Después de la fuga masiva de Tumblr, es hora de hablar sobre el phishing

Después de la fuga masiva de Tumblr, es hora de hablar sobre el phishing / Seguridad

Oh querido. Otra vez esto no. 68 millones de cuentas de Tumblr han sido salpicadas en la web oscura, y se están vendiendo por un precio miserable de 0.452 bitcoins. En el momento de escribir esto, eso es alrededor de $ 240.

A primera vista, puede establecer un paralelismo entre esta fuga de datos y la filtración de LinkedIn de hace dos semanas. Lo que necesita saber acerca de la pérdida masiva de cuentas de LinkedIn Lo que necesita saber sobre la pérdida masiva de cuentas de LinkedIn Un hacker está vendiendo 117 millones de hackeados Credenciales de LinkedIn en la web oscura por alrededor de $ 2,200 en Bitcoin. Kevin Shabazi, CEO y fundador de LogMeOnce, nos ayuda a entender qué está en riesgo. Lee mas . En primer lugar, ambos conjuntos de datos son muy antiguos; el incumplimiento de LinkedIn data de 2012, y el de Tumblr es de 2013. Ambos conjuntos de datos son enorme, y ambos estaban listados en la red oscura por la misma persona - Tranquilidad de espíritu.

Pero ahí es donde terminan las similitudes, porque si bien LinkedIn no aseguró sus contraseñas correctamente, las de Tumblr estaban protegidas con un cifrado SHA-1 (relativamente) fuerte. Esto significa que hay pocas posibilidades de que un atacante entre en sus cuentas de Tumblr o recicle las combinaciones de inicio de sesión en otros servicios, como Facebook, PayPal o Twitter..

Aunque hay un inconveniente. Un atacante que compra el volcado ahora tiene una lista de 68 millones de cuentas de correo electrónico activas y verificadas. Esto significa que cualquier usuario atrapado en él corre un mayor riesgo de ataques de phishing y correo electrónico.

Entonces, ¿cómo se ve el phishing en 2016 y qué pasos puede tomar para protegerse??

El phishing no es passé

Si no hubiera encontrado el informe de Vice's Motherboard, se le podría perdonar por pensar que el phishing es una reliquia polvorienta de la década de 1990 y principios de 2000, remontándose a la novela de Internet, y nadie sabía realmente cómo funcionan las cosas. Seguramente, usted argumenta, nadie se enamora de correos electrónicos de phishing más.

A las estadísticas les importaría estar en desacuerdo. En primer lugar, los correos electrónicos de suplantación de identidad (phishing) todavía se están enviando en números improbablemente grandes. Según la SecureList, propiedad de Kaspersky, los correos electrónicos de phishing y spam representaron el 54,2% de todos los correos electrónicos enviados en el tercer trimestre de 2015. Esto fue una leve caída respecto del trimestre anterior, pero sigue siendo una cantidad notable de mensajes..

En el tercer trimestre de 2015, el porcentaje de #spam en el tráfico de correo electrónico representó 54.2% #KLreport #infosec https://t.co/nKGjX6CH3N pic.twitter.com/Sxs0wM7my7

- Kaspersky Lab (@kaspersky) 12 de noviembre de 2015

La mayor fuente de correos electrónicos de phishing es Estados Unidos, seguido de cerca por Vietnam, China y Rusia. Curiosamente, el país con más usuarios afectados por el phishing es Brasil, al que le siguen Japón, China y Vietnam. Ni los Estados Unidos, ni ningún otro país occidental desarrollado, en realidad, están entre los diez primeros.

Pero mientras que la tasa general de correos electrónicos maliciosos y no deseados se ha reducido ligeramente, el número de correos electrónicos de phishing se ha disparado. Según Symantec, la proporción de correos electrónicos de phishing aumentó en enero de 2015 de uno en 1,517 correos electrónicos, a uno en 1,004.

Anti-Spam es cada vez más inteligente, pero también lo son los correos electrónicos de phishing

En los años 1990 y 2000, el software antispam no era sofisticado y apenas tenía un propósito. Muchos programas hicieron poco más que buscar palabras clave, como 'viagra', y desechar cualquier correo electrónico que los contenga. Los spammers y los phishers los sortearon intencionalmente escribiendo incorrectamente las palabras que estaban en la lista de palabras clave. Entonces, 'viagra' se convirtió en 'v1agra', que luego se convirtió en 'v1agr4', y luego en 'v1a8r4'. Tienes la idea.

Algunos se volvieron aún más creativos y empezaron a ocultar las palabras entre imágenes y tablas de colores especiales..

El resultado final fue que los usuarios estaban siendo literalmente inundado Con ataques de spam y phishing. Pero eso cambió hacia el final de la década de 2000, cuando el antispam finalmente se volvió inteligente. Las computadoras más rápidas significaron que los servicios de correo electrónico en línea, como Gmail y Outlook, podrían realizar cálculos complicados en tiempo real, lo que determinó si se enviaría un correo electrónico a la bandeja de entrada del usuario o a la carpeta de correo no deseado..

En lugar de solo buscar palabras clave, los filtros de correo no deseado comenzaron a ver cosas como el origen del mensaje de correo electrónico y el comportamiento de otros usuarios a correos electrónicos de naturaleza similar..

Los spammers no se han rendido. De hecho, según Securelist, se están volviendo aún más inteligentes, y es cada vez más difícil detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing ¡Atrapar un correo electrónico de phishing es difícil! Los estafadores se hacen pasar por PayPal o Amazon, intentando robar su contraseña y la información de su tarjeta de crédito, y su engaño es casi perfecto. Te mostramos cómo detectar el fraude. Lee mas .

