Las amenazas olímpicas quieren engañarlo
¿Está pensando en visitar Brasil durante los Juegos Olímpicos? ¿O ver los juegos en línea? En este artículo queremos hablar de las amenazas que pueden afectar a los visitantes que tengan previsto viajar a Brasil para disfrutar de los juegos, o para las personas que sólo desean ver los juegos en línea. En la primera parte, vamos a hablar de los ataques de phishing, incluyendo uno contra los organizadores de los Juegos; en la segunda parte, hablaremos de la seguridad de WiFi y los resultados de una investigación sobre los puntos de acceso inalámbricos que llevamos a cabo en las calles de Río de Janeiro durante una visita a los mismos lugares que turistas y atletas frecuentarán. En la tercera y última parte, hablaremos de la seguridad física que implica el uso de puntos USB de recarga en aeropuertos, el problema de la clonación de tarjetas de crédito y dispositivos skimmer en cajeros automáticos, todas las amenazas que afectan directamente a los visitantes de estos Juegos Olímpicos de verano en Río.
Sin duda, el tema de los Juegos Olímpicos es muy atractivo para los maleantes. Los ciberdelincuentes siempre utilizan los eventos deportivos populares como carnada para sus ataques, como lo hicieron en la Copa del Mundo en 2014, un evento que supervisamos muy de cerca debido a la impresionante cantidad de ataques registrados en aquel momento, principalmente en Brasil. Pero en este tiempo ha sido un poco diferente para los Juegos Olímpicos – el número de ataques ha sido bajo, en comparación con la Copa del Mundo. Ciertamente hay razones que lo explican – una de ellas es debido a que el Comité Olímpico Internacional (COI) tiene un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) muy activo que trabaja y resuelve los incidentes de seguridad, así como informando acerca de campañas de phishing y malware. Como resultado, el número de ataques dirigidos a usuarios finales en este momento son bajos.
Sin embargo, los maleantes no tienen límite cuando se trata de crear nuevos ataques. Hemos sido capaces de rastrear y bloquear varios de ellos, como el registro de los dominios maliciosos, sorteos falsos promovidos en las redes sociales, y por supuesto, sitios web de venta de entradas falsas, utilizando todos los medios posibles para engañar a los usuarios.
Dominios muy, muy malos
La mayor parte de los ataques empiezan con el registro de un dominio que muestra claramente su intención maliciosa. Desde el comienzo del año, hemos observado la creación diaria de nuevos dominios registrados con el nombre de la ciudad anfitriona y el año 2016, y nos dimos cuenta de los maleantes están registrando constantemente nuevas creaciones, las cuales son el inicio de cada ataque. Nuestra lista de rechazados contiene más de 230 de estos dominios maliciosos.
Varios de estos dominios han sido registrados por una cuenta de correo web gratuito, o están usando protección de dominio Whois para ocultar la verdadera identidad del propietario. Algunos de estos dominios están hibernando; esperando el momento adecuado para iniciar el ataque (especialmente los que prometen streaming gratuito). Otros se utilizaron para alojar sitios de comercio electrónico falsos de venta de boletos, hospedaje de phishing, malware, o incluso se utilizaron para difundir falsos sorteos de boletos. Otro punto interesante es que varios de estos dominios ya están utilizando el nuevo gTLD aprobado por la ICANN (como .tech y otros).
“Los vamos a pescar”
No sólo son los usuarios finales el blanco de los ataques de phishing– Brasil encabeza la lista de los países más atacados por phishing– la organización de los Juegos también fue un objetivo, ya que las credenciales de los empleados son muy valiosas para los ciberdelincuentes. Por medio de nuestro sistema de monitoreo de dominios, detectamos en febrero una campana interesante dirigida contra el Comité Olímpico Internacional, utilizando un dominio malicioso para hacerse pasar por su portal de Internet. ). El objetivo de los atacantes era robar las credenciales de los empleados del COI que trabajan en Brasil. Esta era la apariencia de la página, cuando estaba activa. Además, sabemos que recibieron varios otros ataques como este:
Los empleados del COI eran el objetivo de la campaña de phishing para robar sus credenciales
Los ataques más comunes son sin duda los que quieren pescar al usuario final – el robo de credenciales es un ataque muy fácil que incluso un delincuente no especializado puede hacer. Pudimos observar phishing con diferentes objetivos, en varios colores y presentaciones. Éste, que fue muy popular en Brasil, quiere clonar su tarjeta de crédito utilizando el nombre de una empresa brasileña y prometiendo el sorteo de un automóvil nuevo y entradas para los Juegos:
Entradas gratis y el sorteo de un automóvil. No, sólo falsas promesas de un estafador de tarjetas de crédito
Boletos falsos, sorteos falsos, pérdidas reales
Tal como sucedió durante la última Copa del Mundo, la mayoría de los correos electrónicos maliciosos enviados por maleantes brasileños utilizaron la misma carnada: entradas gratuitas para ver los Juegos de Río. Algunos de estos mensajes también señalaban a sitios web falsos. Este es un buen ejemplo de una campaña muy bien hecha, que promete la venta directa de boletos sin la necesidad de participar en las loterías oficiales, disponible para las personas que viven en Brasil:
¿Por qué molestarse en participar en el sorteo oficial cuando se puede comprar un boleto directamente con los defraudadores?
