TEMA 4: PHISING, DEFINICIÓN Y RECOMENDACIONES

DEFINICIÓN:  

El phising es un tipo de ataque que intenta robar información de los usuarios para poder suplantarlos; por ejemplo sus credenciales o su número de tarjeta de crédito. En los ataques de phising se utilizan métodos de ingeniería social, convenciendo a los usuarios mediante correos electrónicos, redes sociales o mensajes instantáneos para inducirles a facilitar información personal, directamente o través de páginas web que simulan ser legítimas .

RECOMENDACIONES:

• Los servicios reales no van a solicitar nunca las credenciales de usuario u otros datos sensibles por correo electrónico o sms. Debemos desconfiar ante situaciones de este tipo.

• Tenemos que acostumbrarnos a revisar  la legitimidad del correo antes de acceder a los links del mismo.

• Verificar la identidad el remitente y comprobar los enlaces recibidos pasando el cursos sobre ellos y comparándolos con los datos reales que podemos encontrar en cualquier buscador.

• Desconfiar de los enlaces y, ante cualquier duda, confirmar por teléfono o cualquier otro medio alternativo si el remitente es realmente quien dice ser.

• En caso de duda notificar la incidencia al servicio de soporte de usuarios. Puede tratarse de una campaña masiva y así la empresa puede tomar medidas para evitar su impacto.

• Las credenciales robadas pueden ser usadas para suplantarnos en acciones como envíos de correo fraudulento o pagos de correo desde nuestras cuentas.

• En muchas ocasiones las páginas de phising también se emplean para instalar programas maliciosos en los navegadores de los equipos que acceden a ellas, comprometiendo la seguridad del equipo y y extrayendo información almacenada en el mismo.

TEMA 4: CLASIFICACIÓN DEL MALWARE

Los distintos códigos maliciosos pueden clasificarse en función de diferentes criterios. Los más comunes son:

• Virus: Infectan otros archivos. Solo pueden existir en un equipo dentro de otro fichero. Generalmente son ejecutables .exe, .src, .bat... Los virus infectan al sistema cuando se ejecuta el fichero infectado.

• Gusano: Su característica principal es que busca realizar el número máximo posible de copias de si mismo para facilitar su propagación.  Se suele propagar por correo electrónico, archivos falsos descargados en redes de comparticion de ficheros (P2P), mensajería instantánea...

• Troyano: Tiene capacidad para crear una puerta trasera o backdoor que permita la administración remota a un usuario no autorizado. Para llegar al sistema lo más habitual es descargando un programa malicioso (aunque al usuario le va a parecer inofensivo), visitando una página web maliciosa...

Muchos de los códigos maliciosos realizan varias acciones simultáneamente. Una clasificación genérica de los códigos maliciosos es la siguiente:

• Ladrones de información (infostealers): Agrupa todos los tipos de código maliciosos que roban información. Son los capturadores de las pulsaciones del teclado (keyloggers),  espías de información del usuario (spyware) y los ladrones de contraseñas (PWstealer).

• Código delictivo (crimeware): Hace referencia a los programas que realizan una acción delictiva en el equipo, por lo general con fines lucrativos.  Engloba a los ladrones de contraseñas bancarias (phishing), que mediante mensajes de correo spam con clickers redireccionan al usuario a falsas págians bancarias. Tenemos también las estafas electrónicas (scam) como puede ser vender falsas herramientas de seguridad (rogeware).

• Greyware: Engloba las aplicaciones que realizan alguna acción que, en principio no es dañina pero si molesta. Tenemos aquí el software de visualización de publicidad no deseada (addware), espias, bromas (joke) o bulos (hoax).

Existe gran variedad de formas en las que el malware llega a nuestro equipo. Los métodos de infección más habituales son:

• Explotando una vulnerabilidad: Aprovechamos la vulnerabilidad del software para tomar el control, ejecutar comandos no deseados o introducir programas maliciosos en el equipo.

• Ingeniería social: Se usa el abuso de confianza por parte del usuario para apremiarlo a realizar determinadas acciones que en realidad son fraudulentas o buscan un beneficio económico para el hacker.

• Archivos maliciosos: Es una de las formas más habituales de llegar al equipo. Se usan, por ejemplo, archivos adjuntos a través del correo no deseado o spam, ejecuciones web, generadores de claves y craxks de software pirata...