Una de las cosas que Securelist señaló en su informe es que los spammers a menudo adoptan un enfoque estacional al spam y al phishing. Durante el verano, notó que el número de correos electrónicos de phishing con un tema de viaje se disparó.

“En julio, los estafadores intentaron engañar a los usuarios enviando notificaciones falsas en nombre de los hoteles. El mensaje agradeció a los destinatarios por permanecer en su hotel y les pidió que vieran la factura adjunta. El archivo adjunto en realidad contenía Trojan-Downloader.Win32.Upatre.dhwi, que a su vez descargó y ejecutó Trojan-Banker.Win32.Dyre (visto como 98. ***. **. 39 / cv17.rar) haciendo clic en los enlaces Escrito en el cuerpo del descargador..”

Una táctica utilizada para evitar los programas antispam es colocar todo en un archivo PDF, que luego el usuario abrirá. Esto es efectivo porque es muy difícil "leer" programáticamente un archivo PDF.

phishing PDF
hXXp: //dgreenwell.chytrak.cz/Label.html pic.twitter.com/eJl2RmImcJ

- JaromirHorejsi (@JaromirHorejsi) 18 de enero de 2016

Cuando los filtros anti-spam se dieron cuenta de este truco, los spammers comenzaron a usar objetos de mediabox en archivos PDF adjuntos, elementos en documentos PDF que se abren con un clic del ratón. Se pueden utilizar para redirigir al usuario a sitios web de phishing..

Un trampolín de phishing: incrustación de redirecciones en documentos PDF http://t.co/E7lPSiB4q5 pic.twitter.com/BU97TpD1TK

- Mohtashim Nomani (@ mohtashim712) 18 de septiembre de 2015

Este juego del gato y el ratón no muestra signos de terminar, con un claro ganador. De hecho, la guerra podría estar intensificándose..

Los servicios legítimos personalizan sus correos electrónicos, pero también los atacantes

Para proteger a sus usuarios de los correos electrónicos de phishing, los servicios en línea, especialmente los servicios de banca en línea, han personalizado sus correos electrónicos con un pequeño "token" que es exclusivo del usuario. Uno de los bancos que uso incluye los últimos tres dígitos de mi número de cuenta en toda la correspondencia electrónica. Otro coloca los primeros tres caracteres de mi código postal en la parte superior de todos los correos electrónicos.

Esto es algo que siempre debes buscar..

Curiosamente, los atacantes también han comenzado a personalizar sus correos electrónicos para que sean más efectivos. Una cosa que he notado es que algunos correos electrónicos de phishing han comenzado a tomar la primera parte de una dirección de correo electrónico (todo antes de '@'), y ponerlo en el saludo. El correo electrónico de mi trabajo es '[email protected]', por lo que estos correos electrónicos comenzarán con 'Dear mhughes'.

Mensajes de texto: la próxima frontera del phishing

Cada vez más, los servicios en línea que utilizamos se están vinculando con nuestros dispositivos móviles. Algunos servicios solicitan su número de teléfono para configurar la autenticación de dos factores. ¿Qué es la autenticación de dos factores? ¿Por qué debería usarla? ¿Qué es una autenticación de dos factores? ¿Y por qué debería usarla? La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta,… Leer más. Otros lo solicitan para compartir información contigo..

Los sitios no protegen los números móviles de la forma en que lo hacen las contraseñas. La razón de esto es cuando hash-and-salt una contraseña Cada sitio web seguro lo hace con tu contraseña Todo sitio web seguro lo hace con tu contraseña ¿Alguna vez te has preguntado cómo los sitios web mantienen tu contraseña a salvo de las violaciones de datos? Leer más, se vuelve imposible de leer. Para que los sitios envíen mensajes o llamen a un número, deben mantenerlo sin protección..

Este hecho, junto con los servicios de mensajes de texto extremadamente baratos (completamente legítimos) como Twilio, Nexmo y Plivo, (de lo que las personas son menos sospechosas), significa que los atacantes se apoyan cada vez más en los SMS como un vector de ataque..

Este tipo de ataque tiene un nombre: smishing, mientras que el phishing de voz se llama vishing Nuevas técnicas de phishing para ser consciente de: vishing y smishing Nuevas técnicas de phishing para tener en cuenta: vishing y smishing Vishing y smishing son variantes peligrosas de phishing. ¿Qué deberías estar buscando? ¿Cómo sabrás un intento de vishing o smishing cuando llegue? ¿Y es probable que seas un objetivo? Lee mas .

Sospeche

Si no sabes si estás en el basurero de Tumblr, puedes averiguarlo dirigiéndote a Troy Hunt's Have I Have Pwned.

Si es así, es una buena idea restablecer sus contraseñas y configurar la autenticación de dos factores en todas sus cuentas. Pero mas importante, Deberías poner tu medidor de sospechas a once.. No tengo dudas de que los usuarios afectados verán un aumento en los correos electrónicos de spam y phishing en las próximas semanas. Se verán convincentes. Para mantenerse a salvo, los usuarios de Tumblr deben comenzar a tratar cualquier correo electrónico entrante con una buena dosis de escepticismo.

¿Has estado atrapado en la fuga? ¿Has recibido algún correo electrónico sospechoso? Déjame saber abajo en los comentarios.

Créditos de las fotografías: tabla de bits HTML (Niels Heidenreich)

Explorar más sobre: ​​Hacking, Phishing, Tumblr.