Otros sitios web falsos también ofrecían entradas a un precio muy bajo, en una forma de atraer a las personas que buscan comprar boletos de último minuto. La página web, enfocada en brasileños, se presentaba de una manera muy atractiva, pero escrita en mal portugués:
Aquí el objetivo era vender entradas falsas – la víctima pagaría pero no recibiría nada. La forma de pago elegida por el maleante eran Boletos brasileños, un sistema de pago muy popular, que se utiliza sobre todo para las personas que no tienen tarjetas de crédito.
La carnada que se utilizó para atraer la atención fueron precios muy bajos. La entrada para la Ceremonia Inaugural estaba costando $500.00 dólares; y un partido con la selección nacional de fútbol de Brasil costaba solamente $50.00 dólares. Por supuesto que todo era falso:
“Vea el partido de fútbol mediante el pago de solo $50.00 dólares”
Los maleantes también utilizaron las redes sociales para difundir sus ataques. Facebook fue la red más utilizada para estos casos. Esta página fraudulenta anunciaba sorteos falsos de entradas. La página se encuentran todavía en línea:
Si quieres ver los juegos, ahora ya es demasiado tarde para comprar entradas a través de los canales oficiales. Además, no recomendamos la compra de boletos en sitios no oficiales ya que existe una alta posibilidad de comprar gato por liebre. Tal vez lo mejor sea ver los juegos por televisión o en línea – pero tenga cuidado con los sitios web de streaming maliciosos ya que éstos aparecerán, sin duda, dando a los ciberdelincuentes una última oportunidad para tratar de infectar su computadora y robar sus datos.
Seguridad del WiFi
Cuando viajamos, por lo general necesitamos más datos de Internet que cuando estamos en casa. Y esto es natural porque tomamos fotografías, enviamos mensajes, publicamos y nos mantenemos en contacto. Sin embargo, los planes de datos internacionales son por lo general muy costosos y es por eso que buscamos puntos de acceso a WiFi. Los ciberdelincuentes saben esto y cada año crean puntos de acceso falsos o comprometen redes WiFi legítimas para interceptar y manipular la navegación de sus víctimas. Su objetivo son las contraseñas de los usuarios, tarjetas de crédito y otra información personal del usuario. Las redes WiFi abiertas y mal configuradas son las preferidas por los delincuentes.
Por tal razón fuimos a tres áreas importantes en Rio y observamos de manera pasiva las redes disponibles, que seguramente los visitantes tratarán de utilizar durante los Juegos Olímpicos: El Comité Olímpico Brasileño, el Parque Olímpico y los estadios – Maracaná, Maracanãzinho y Engenhão.
Hermosas playas, bossa nova y WiFi inseguro
Ejecutamos un análisis rápido durante dos días en los lugares marcados en el mapa con estrellas y pudimos encontrar unos 4500 puntos de acceso únicos que se encuentran en las áreas mencionadas.
La mayor parte de las redes funcionan con la norma 802.11n:
Esto significa que la mayor parte del hardware que se utiliza para construir los puntos de acceso WiFi es nuevo, lo que facilita el trabajo con multimedia ya que se pueden alcanzar velocidades de hasta 600 Mbps y se puede trabajar no sólo en 2.4Ghz, 2.5Ghz, sino también en 5Ghz.
Sin embargo, en cuanto a la Seguridad, podemos decir que el 18% de todas las redes WiFi disponibles en el área son inseguras porque tienen una configuración abierta. Eso significa que todos los datos enviados y recibidos en este tipo de redes no están protegidos por ninguna clave de acceso cifrado.
Podemos ver que además, el 7% de todas las redes tienen Acceso WiFi Protegido. Ese algoritmo es realmente obsoleto actualmente y con poco esfuerzo se puede intervenir. En nuestra opinión, esto es especialmente preocupante ya que los usuarios que se conectan a las llamadas redes “de confianza” pueden creer que realmente se están conectando a una red segura, cuando en realidad puede estar comprometida por un atacante que pudiera enviar diferentes tipos de ataques para manipular el tráfico de red con los datos de los usuarios.