• Dispositivos extraíbles: Muchos gusanos dejan copias de si mismos en dispositivos extraíbles para que mediante la ejecución automática, que se realiza en la mayoría de los casos cuando el dispositivo se conecta al pc, pueda ejecutarse e infectar un nuevo equipo y a su vez los nuevos dispositivos que se vayan conectando.

• Cookies maliciosas: Las cookies son pequeños archivos de texto que se crean en el navegador al visitar páginas web. En principio son creadas para poder ofrecer al usuario una navegación más personalizada. Las cookies maliciosas monitorizan la actividad del usuario en Internet con fines maliciosos, por ejemplo capturar los datos de acceso a determinadas páginas web o vender los hábitos de navegación  a empresas de publicidad.

TEMA 4: ANÁLISIS DE UNA NOTICIA SOBRE REDES BOTNET

Vamos a analizar la noticia que encontramos en el siguiente enlace:

http://www.adslzone.net/2016/02/05/atacan-anonimamente-una-botnet-y-sustituyen-su-malware-por-software-antivirus/

La noticia analiza el caso de una botnet que hasido hackeada. Es un ejemplo de "cazador cazado".

La botnet era usada para instalar malware o robar datos privados en los ordenadores infectados. En este caso lo que hizo el hacker fue sustituir el malware por antivirus que se instalaban en los ordenadores de las victimas de la red. Y es que parte de la botnet Dridex es usada ahora para distribuir un instalador del antivirus Avira, mediante el cual es posible protegerse frente a este tipo de amenazas, por lo que en lugar de infectar nuestro ordenador como mucho le añadiríamos nuevas capas de protección..

La presencia de botnets en Internet es uno de los mayores peligros para la seguridad informática de todo el planeta. Estas redes de ordenadores van infectando con virus y malware los equipos de usuarios y que sirven como cortafuegos para borrar el rastro de un atacante original que quiera llevar a cabo un ataque informático, la propagación de un virus en Internet o el robo de datos financieros de clientes de entidades bancarias.

Una de las botnet más activas era precisamente Dridex, que se propagaba por correo electrónico mediante el envío de malware en archivos office. Al abrir el archivo el usuario estaba permitiendo la instalación de un troyano que permitía al atacante tomar el control del equipo. 

Este es un ejemplo irónico del problema de la seguridad informática actualmente. Con el acceso generalizado a Internet aumentan los problemas en este sentido, lo que es aprovechado por los hackers para acceder a nuestra información. 

TEMA 4: SOFTWARE MALICIOSO (RESUMEN)

DEFINICIÓN:  El software malicioso o malware incluye todos los tipos de programas que han sido diseñados para acceder a los equipos sin autorización y producir efectos no deseados. A veces los efectos se producen sin que el usuario se de cuenta en el momento.

ORIGEN: Inicialmente la motivación principal para los creadores del malware era el reconocimiento público. Por eses motivo las acciones a realizar debían de ser visibles por el usuario, como por ejemplo eliminar archivos importantes del sistema, formatear disco duro...

Con el gran avance de las tecnologías y su introducción en todos los aspectos de nuestra vida diaria  los ciberdelincuentes pasan a tener una motivación económica. Por este motivo actualmente los códigos maliciosos son desarrollados con la intención de que pasen lo más desapercibidos posible, para disponir así de más tiempo para desarrollar las actividades maliciosas.

FINES: El fin principal actualmente es conseguir un beneficio económico. Lo métodos mas comunes son:

• Robar información sensible del equipo, por ejemplo datos personales o bancarios, contraseñas...
• Creación de una red de ordenadores infectados, denominada zombie o botnet, para que el atacante pueda manejarlos a todos simultáneamente y vender l información a entidades para la realizacio nde actividades de spam, mensajes phising, acceder a cuents bancarias...
• Vender falsas soluciones de seguridad (rogueware). Por ejemplo falsos antivirus que muestran mensajes de que el ordenador está infectado cunado en realidad no es así.
• Cifrar el contenido de los ficheros del ordenador y solicitar un rescate para recuperar la información.

TEMA 4: SOFTWWARE ANTIMALWARE. EJERCICIO PROPUESTO 4

Investiga acerca de secuestradores de navegador web (browse hijacker) y de la consola de comnados (shell hijacker)  ¿Qué efectos no deseados tiene sobre el sistema?

