Categoría: Actualidad

A veces, el phishing tiene objetivos muy concretos; los cibercriminales quieren atacar a una persona, grupo u organización específicos mediante correo electrónico. A este tipo de ataque, que va un paso más allá del phishing clásico, se le denomina spear phishing o phishing dirigido. Su objetivo eres tú.

Tras un estudio previo de la víctima, que marca la diferencia con el phishing tradicional, los atacantes suplantan a una fuente de confianza para obtener sus credenciales o infectar su equipo con malware. Para ello buscarán datos e información personal y profesional real, como hábitos diarios, gustos, planes… detalles minuciosos para tener más credibilidad. Así lograron engañar a una directiva de la Empresa Municipal de Transportes de Valencia (EMT) y robar 4 millones de euros, en uno de los mayores ataques tipo Fraude del CEO ocurridos en España.

¿Podría pasarte a ti? ¡Claro que sí! El Fraude del CEO es un ejemplo típico de spear phishing. En vez de enviar el mismo correo a millones de usuarios, pidiéndoles que hagan clic en un enlace para hacerse con sus datos, el fraude del CEO está personalizado, hecho a tu medida: saben que tu jefe ha salido de viaje y no está en la oficina. Aprovechan esa información para enviarte un email en su nombre, pidiéndote algo: pagar una factura urgente, hacer una transferencia, enviarle un informe confidencial… Todo muy urgente, solo tú puedes ayudarle, te pide ese favor. ¿Cómo negarte? ¿Se te ocurriría comprobar si es quien dice ser? Así funciona el fraude del CEO, con un superior impostor que te engaña para que hagas lo que te pide. Aquí puedes ver varios ejemplos.

El spear phishing va a por ti. Sigue estos consejos para evitar que te atrape:

• Revisa el remitente del correo electrónico hasta el último detalle: ¿Es manoloo@mmoda.es, de la empresa Mi moda, quien te envía el mensaje, o el remitente debería ser manolo@mimoda.es? Fíjate en todos los campos del remitente (nombre, cargo si aparece, dirección de correo). Si hay pequeños cambios de orden en las letras, o bien un nombre o un dominio extraño en la dirección, elimínalo inmediatamente y no hagas nada de lo que pide.

• No confíes en un mensaje, carta o llamada telefónica solo porque se dirijan a ti por tu nombre y apellidos o incluyan detalles personales. Hoy en día, que lo sepan todo de ti es motivo para sospechar, no para confiar.

• No abras correos de desconocidos o con asuntos que no estés esperando: elimínalos. Recuerda que son el principal método de comunicación del phishing, aunque no el único, tal como explica esta guía.

• Revisa los enlaces incluidos en el mensaje: verifica que www.bankia.es conduce a la web oficial de la entidad. Si ves un enlace como www.bankiä.es, sospecha, no conduce a la web auténtica. Si desconfías de una página web, analiza así su URL antes de acceder a ella o hacer clic.

• Consulta con tus superiores: Si recibes un correo de un compañero o de un directivo pidiéndote que pagues una factura o realices una transferencia de forma urgente, detente y pregunta a tus superiores. Verifica si el nombre de la empresa, sus datos y la petición de pago/transferencia son correctos. “Perder” un poco de tiempo puede evitarte muchos problemas. No hagas caso de las peticiones urgentes, quieren que actúes con prisa para que no tengas tiempo de reflexionar. Antes de contestar o pagar, calma y precaución. La urgencia es una de las señales del phishing.

• Extrema la precaución ante enlaces o archivos adjuntos: si dudas, mejor no hacer clic ni descargarlos.

• A más vulnerabilidad, más cuidado: departamentos como Recursos Humanos o Administración están especialmente expuestos a ataques, debido a la gran cantidad de información confidencial que gestionan. Si trabajas en áreas críticas debes estar especialmente alerta.

• ¿Redacción extraña? Revisa las faltas de ortografía y la gramática, ya que pueden delatar un posible phishing. A veces estos ataques están traducidos automáticamente al español y hay pequeños errores o frases extrañas que los delatan, aunque no siempre es así; los malos aprenden rápido y la redacción va mejorando con las nuevas herramientas y la inteligencia artificial.

• Infórmate sobre ataques: saber cómo pueden estafar a tu empresa es una buena manera de detectarlos a tiempo. Busca ejemplos de casos en Internet.

• Todo. Siempre. Actualizado: con la prudencia humana no basta, las medidas técnicas son esenciales para evitar vulnerabilidades: ten actualizado el antivirus, navegador, extensiones, sistema operativo y todos los programas y aplicaciones que utilices. Revisa estos consejos básicos para la seguridad de tu equipo.

• El correo corporativo es únicamente corporativo: no uses tus credenciales profesionales para cuentas privadas, por ejemplo, de Amazon, eBay, LinkedIn u otros servicios de uso personal. Limítate a usar esos datos en el ámbito profesional.

• Navega con seguridad: el “candado” que aparece en la barra del navegador, te evitará conexiones fraudulentas. Aunque hay sitios maliciosos que pueden obtener este certificado de seguridad, saber diferenciar con este simple icono o eligiendo direcciones que empiecen por HTTPS te evitará caer en algunas trampas.

