataques es utilizar una tabla arp estática o utilizar un buen sistema antimalware que te proteja ante un ataque MITM o algún software como marmita que te ayudaran a evitar este tipo ataque.    
 
Saludos.
Lexer Pars.

domingo, 26 de enero de 2014

Olvidando passwords

Hoy como ya es una costumbre, desde muy temprano me ha tocado atender problemas de algunos ordenadores. Un amigo me trajo su portátil con Windows 7 virtualizado, y se quejaba de haber olvidado el password de Administrador del sistema.

Este problema es muy poco frecuente, pero que a mas de alguno le habrá sucedido y que para solucionarlo hay múltiples formas de hacerlo, lo cual me ha llevado a utilizar Hiren's, el cual es un sistema live cd, que contiene muchas herramientas pre instaladas, para ayudarte a solucionar problemas en tu sistema, tiene diversas herramientas como Antivirus, Backup's, BIOS/CMOS, Cleaners, Driver de dispositivos, editores, compresores, Sistemas de archivos, Password/Key, etc. 

Para este caso en concreto, basta con utilizar una tool Password/Key, que es Windowsgate, con la cual eliminaremos la verificación del password de Windows.

 Figura 1: Tools Password/Keys

Figura 2:  Detección de sistema por Windowsgate

Figura 3: Verificación de password desactivada

Esto es una tarea muy sencilla de lograr. Aunque puede ser útil en los casos en que olvides tu password, también puede ser usado en tu contra, así que, nunca pierdas de vista tu ordenador y como medida adicional, establece un password en tu BIOS, para sea mas difícil perpetrar un ataque. 

Saludos.
Lexer Pars.

sábado, 25 de enero de 2014

Engaño clasico al robar contraseñas

En muchas circunstancias los usuarios buscan robar las credenciales de acceso de algún servicio y para ello pueden valerse de muchas técnicas y herramientas que permiten lograr ese objetivo, algunos fáciles y otros complicados para determinados usuarios.

Puedes utilizar algún troyano o propiamente un keylogger para capturar estas credenciales, pero una ataque clásico en la que muchos usuarios a dia de hoy caen redondos es los ataques de phishing.  Un ataque de este tipo puede realizarse de forma fácil con  The Social-Engineer Toolkit, realizando un ataque de ingeniería social, mediante la utilización de un vector de ataque web, en el cual se clone un sitio web, con el fin de que el usuario bajo algún engaño ingrese al sitio web y brinde sus credenciales.

Figura 1: Opciones de setoolkit

Para realizar este ataque, que no requiere mucho tiempo, debemos elegir la opción 1 Social-Engineering Attacks. Con el cual buscamos realizar un ataque de ingeniería social a una victima.

Figura 2: Opciones de ataques de Ingeniería social

Después establecemos el tipo de ataque a realizar, en el cual elegimos la opción 2 Website Attack Vectors.

  Figura 3: Opciones de vectores de ataque a sitios web

Luego se elige la opción 3 Credential Harvester Attack Method, el cual es un cosechador de credenciales, todas las credenciales que se ingresen en el servidor web, que esta herramienta utiliza, para efectos del ataque, serán mostrados en consola.

Figura 4: En espera de victimas

Por ultimo, se debe especificar si se utilizara una plantilla o se clonara un sitio web, en este caso clonaremos el sitio web de facebook.com y debemos definir la IP a la cual se deberá acceder para este ataque.

 Figura 5: Pagina web falsa de facebook

Cuando un usuario, ingresa a la dirección establecida en el ataque, sea por el engaño hecho, vera el siguiente login, y si el usuario no tiene conocimiento de este tipo de ataques, terminara brindado sus credenciales sin tan siquiera notarlo.

Figura 6: Captura de credenciales de facebook

Este ataque puede perpetrarse utilizando mejoras, como el dns spoofing, para que en vez de una dirección rara o un domino diferente aparezca, el domino en esencia sea el del sitio. Para no caer bajo este tipo de ataques, siempre visualiza que el dominio sea el del sitio web y protégete contra ataques de DNS Spoofing.