Con esto en mente, alrededor de una cuarta parte de todas las redes WiFi en la zona de los Juegos Olímpicos son inseguras o configuradas con protocolos débiles de cifrado, que permiten a los atacantes intervenirlas primero y luego crear ciertas circunstancias técnicas para rastrear la navegación de las víctimas y robar sus datos confidenciales.
¿Es posible utilizar una red WiFi abierta y tener una conexión segura a Internet? La respuesta es sí, no obstante, sólo cuando utilicemos una conexión de VPN.
Recomendamos que, independientemente de cualquier red WiFi que pudiera utilizar durante un viaje, utilice una conexión VPN de modo que los datos de su endpoint puedan viajar por Internet a través de un canal de datos cifrado. De esta manera, incluso si trabaja desde una red WiFi comprometida, el atacante no podrá tener acceso a sus datos.
Sin embargo, no todos los proveedores de VPN ofrecen realmente un buen servicio. Algunos de ellos son vulnerables a ataques de fugas DNS. Eso significa que aunque sus datos sensibles se envíen a través de VPN, las consultas o peticiones DNS se envían en texto sin formato a los servidores DNS establecidos por el hardware del punto de acceso. En este escenario, el delincuente puede todavía al menos saber qué servidores está usted navegando y, si éste tiene acceso al Punto de Acceso de la red WiFi comprometida, puede definir los servidores DNS maliciosos. Esto significa básicamente que la próxima vez que usted escriba el nombre de su banco en el navegador, la dirección IP donde se dirigirá será una maliciosa. Por lo tanto, incluso algunos usuarios experimentados pueden llegar a ser víctimas fáciles de los atacantes. No hay límite, desde el punto de vista de los delincuentes, de las veces que puedan tomar control de los servidores DNS.
Por tal razón, antes de usar la conexión VPN, asegúrese de que no tenga un problema de filtración de DNS. Si su proveedor de VPN no da servicio a sus propios servidores DNS, considere cambiarse a otro proveedor de VPN o servicio DNSCrypt, por lo que sus solicitudes DNS harán consultas externas y cifradas a servidores DNS. Recuerde que incluso un pequeño problema de seguridad se puede convertir en un gran problema para usted.
Una fórmula simple tiene que ser la siguiente: en cualquier red a la que se conecte, utilice su conexión VPN con sus propios servidores DNS. No confíe en ninguna configuración local ya que no puede estar seguro si el acceso WiFi al que se conecte está comprometido o no.
Seguridad Física
Otro punto que debemos tener en cuenta cuando viajamos es la seguridad física. No todo lo que parece útil es exactamente lo que parece ser. Los delincuentes suelen utilizar esta táctica para llevar a cabo ataques maliciosos aprovechando situaciones en las que la necesidad de hacer algo hace que no pensemos acerca de qué tan seguro ese algo realmente es. Vamos a hablar un poco acerca de algunas situaciones comunes que nos podrían exponer a un ataque malicioso.
Puntos de Recarga USB
Como se ha mencionado antes, el uso de teléfonos móviles cuando viajamos es algo fundamental y es todo un reto mantener suficiente carga durante todo el día. Con el fin de ayudar a los turistas, la mayoría de las ciudades están invirtiendo en estaciones de recarga que se pueden encontrar fácilmente en centros comerciales, aeropuertos y taxis. La mayoría de ellos proporcionan conectores para la mayoría de los modelos de teléfono, así como un conector USB que se puede utilizar con su propio cable.
Punto de recarga disponible en un taxi brasileño
Algunos modelos que se pueden encontrar en centros comerciales y aeropuertos también proporcionan una fuente de alimentación tradicional que se puede utilizar con su propio cargador.
Punto de recarga en el Aeropuerto Internacional de Río. ¿Cuál le parece es el más seguro para usar?
Mientras usted está conectado a través del USB, el atacante puede ejecutar comandos con el fin de recabar información acerca de su dispositivo, como modelo, IMEI, número de teléfono, estado de la batería y otra información. Con esta información es posible ejecutar un ataque para el modelo de teléfono específico y luego infectar con éxito el dispositivo y recopilar información personal.
Esto no quiere decir que nunca debemos cargar nuestros dispositivos fuera de nuestra casa, pero hay que seguir algunas reglas con el fin de protegernos de este tipo de ataque. Los siguientes son algunos consejos:
- Siempre utilice su propio cargador. Si tiene que comprar uno, no lo compre de fuentes desconocidas;
- Utilice la toma de corriente en lugar de la toma USB cuando utilice un punto de recarga desconocido;
- No utilice los cables de carga de estaciones de recarga públicas;
Cajero Automático Skimmer
El ataque del Cajero Automático Skimmer, también conocido como “Chupa-Cabra” en Brasil y otros países de América Latina, es un tipo muy popular de ataque que todavía utilizan los delincuentes en Brasil. De vez en cuando, la prensa informa sobre una nueva banda que utiliza este ataque en algún lugar del país, principalmente en lugares habitualmente frecuentados por turistas, como el aeropuerto internacional de Río de Janeiro. En el 2014, una banda instaló ahí 14 cajeros automáticos skimmers.