• Usa contraseñas seguras, de al menos 12 caracteres, que combinen números y letras formando frases o reglas nemotécnicas. No uses ninguna palabra que pueda ser encontrada en un diccionario ni conceptos que tengan relación contigo, como nombres de familiares, fechas significativas, nombres de mascotas… Utiliza contraseñas diferentes para cada cuenta o servicio, no las compartas, cámbialas cada cierto tiempo y ten en cuenta estos consejos.

• Desactivar otras funciones: desactivar la vista HTML o la vista previa puede evitar la ejecución de posible código malicioso entre el HTML. El uso de la vista previa comporta los mismos riesgos que abrir el correo malicioso.

• Si recibes una llamada de teléfono sospechosa en la que te piden información, no reveles ningún dato, aunque no te parezca confidencial. Cuelga el teléfono y verifica la identidad de la persona que te llama. Este tipo de estafa se llama vishing y un caso habitual es la falsa llamada de Microsoft.

• Sé prudente con la información que publicas en redes sociales. Nunca compartas datos sensibles como tu correo profesional o personal, la dirección de tu casa, número de teléfono, fechas de viajes o ausencias… cuanta más información publiques en las redes sociales, más pistas les das a los atacantes.

concienciaT más
• Microcurso de seguridad en el correo electrónico
• Guía de seguridad en el teletrabajo

Introducción

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha informado de 3 vulnerabilidades: una de ellas de severidad crítica, otra de severidad alta y otra de severidad media en dispositivos inalámbricos OneWireless de Honeywell ^[1] . La explotación exitosa de estas vulnerabilidades podría revelar información confidencial, permitir la escalada de privilegios o  la ejecución remota de código.

 

Análisis

CVE-2022-46361: Esta vulnerabilidad de severidad crítica podría ser explotada mientras se realiza una copia de seguridad y un atacante ingrese un comando del sistema no deseado junto con una configuración de copia de seguridad.

La vulnerabilidad afecta a los dispositivos inalámbricos OneWireless con versiones hasta R322.1 del WDM (Wireless Device Manager).

 

Recomendaciones

Honeywell recomienda a los usuarios actualizar OneWireless WDM a la versión R322.2.

 

Referencias

[1] ICSA-23-075-06 – Honeywell OneWireless Wireless Device Manager

Introducción

Schneider Electric ha publicado avisos que recogen información sobre 9 vulnerabilidades: 1 de severidad crítica, 5 altas y 3 medias. La explotación de estas vulnerabilidades podría provocar un desbordamiento de búfer, una condición de denegación de servicio (DoS) o una ejecución remota de código.

La vulnerabilidad afecta al PowerLogic™ HDPM6000^[1] y a la familia IGSS v16^[2]

 

Análisis

CVE-2023-28004: Esta vulnerabilidad de severidad crítica se basa en la validación incorrecta del índice de un array, lo que podría provocar una denegación de servicio o la ejecución remota de código mediante el envío de una solicitud Ethernet especialmente diseñada.

 

Recomendaciones

Schneider Electric recomienda actualizar los productos afectados a las siguientes versiones correctoras:

• • PowerLogic™ HDPM6000, versiones 0.58.7 o posteriores.
  • IGSS Data Server, Dashboard y Custom Reports, versión 16.0.0.23041.

 

Referencias

[1] PowerLogic ™ HDPM6000
[2] IGSS (Interactive Graphical SCADA System)

Introducción

El investigador, Sam Hanson, de Dragos, ha informado a través del CISA^[1] de una vulnerabilidad que podría permitir a un atacante eludir las protecciones de la memoria del usuario al escribir en una dirección de memoria específica, pudiendo de esa manera sobrescribir contraseñas y bloquear el acceso al dispositivo.

La vulnerabilidad afecta a las series de SYSMAC CJ, CS y CP del fabricante Omron Electronics.

 

Análisis

CVE-2023-0811: La vulnerabilidad publicada en Omron se produce debido a un control de acceso inadecuado a la región de memoria donde se almacena la contraseña de UM. Esto permite que un atacante pueda realizar una acción program area write en la misma región de memoria y sobrescribir la contraseña.

 

Recomendaciones

OMRON no ha publicado todavía ningún parche de seguridad y recomienda las siguientes contramedidas:

• • Habilitar el interruptor de hardware para prohibir escribir UM (interruptor DIP en el panel frontal de la CPU);
  • Establecer una contraseña de protección de lectura de mensajería unificada y la opción «Prohibit from overwriting to a protected program».

Sino puede aplicar estas contramedidas, OMRON recomienda las siguientes mitigaciones:

• • Habilitar la función de protección contra escritura FINS;
  • Seleccionar «Protect by IP Address»;
  • Bloquear los accesos y las conexiones de red desde dispositivos que no sean de confianza;
  • Bloquear en cortafuegos los accesos a los dispositivos limitando el acceso al puerto FINS (9600);
  • Utilización de VPN para el acceso remoto;
  • Uso de contraseñas seguras o multifactor de autenticación y control de acceso físico a los dispositivos;
  • Revisión de copias de seguridad y sistemas antivirus.

 

Referencias

[1] ICSA-23-073-01 Omron PLC