Saludos.
Lexer Pars.

viernes, 24 de enero de 2014

Como funcionan los sistemas antimalware

Hoy para iniciar con buen pie el día, he decidí ver un programa de mundo hacker, sobre como funcionan los sistemas antimalware, que como ya sabes trabaja por medio de dos elementos, como los son los sistemas de firmas y la heuristica.    

Si quieres disfrutar de este programa y aprender un poco sobre como funcionan estos sistemas y como es que se pueden evadir en muchos casos, te dejo el video para que te entretengas y aprendas de ello, y que como recomendación, mires los programas de mundo hacker, que hay mucho material con el cual puedes enriquecer tus conocimientos.


Saludos.
Lexer Pars.

jueves, 23 de enero de 2014

Carding y Banking cibercrimen rentable (VII de VII)

Recomendaciones:

Si tienes alguna e-commerce o tienda en linea, asegúrate de aplicar el estándar PCI DSS y realiza una auditoria frecuente de este estándar, así como de cada uno de los elementos sobre que soportan el  e-commerce, ya que algún atacante podría encontrar la forma de saltarse algunas de las medidas de seguridad o encontrando un fallo que no hayas encontrado por no realizar una auditoria.

Si eres un usuario que acostumbra a usar su tarjeta de pago para diversos servicios, asegúrate de que el sitio donde realizas compras por internet, aplica los estándares y que es seria en cuestiones de seguridad y mejor aun, si esta utiliza alguna pasarela de pago para procesar las transacciones. No publiques tu información de documentos de identificación, tarjetas de pago y demás datos que pueda aprovechar un ciberdelincuente para perjudicarte. Y si utilizas tu tarjeta de pago en tiendas físicas, y esta aun es de banda magnética, no la pierdas de vista, pues si te descuidas puede que alguien clone tu tarjeta de pago.
Actualiza siempre tu ordenador y evitar caer en ataques de phishing, en los cuales te puedan robar tus datos. Y que posteriormente aparezcan cargos de compras que nunca realizaste ya sea porque el ciberdelincuente contrate muleros o porque venda tu información en sitios, en donde incluso se pueden encontrar datos gratuitos, para usuarios del mercado negro.

Figura 1: Datos de tarjetas gratis en mercado negro.
       

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Carding y Banking cibercrimen rentable (I de VII)
Carding y Banking cibercrimen rentable (II de VII)
Carding y Banking cibercrimen rentable (III de VII)
Carding y Banking cibercrimen rentable (IV de VII)
Carding y Banking cibercrimen rentable (V de VII)
Carding y Banking cibercrimen rentable (VI de VII)
Carding y Banking cibercrimen rentable (VII de VII)
******************************************************************************************************************************************************************************************************************************************************************************   

miércoles, 22 de enero de 2014

Carding y Banking cibercrimen rentable (VI de VII)

BANKING

Los fraudes bancarios también son efecto de aprovechamiento por parte de los ciberdelincuentes, que buscan obtener credenciales de cuentas bancarias, generalmente buscando objetivos o victimas jugosas, como empresas que disponen de mucho dinero. Los ataques suelen perpetrarse utilizando algunas de las técnicas de carding, como lo son ataques por phishing, utilización de malware o tool kits, algunos ataques a servidores, que no son tan usuales como en el carding pero que en definitiva suelen suceder, etc.

Uno de los problemas frecuentes en empresas es el hecho de no denunciar estos hechos, ya que la mayoría prefiere callar esto, por temor a una perdida de confianza de los clientes, es decir dejar la imagen de la empresa mal comercialmente y que hace que cada día estos tipos de fraude se practiquen mas.

        Figura 1: Estadísticas de fraudes bancarios.

El fraude bancario opera de la misma forma que el carding al momento de sacar el dinero, ya que muchas veces se vende la información en el mercado negro y otras veces se contratan muleros, para que estos saquen el dinero, a cambio de una mínima comisión.   