Hay diferentes tipos de Cajeros Automáticos Skimmers en Brasil. El más común es el tiene un lector de tarjetas y una cámara con el fin de registrar la contraseña que se tecleó.
Cajero Automático Skimmer con una cámara para grabar la contraseña tecleada
Para este tipo de skimmer usted se puede proteger cubriendo el teclado mientras ingresa su contraseña y con ello evitar que la cámara instalada lo grabe.
Desafortunadamente, este método no ayudará en todos los casos, ya que hay otros tipos de skimmers, donde los delincuentes reemplazan todo el Cajero Automático, incluyendo el teclado y la pantalla. En este caso, la contraseña introducida se almacenará en el sistema del Cajero Automático falso.
Cajero Automático Skimmer que sustituye todo el Cajero Automático
Con el fin de evitar este tipo de ataque es importante estar al tanto de cualquier comportamiento sospechoso durante el uso de los Cajeros Automáticos, como:
- Compruebe que la luz verde en el lector de tarjetas esté encendido. Por lo general, los delincuentes sustituyen el lector con una versión sin luz o con luz apagada.
- Antes de iniciar la operación, compruebe que no haya algo sospechoso en el cajero automático como partes faltantes o no bien ensambladas;
- Oculte el teclado mientras ingrese su contraseña;
Clonación de Tarjetas de Crédito
Desgraciadamente Brasil es bien conocido por sus actividades de clonación de tarjetas de crédito. No es difícil encontrar a alguien a quién le hayan clonado su tarjeta de crédito durante su visita al país.
Las tarjetas de crédito y débito se utilizan mucho en Brasil. Casi todos los lugares aceptan tarjetas como forma de pago, incluidos los vendedores ambulantes. Incluso, la mayoría de ellos prefieren las tarjetas de crédito como medio de pago con el fin de evitar problemas para dar cambio.
Los bancos brasileños son una referencia en el mundo por su lucha contra la clonación de tarjetas de crédito. Ellos fueron los pioneros en la adopción de las tarjetas con chip como una manera de proteger a sus clientes de este tipo de ataques ya que éstas ofrecen una protección mejorada que podría hacer más difícil la clonación de la tarjeta. Sin embargo, sólo fue cuestión de tiempo para que los delincuentes brasileños comenzaran a clonar las tarjetas con chip, mediante el uso de algunos defectos en la implementación de las transacciones EMV.
Pudimos ver a los delincuentes brasileños intercambiar información acerca de cómo ejecutar un ataque a una tarjeta con chip para extraer la información y luego escribir de nuevo en otra tarjeta mediante el uso de algunas herramientas.
Herramienta utilizada para guardar la información en la tarjeta inteligente
Es muy difícil protegerse contra este tipo de ataque, ya que por lo general el punto de venta se modifica con el fin de recopilar y guardar la información para luego ser recuperada por los delincuentes. A veces no necesitan un acceso físico para extraer la información robada; la recuperan vía bluetooth.
Una buena solución por parte de los bancos son las notificaciones vía SMS por cada transacción realizada con su tarjeta. A pesar de que no evita la clonación de la tarjeta, la víctima será notificada acerca de la transacción fraudulenta tan pronto como suceda. La víctima puede entonces ponerse en contacto con el banco con el fin de bloquear transacciones futuras.
Los siguientes son algunos consejos simples que pueden reducir las posibilidades de que clonen su tarjeta de crédito:
- Nunca pierda de su vista a su tarjeta. Si por alguna razón no pueden llevar la máquina hasta usted en un restaurante o tienda, siga a la persona hasta donde esté el terminal para procesar el pago;
- Si la máquina luce sospechosa, cambie la forma de pago. Siempre es bueno contar con dinero en efectivo;
- Antes de escribir su PIN, asegúrese de que este en la etapa correcta de la transacción. A veces pasan el dispositivo con la pantalla donde se debe ingresar el valor de la transacción para que ingrese su PIN y este se muestre en la pantalla;
Para todos aquellos que deseen visitar Brasil para disfrutar de los juegos este verano, les deseamos un buen viaje y una estancia segura. Para nuestros lectores, les deseamos una navegación segura en la web, y para los atletas olímpicos, ¡qué gane el mejor!
Amenazas informáticas durante los Juegos Olímpicos en Brasil – 2016
Santiago Guzman
Excelentes consejos que todos debemos saber ya que no sabemos en que momento podamos ser victimas de algun delincuente y como este excelente articulo nos enseño, hay diferentes maneras para acceder a nuestra informacion personal.
Gracias equipo Kaspersky