proteccion

¿Qué es el pharming? Como prevenirlo.

20 octubre, 2022

El pharming es una estafa que los ciberdelincuentes utilizan para instalar código malicioso en ordenadores personales o servidores. El término procede de las palabras inglesas “farming” (cultivo) y “phishing” y representa una técnica nueva y más complicada que los hackers utilizan para acceder a información sensible.

El código malicioso que se utiliza en los ataques de pharming cambia la información de la dirección IP, lo que redirige a los usuarios a sitios web falsos sin su conocimiento o consentimiento. Una vez redirigidos a estas webs falsas, se pide a los usuarios que introduzcan información personal, que luego se utiliza para cometer robos de identidad o fraudes financieros.

Cuando ejecutan ataques de pharming, los atacantes se dirigen principalmente a clientes de bancos u otros sistemas de intercambio monetario. Esta táctica tiene bastante éxito porque permite a los hackers infiltrarse en varios dispositivos a la vez. Además, los hackers no necesitan convencer a los usuarios para que hagan clic en un enlace de correo electrónico dudoso o en un anuncio sospechoso: el código malicioso se descarga automáticamente sin ninguna acción por parte del usuario.

Resto del artículo que nos deja Panda , pincha aquí.

Riesgos para la privacidad al iniciar sesión con tus cuentas de redes sociales en otras aplicaciones.

1 julio, 2022

La AEPD (Agencia Española de Protección de Datos) nos deja este mensaje:

Cuando instalamos una nueva aplicación en nuestro dispositivo móvil o accedemos por primera vez a un servicio en una web es habitual tener que crear una cuenta de persona usuaria para poder utilizarla. Como alternativa, cada vez más servicios ofrecen la posibilidad de registrarnos utilizando nuestra cuenta de Google, Apple, Instagram, TikTok, Twitter, Facebook y demás redes sociales, permitiendo de esta manera no tener que darse de alta en cada una de las webs o apps que usamos. Si bien esta práctica facilita la cada vez más abrumadora tarea de gestionar las credenciales de nuestra vida digital, por otro lado, no está exenta de ciertos riesgos para la privacidad.

Lee el post completo aquí: https://www.aepd.es/es/prensa-y-comunicacion/blog/riesgos-privacidad-iniciar-sesion-cuentas-rrss-otras-aplicaciones

Huella en la red.

1 julio, 2022

Cada vez que navegamos dejamos nuestra huella en la red, pero tenemos varios métodos para reducirla.

Podemos ver lo que hay en internet sobre nosotros practicando “egosurfing”. Mira algunas pautas para hacerlo en https://www.osi.es/es/actualidad/blog/2021/04/21/egosurfing-que-informacion-hay-sobre-mi-en-internet

Aquí tienes consejos de la OSI para reducir la huella https://www.osi.es/es/como-disminuir-tu-rastro-en-internet

Vídeo de la OSI donde indica como borrar la huella https://youtu.be/FT1FjR1XQ2w

Ya publicamos en el blog algo al respecto hace un tiempo. Aprovecha para echarle un vistazo.

Como borrar nuestros datos en internet y redes sociales

Ultimamente desde el Área de Seguridad Informática del CSIRC estamos trabajando en el proyecto Trillion, es posible que os hayamos enviado algún correo referente a este tema. Básicamente estamos detectando el uso de vuestro email institucional en servicios externos como dropbox…. Hay servicios externos a UGR que los han pirateado ‘los malos’ y tienen las claves de esos servicios. A través de la plataforma Trillions nos llegan avisos cuando detectan esto sobre usuarios @ugr.es y os lo avisamos. Como consejo no está permitido utilizar el correo institucional en servicios que no sean de UGR.

10 Claves para la prevención proactiva.

8 junio, 2022

Pincha encima para ampliar la infografía del CCN.

ALERTA: Vulnerabilidad en Apache Log4j 2

15 diciembre, 2021

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se utilice herramientas Java. Literalmente nos dicen desde el CCN:” Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.”

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2

Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

Revisar si se está usando log4j
- PowerShell
  - https://github.com/crypt0jan/log4j-powershell-checker
  - gci ‘C:\’ -rec -force -include *.jar -ea 0 | foreach {select-string “JndiLookup.class” $_} | select -exp Path
- Linux
  - find / 2>/dev/null -regex “.*.jar” -type f | xargs -I{} grep JndiLookup.class “{}”
- Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.

- Revisar aplicaciones de Java
  - https://github.com/logpresso/CVE-2021-44228-Scanner (Observación: realiza la mitigación de forma automática)
  - https://github.com/hillu/local-log4j-vuln-scanner
  - https://github.com/mergebase/log4j-detector
- JAR file hashes
  - https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
- Class file hashes (2.15.0 no es vulnerable, pero está incluida)
  - https://gist.github.com/olliencc/8be866ae94b6bee107e3755fd1e9bf0d
- JAR and Class hashes
  - https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
- Escaneo de vulnerabilidad en Go
  - https://github.com/hillu/local-log4j-vuln-scanner
- Conjunto de reglas YARA para la detección de versiones de log4j vulnerables a CVE-2021-44228 by looking for the signature of JndiManager prior to 2.15.0.
  - https://github.com/darkarnium/CVE-2021-44228

Revisar si se ha tenido un aumento de conexiones DNS.
- Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
- Revisar si tiene uno de los siguientes aplicativos:
  https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Revisar en logs los siguientes IOC:
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
https://github.com/Neo23x0/log4shell-detector/
Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema “log4j2.formatMsgNoLookups” en “true” o eliminando la clase JndiLookup del classpath.
En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca log4j-core jar. La eliminación de JndiManager causara que no funcione JndiContextSelector y JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

X-Api-Version
User-Agent
Referer
X-Druid-Comment
Origin
Location
X-Forwarded-For
Cookie
X-Requested-With
X-Forwarded-Host
Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT

¿Qué es el pharming? Como prevenirlo.

Riesgos para la privacidad al iniciar sesión con tus cuentas de redes sociales en otras aplicaciones.

Huella en la red.

10 Claves para la prevención proactiva.

ALERTA: Vulnerabilidad en Apache Log4j 2

Compendio de recursos formativos gratuitos y divertidos en ciberseguridad.

Detectada campaña de suplantación a la FNMT y a la AEAT con la intención de infectar tu dispositivo con un ransomware

Campaña de phising haciéndose pasar por la Agencia Tributaria, !no piques!

¿Te han suplantado en RRSS?