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Carding y Banking cibercrimen rentable (I de VII)
Carding y Banking cibercrimen rentable (II de VII)
Carding y Banking cibercrimen rentable (III de VII)
Carding y Banking cibercrimen rentable (IV de VII)
Carding y Banking cibercrimen rentable (V de VII)
Carding y Banking cibercrimen rentable (VI de VII)
Carding y Banking cibercrimen rentable (VII de VII)
******************************************************************************************************************************************************************************************************************************************************************************   

martes, 21 de enero de 2014

Carding y Banking cibercrimen rentable (V de VII)

CARDING

Ya que conocimos las diversas formas en que se pueden realizar ataques para obtener los datos de tarjetas de pago, llego el momento de hablar sobre los fraudes que se pueden aplicar con el carding.

Existen diversos tipos de fraude, como tarjetas robadas, el clonar la tarjeta utilizando skimmer y el CNP o card no present que se realiza en sitios online. La Australian Payments Clearing Association, muestra en las ultimas estadísticas de fraude con tarjetas, este van en aumento en los últimos tiempos.

 Figura 1: Estadísticas de aumento del fraude.

Fraude por Skimmer

Este fraude es factible sobre algunos países, que aun operan con tarjetas de banda magnética, le hecho de replicar los datos de la tarjeta de pago suele ser una tarea muy fácil para los ciberdelincuentes. Mientras no se enfrente con tarjetas con EMV, podrán sacarle un buen provecho a esto, aunque existe un riesgo latente por el cual, este fraude no es la cumbre y es donde el fraude CNP, es mucho mas factible al realizar la replica de datos en servidores.

Fraude por CNP

El fraude por tarjeta no presente, tiene mas demanda de utilización por el cibercrimen, ya que son menores las medidas de seguridad presentadas al momento de realizar una transacción, ya que vas con ingresar los datos de la tarjeta de pago en algún formulario de la tienda online, para poder efectuar cualquier tipo de compra. Aunque se han establecido algunas medidas de seguridad, como la verificación de dos pasos, codigos sms temporales, password de un solo uso, etc., se ha comprobado que estas medidas no son nada útiles al momento de presentarse este tipo de fraude.

Ultimas ganancias generadas con fraude en carding y cheques.

   
Figura 2: Estadísticas de fraude 2013.


La única manera de erradicar estos fraudes, es realizar cambios radicales en los modelos en que se realizan las transacciones, mitigar los ataques por skimmer y reducir el fraude al clonar una tarjeta de pago, ya es posible, pero algunos países aun no implementan la medida del EMV, y para los fraudes CNP, aun hay trabajo por hacer, ya que aun no se puede controlar.  

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Carding y Banking cibercrimen rentable (I de VII)
Carding y Banking cibercrimen rentable (II de VII)
Carding y Banking cibercrimen rentable (III de VII)
Carding y Banking cibercrimen rentable (IV de VII)
Carding y Banking cibercrimen rentable (V de VII)
Carding y Banking cibercrimen rentable (VI de VII)
Carding y Banking cibercrimen rentable (VII de VII)
******************************************************************************************************************************************************************************************************************************************************************************   

lunes, 20 de enero de 2014

Carding y Banking cibercrimen rentable (IV de VII)

CARDING

El hecho de estar clonando tarjetas de pago, puede traer muy buenas ganancias para el mundo del cibercrimen, y aunque ya hay formas de erradicar este problema, aun las entidades financieras de muchos países no suelen implementar estas soluciones. Los skimmers permiten obtener los datos de una tarjeta de pago con banda magnética.

La solución que se ha implantando para evitar los fraudes con tarjetas de pago utilizando skimmers es la utilización de tarjetas IC o tarjetas con chip en vez de banda magnética.

     Figura 1: Tarjeta de pago IC o con chip.

Estas tarjetas operan bajo el estándar Europay Mastercard Visa(EMV), y que presentan la seguridad en las transacciones chip&pin, y a diferencia de las tarjetas con banda magnética que la transacción se hacia sin cifrar, este estándar establece cifrados DES, Triple DES, RSA y SHA, para las transacciones, aunque ello indica que el proceso sera un poco mas lento al momento de realizar una transacción, pero esa minuciosa diferencia de tiempo, no tiene validez al colocar en contra peso la seguridad de los datos en la tarjeta.

Aunque esta existen soluciones que permitan mitigar los fraudes con tarjetas de pago, los ciberdelincuentes siempre encontraran una forma de saltarse las medidas de seguridad que se impongan, y una vez que consiguen los datos, se procede a obtener el dinero.

Una opción para obtener dinero con el carding, es vender la información de las tarjetas de pago y ofrecer estas a un costo menor, hay sitios nada difíciles de encontrar en la red, donde se puede comprar  esta información.
   
Figura 2: Mercado negro de tarjetas de pago.

También hay ciberdelincuentes que prefieren lavar el dinero de otras formas, por ejemplo contratando muleros, para que estos retiren el dinero y reenvíen el dinero extraído menos una comisión que reciben estos a cambio. 

Los usos que se le puede dar a la información puede variar, desde clonar una tarjeta físicamente para retirar en cajeros automáticos, comprar en tiendas online, etc., pero el final siempre sera el mismo y es robarte el dinero que tengas en tus cuentas.
        

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Carding y Banking cibercrimen rentable (I de VII)
Carding y Banking cibercrimen rentable (II de VII)
Carding y Banking cibercrimen rentable (III de VII)
Carding y Banking cibercrimen rentable (IV de VII)
Carding y Banking cibercrimen rentable (V de VII)
Carding y Banking cibercrimen rentable (VI de VII)
Carding y Banking cibercrimen rentable (VII de VII)
******************************************************************************************************************************************************************************************************************************************************************************   

domingo, 19 de enero de 2014

Carding y Banking cibercrimen rentable (III de VII)

CARDING

Aunque atacar sitios e-commerce, podría ser algo muy tentativo, sin duda, un cibercriminal puede complicarse si dicha tienda online aplica el PCI DSS, y peor aun si utiliza alguna pasarela de pagos, este ataque queda fuera del alcance del cibercriminal. Pero esto no significa un impedimento para que puedan seguir practicando el carding, ay que hay mas métodos a la orden del día.


Phishing

Esta técnica se basa en la suplantación de identidad, utilizando diversos medios de comunicación para el efecto y apoyándose de la ingeniería social, puede que te recibas un correo electrónico fraudulento de un cibercriminal haciéndose pasar por tu banco, indicándote que actualices tu información o que verifiques un pago en tu estado de cuentas, etc o que recibas una llamada donde el cibercriminal suplanta la identidad del numero de tu banco y se hace pasar por un operador del mismo pidiéndote que le confirmes datos como tu numero de tarjeta, tu código de verificación de tarjeta, etc  o que sufras un ataque de DNS spoofing en el cual te redirijan a una sitio falso, utilizando el web spoofing, para que introduzcas tu información en algún formulario, cualquier medio utilizado por el phishing buscara la finalidad de engañarte para que le puedas dar tus datos y con estos poder utilizar tus tarjetas de pago. Una tool kit muy utilizada en los medios del carding y banking es Zeus, el cual permite crear una red de ordenadores zombies(botnet) dedicados al robo de información, que posteriormente se traduce en robo de dinero.

Como trabaja la tool kit Zeus
El phishing es usado altamente para cometer este tipo de fraude y que suele traer grandes ganancias, pero suele llevar mucho trabajo el hecho de infectar ordenadores, aunque hay servicios de paga, donde por una cuota hay otros ciberdelincuentes se dedican a infectar, cobrando un costo por maquina infectada u otro tipo de forma, también hay en alquiler redes de ordenadores disponibles para distribución de malware, pos supuesto el  hecho de usar phishing por otros medios como correo eletronico, llamadas telefónicas u otros medios, suele ser el hecho de que algunos usuarios ya no caen en tan simples estafas y para eso aun hay otro técnica de ataque. 
 
Skimming
 
Esta técnica consiste en clonar los datos de una tarjeta de pago, utilizando un medio o dispositivo físico o hardware, como lo son los skimmer o "chismosa", hay diversos tipos de dispositivos, desde unos muy llamativos, hasta algunos muy reducidos y que pueden ser ocultados muy fácilmente. El clonado de las tarjetas suele ocurrir en comercios físicos de "confianza" por el usuario, como lo puede ser un hotel, un super mercado, un restaurante de comida rápida, una gasolinera, etc., en el por lo general un empleado utiliza un TPV, para cargar el monto y efectuar la transacción y que por algún descuido del cliente o propietario de la tarjeta de pago, el empleado pasa la tarjeta por la chismosa, para que estos se almacenen y puedan ser recuperados posteriormente. Los empleados suelen recibir una comisión por cada tarjeta que es clonada. Así como también esta la implantación de un clonador de tarjetas en los cajeros automáticos, que permitan la captura de esta información. El formato de los datos brindados por la chismosa son:  
 
B41111111111111111111^Apellidos/Nombre^060910100000000000000000000 41111111111111111111=0609101000000000000000000000  
Descripción:
BIdentifica al sistema POS, es decir que tu tarjeta es una tarjeta bancaria. 4111111111111111 – Numero de la tarjeta de pago.  
Apellido – Apellido del dueño de la tarjeta de pago.      
/ – Separador.
Nombre – Nombre del dueño de la tarjeta de pago.
06 – Año de exploración. 
09 – Mes de exploración.    
101 - Datos del banco.  
 
 Clonar una tarjeta de pago fácilmente.   
 
Cada una de las técnicas que pueden utilizarse en el carding y que mas adelante veremos que algunas también aplican al banking tienen sus ventajas y desventajas al momento de utilizarlas, pero que no deja en duda las enormes ganancias que este tipo de fraude deja a quienes lo practican. 
 
Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Carding y Banking cibercrimen rentable (I de VII)
Carding y Banking cibercrimen rentable (II de VII)
Carding y Banking cibercrimen rentable (III de VII)
Carding y Banking cibercrimen rentable (IV de VII)
Carding y Banking cibercrimen rentable (V de VII)
Carding y Banking cibercrimen rentable (VI de VII)
Carding y Banking cibercrimen rentable (VII de VII)
******************************************************************************************************************************************************************************************************************************************************************************   

sábado, 18 de enero de 2014

Carding y Banking cibercrimen rentable (II de VII)

CARDING

Esta asociado a cualquier tipo de fraude que pueda realizarse con tarjetas de crédito o débito utilizando diversos vectores de ataque y distintos tipos de fraude.  

Publicación de información en redes sociales:
Algunos usuarios en la red, no tienen el conocimiento de los riesgo que puede traer el hecho de publicar ya sea tu documento de identidad personal o tu tarjeta  de crédito o débito, por lo general tienden a publicar estos datos en redes sociales, por diversas razones, como tener mas popularidad entre sus contactos de red. 

Figura 1: publicación de licencia de conducir y tarjeta visa

Y hay muchos cibercriminales que están acechando las redes en busca de usuarios que por negligencia estén publicando dicha información, para apropiarse de ella. Aunque esta técnica es usada por los cibercriminales que se inician en este tipo de fraude, ya que las ganancias que se pueden generar buscando publicaciones en redes sociales es muy baja y poco rentable.

Ataques de SQLInyection,Local File Inclusion y Remote File Inclusion:

Son otras técnicas utilizadas en el carding, que busca atacar sitios de e-commerce, que almacenen los datos de las tarjetas utilizadas por los clientes para efectuar las transacciones. Las tiendas online, pueden utilizar una pasarela de pago como PayPal o de alguna entidad bancaria para procesar dichos pagos y evitar tener que almacenar estos datos y que algún cibercriminal pueda obtenerlos desde la base de datos de la tienda online. Aunque también hay sitios que asumen los riesgos de almacenar esta información algunos con muchas medidas de seguridad y otros con pocas medidas fácilmente de saltar.     

Para todas esas tiendas online que quieren tomar el riesgo de almacenar la información de las tarjetas de los clientes deben de cumplir con el estándar Payment Card Industry Data Security Standard(PCI DSS), el cual busca garantizar la seguridad de los datos para la industria de las tarjetas de pago.

"Texto citado de Wikipedia: Requisitos y Objetivos de PCI DSS"

Los objetivos de control y sus requisitos son los siguientes:

  • Desarrollar y Mantener una Red Segura
    • Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
    • Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
  • Proteger los Datos de los propietarios de tarjetas.
    • Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
    • Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
  • Mantener un Programa de Gestión de Vulnerabilidades
    • Requisito 5: Usar y actualizar regularmente un software antivirus.
    • Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
  • Implementar Medidas sólidas de control de acceso
    • Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
    • Requisito 8: Asignar una Identificación única a cada persona que tenga acceso a un computador.
    • Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.
  • Monitorear (Monitorizar) y Probar regularmente las redes
    • Requisito 10: Rastrear y monitorizar (monitorear) todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
    • Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
  • Mantener una Política de Seguridad de la Información
    • Requisito 12: Mantener una política que contemple la seguridad de la información
El hecho de que una tienda online aplique este estándar no implica que los datos estén almacenados seguros en su totalidad, pues cuando un atacante sabe realmente lo que busca, es 100% seguro que invertirá su tiempo y recursos para obtener su "premio", el hecho de aplicar el estándar ayuda a mitigar enormemente estos riesgos, y aleja a muchos cibercriminales que no cuentan con mucha experiencia en esto, pero habrá quien si se salte estas políticas de seguridad y pueda obtener toda la información. 

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Carding y Banking cibercrimen rentable (I de VII)
Carding y Banking cibercrimen rentable (II de VII)
Carding y Banking cibercrimen rentable (III de VII)
Carding y Banking cibercrimen rentable (IV de VII)
Carding y Banking cibercrimen rentable (V de VII)
Carding y Banking cibercrimen rentable (VI de VII)
Carding y Banking cibercrimen rentable (VII de VII)
******************************************************************************************************************************************************************************************************************************************************************************   

viernes, 17 de enero de 2014

Carding y Banking cibercrimen rentable (I de VII)

El carding y Banking son un modelo de negocio utilizado por el cibercrimen que ha dejado ganancias millonarias  a los cibercriminales y perdidas a muchas personas y en especial a entidades bancarias.

Es un negocio basado en el fraude el consiste en atacar a una persona mediante distintos medios como puede ser malware, utilizando troyanos bancarios, uno de estos que es muy conocido en el underground es Zeus, también se puede utilizar la técnica de skimming o utilización de un Skimmer o diversos medios adicionales con los que los cibercriminales pueden disponer de tu información financiera y utilizar tu dinero sin tu autorización.

Para efectuar tanto el carding, como el banking, es necesario que el atacante se apoye de diversas técnicas, como el phishing haciéndote llegar un email suplantando la identidad de una entidad financiera, o quizá enviándote algunos mensajes de texto falsos e incluso llamarte a tu numero de teléfono, suplantando el numero telefónico de la entidad financiera, acompañando el ataque con ingeniería social, con el objetivo de que su victima brinde su información, como credenciales bancarias, números de tarjeta de crédito, fecha de vencimiento, código de verificación de la tarjeta(CVC) etc, a través de engaños.

Figura 1: Zeus phising del bank of america.

El carding y banking se puede mitigar en gran parte, pero para ello requiere un gran compromiso por parte de los usuarios y por supuesto de las entidades financieras. Ambas partes tendrían que adoptar nuevas medidas de seguridad para evitar estos ataques. En algunos países ya se están implementando nuevas medidas de seguridad como la utilización de chip&pin en las tarjetas, pero que mas adelante veremos .

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Carding y Banking cibercrimen rentable (I de VII)
Carding y Banking cibercrimen rentable (II de VII)
Carding y Banking cibercrimen rentable (III de VII)
Carding y Banking cibercrimen rentable (IV de VII)
Carding y Banking cibercrimen rentable (V de VII)
Carding y Banking cibercrimen rentable (VI de VII)
Carding y Banking cibercrimen rentable (VII de VII)
******************************************************************************************************************************************************************************************************************************************************************************   

jueves, 16 de enero de 2014

Regla de los tres mosqueteros para tu contraseña

Una regla que muchos de los usuarios aplican en los medios de autenticarse en los sistemas o servicios  que suelen utilizar, esta regla es una verdadera tradición épica que ha surgido desde hace mucho tiempo y es la regla de los tres mosqueteros.

  Figura 1: Los tres mosqueteros.

La famosa ley establecida de "todos para uno y uno para todos" la cual especifica que para todos los servicios y sistemas  se establece una única contraseña, pareciera algo cómico pero es tan común que  por esta razón suele ser algo muy sencillo para un atacante acceder a todos los sistemas y servicios de un usuario, cuando este aplica esta regla en todos sus servicios o en la mayoría de estos.

Esta es una regla que tiene que ser erradicada tanto a nivel personal, como en los entornos empresariales que aunque suele ser muy tentativo y por supuesto cómodo, los resultados son que si un atacante obtiene tu contraseña, tendrá acceso a tu cuenta de correo electrónico, tu cuenta de facebook, twitter, acceso a tus cámaras de seguridad, tus cuentas bancarias y los sistemas de tu empresa.

Si tu eres de los usuarios que tiene por tradición aplicar la regla de los tres mosqueteros a tus servicios y sistemas, es hora de que empieces cambiar esta medida y evites que todos tus servicios y sistemas queden comprometidos si un atacante obtiene tu contraseña.

Saludos.
Lexer Pars.   

miércoles, 15 de enero de 2014

Roxana Baldetti sufre consecuencias por deficiencia en seguridad perimetral

Si bien es conocido que la seguridad abarca mas allá de mantener libre un ordenador de malware o de proteger los sistemas de tu empresa y la información que estos procesan, la seguridad involucra todos los aspectos que permitan el resguardo de algún activo importante para una empresa o institución.

Y un elemento como la seguridad perimetral es muy importante que siempre este presente en cualquier momento y debe evaluarse con mucho apego a unas estrictas normas que permitan garantizar la seguridad en todo instante de los activos que se resguardan en un perímetro físico, implementando elementos y sistemas tanto electrónicos como mecánicos a fin de detectar con antelación cualquier intrusión o disuasión de cualquier posible atacante y evitar que cualquier tipo de ataque o infiltración pueda llevarse acabo.  

Hoy después de celebrar el segundo año de gobierno en Guatemala al salir del teatro nacional, la Vicepresidenta Roxana Baldetti sufrió un ataque de una mujer quien le lanzo polvo blanco, aunque aun se realizan investigaciones para determinar los compuestos de dicho polvo en el Instituto Nacional de Ciencias Forenses(INACIF). Según afirmaciones de las atacantes, este polvo es "harina", y el hecho de realizar esta acción fue una forma de repudio en contra del gobierno utilizando la libertad de expresión como lo establece la carta magna en Guatemala, hay muchos detalles que entran en juego. Por supuesto que esta afirmación en ningún momento hace cambiar el hecho de que se haya hecho una violación a la seguridad perimetral.       

 Figura 1: Secuencia de ataque perpetrado en el Teatro Nacional

Es mas que inminente que la seguridad perimetral que se implemento hoy en el Teatro Nacional no se realizo de forma minuciosa y poco eficiente, ya que el simple hecho de que un invitado pueda infiltrar un compuesto, del cual se tienen divulgaciones que es harina según afirmaciones de las atacantes. Si un mismo ataque de este tipo se realizara con Carbunco o ántrax, las consecuencias serian muy desastrosas. A pesar de que la medida de seguridad perimetral es esencial y que en muchos países como Estados Unidos y en su mayoría instituciones militares, centrales nucleares, etc. Seguramente este evento que ha captado la atención de la onda mediática, podrán al personal de Secretaria de Asuntos Administrativos y de Seguridad (SAAS) en Guatemala a adoptar nuevas medidas de seguridad perimetral y evitar este tipo infiltraciones.   

Saludos
Lexer Pars.   

martes, 14 de enero de 2014

Spoofing, suplantando tu identidad (VIII de VIII)

Finalizando esta entrega ha llegado el momento de hablar sobre el GPS Spoofing,  el GPS, es un sistema de posicionamiento global el cual se basa en los parámetros de latitud, longitud y altitud con el fin de determinar la posición de un objeto en cualquier parte del planeta.

Un ataque de este tipo busca engañar a un receptor de GPS transmitiendo una señal con un poco mas de potencia que la señal verdad que envía la posición correcta del objeto. Al final el atacante podrá brindar un ubicación distinta y plena a su elección. Este es un ataque bastante peligroso, por ejemplo puede utilizarse desde evitar que tus padres o tu jefe se entere de en donde estas, hasta secuestrar algún vehículo u objeto guiado por GPS.

Secuestro naval por ataque de GPS Spoofing.   

Pues ya se han realizado diversos ataques para secuestrar un objeto utilizando el GPS Spoofing también se tiene el incidente RQ-170 el cual fue objeto de este tipo de ataques. Aunque para evitar este tipo de ataques se suelen utilizar GPS con módulos criptográficos de keys, este tipo de tecnología por lo general solo los militares la disponen.

 
Saludos. 
Lexer Pars.
        
*************************************************************************************************************************************** Spoofing, suplantando tu identidad (I de VIII)
Spoofing, suplantando tu identidad (VIII de VIII)
***************************************************************************************************************************************

lunes, 13 de enero de 2014

Spoofing, suplantando tu identidad (VII de VIII)

Ha llegado el turno de hablar sobre el ataque de Web Spoofing, este método consiste en suplantar un sitio o pagina real, con el objetivo de visualizar y modificar ciertas peticiones que realice el navegador de la victima incluyendo las conexiones seguras SSL.
Este ataque busca engañar al usuario, a fin de que este pueda brindar su información en los sitios falsos que el atacante muestre ante el con el claro fin de robar la información, y esa información puede ir desde tu cuenta de correo o tus credenciales bancarias.

Por supuesto este ataque debe de acompañarse de un DNS Spoofing con el fin de realizarlo de forma mas eficaz y eficiente y que la victima no dude en ningún momento sobre la falsedad de la o las paginas que solicite
Ataque por web spoofing.

Una forma útil para mitigar este tipo de ataque es usar Anonymizer o Mozilla con SRD y por supuesto algunos sistemas antimalware tienen soluciones para evitar estos ataques como Kasperky. Así protégete sobre estos ataques, antes de que alguien pueda aprovecharse de esto y sacarte tus credenciales. 

Saludos.
Lexer Pars.
      
*************************************************************************************************************************************** Spoofing, suplantando tu identidad (I de VIII)
Spoofing, suplantando tu identidad (VIII de VIII)
***************************************************************************************************************************************

domingo, 12 de enero de 2014

Spoofing, suplantando tu identidad (VI de VIII)

Otro ataque que se suele usar es DNS Spoofing, como ya sabes, el DNS es un sistema de nombres de dominio, el cual se encarga principalmente de resolver nombres de dominio o identificativos a una o mas IP asociadas a un dispositivo.
Este ataque consiste en realizar un envenenamiento al cache DNS, modificando los valores establecidos para asociar un nombre de dominio con una IP distinta de la verdadera. De esta forma todo el trafico de ordenador atacado será redirigido hacia el ordenador del atacante. Este ataque esta compuesto de dos partes, suplantar la identidad del Gateway, por medio de un ataque ARP Spoofing, y hacerse pasar por el DNS mediante diversas herramientas como dnsspoof.

Este tipo de ataque es muy transparente para el usuario y bajo circunstancias donde el sistema no se encuentre bien protegido, se tendrán buenos resultados. Este ataque puede ser empleado tanto en redes hogareñas, como en redes empresariales o publicas, y puede ser utilizado para obtener credenciales de acceso a sistemas, apoyándose de otra técnica que ya veremos mas adelante como lo es el web spoofing, de tal forma que el usuario no notara la diferencia ni el la pagina o sistema que visita, como en el nombre de dominio.

Ataque DNS Spoofing   
La efectividad de este ataque suele ser muy alta, pero para evitar caer bajo un ataque de este tipo, ya sea porque estés conectado a un red publica, empresarial o de tu casa, si quieres hacerlo manualmente puedes realizar un ping al nombre de dominio, si la respuesta es proveniente de  direcciones privadas es porque estas sufriendo de un ataque de este tipo, aunque claro lo ideal es utilizar la tecnología y para ello puedes implementar SecureDNS, para evitar caer bajo este tipo de ataques. 

Saludos.
Lexer Pars.      

*************************************************************************************************************************************** Spoofing, suplantando tu identidad (I de VIII)
Spoofing, suplantando tu identidad (VIII de VIII)
***************************************************************************************************************************************