Shell hijacker es una infección peligrosa troyana que se instala silenciosamente al ordenador del usuario y realiza un montón de actividades ilegales. Cuela al sistema Windows con los archivos adjuntos de correos electrónicos spam, compartiendo en entorno de red,  visitando sitios web pornográfico y otros archivos. Consigue una vez ejecutado, desactivar el firewall de Windows, bloquea sitios web seguridad y permite a los hackers cibernéticos para acceder a información confidencial como número de tarjeta de crédito, cuenta bancaria en línea detalles del login y otros. También modifica toda configuración de PC como fondo de escritorio, página de inicio de navegador web y otros. También apropia de navegador como Internet Explorer, Google Chrome, Mozilla Firefox, Safari y otros. 

Junto con esto, añade otra infección maliciosa como rootkits, backdoor, adware y otros que hace que el rendimiento del equipo lento. También modifica la configuración del navegador web y redirige los resultados de búsqueda web a sitios desconocidos.  

Browser hijacking: (Secuestro de navegadores en español). Se llama así al efecto de apropiación que realizan algunos spyware sobre el navegador web lanzando popups, modificando la página de inicio, modificando la página de búsqueda predeterminada etc. Es utilizado por un tipo de software malware el cual altera la configuración interna de los navegadores de internet de un ordenador. El término "secuestro" hace referencia a que éstas modificaciones se hacen sin el permiso y el conocimiento del usuario. Algunos de éstos son fáciles de eliminar del sistema, mientras que otros son extremadamente complicados de eliminar y revertir sus cambios.

Existe, por ejemplo,  Home Page Browser hijacking que es el secuestro de la página de inicio del navegador. Esto sucede cuando la página de inicio, en la que navegamos es cambiada por otra a interés del secuestrador. Generalmente son páginas en las que nos invita a usar los servicios de la página para que nuestro equipo esté seguro y funcione correctamente. 

TEMA 4: SOFTWARE ANTIMALWARE. EJERCICIO PROPUESTO 2

El mejor antivirus del mundo, extraído de la noticia de http://mejorantivirusahora.com/el-mejor-antivirus-prueba-y-comparativas/:


Vamos a analizar brevemente cada uno de los antivirus:

NOMBRE	CARACTERISTICAS	PRECIO
AVAST PRO	Adaptado para todo tipo de usuarios, principiantes y avanzados. es un antivirus muy completo, posee todas las funciones básicas y además una buena protección residente para: sistema de archivos, acceso a la red, correos electrónicos, mensajería instantánea, navegación, descarga desde Internet e intercambio de archivos. Además soporta muchas aplicaciones de uso general en todos estos dominios. La versión gratuita para un uso personal cuenta con muchas funcionalidades y es muy eficaz, lo que ha contribuido a su popularidad. La protección de Avast elimina directamente el mensaje infectado desde el disco rígido. Ya no se podrá acceder al email, pero la amenaza habrá sido eliminada con toda seguridad.	34.96 € 1 año para 1 PC 35.97 € 1 año para 3 PC
KASPERSKY ANTIVIRUS 2016	El programa ofrece versiones para uso particular y profesional y está dirigido a todo tipo de usuarios. Las funciones básicas del programa permiten una protección contra virus, troyanos, gusanos y spywares, analizar archivos en tiempo real, el correo, la mensajería instantánea y el trafico en Internet. El programa también posee funcionalidades de defesa pro activas. Su principio es simple: se basa en un sistema de lista blanca y lista negra que excluye los archivos ya conocidos como seguros o maliciosos, y se centra en la zona gris. La nueva versión cuenta también con una herramienta de protección del navegador que bloquea el acceso a sitios fraudulentos. Su interfaz es agradable y la navegación muy sencilla. La adaptación al programa es inmediata. La información principal es agrupada en un tablero de control y las alertas son muy visibles. El programa cuenta con un teclado virtual para el ingreso de datos bancarios. Para los que juegan en línea, el programa cuenta con un modo de juego que permite desactivar las alertas y disminuir la prioridad de tareas para no disminuir el rendimiento.	25.95€ 1 año para 1 PC 39,96€1 año para 3 PC
BITDEFENDER 2016	Existen versiones para principiantes y avanzados. incluye una nueva capa de protección en tiempo real que controla la actividad de los procesos detectando los elementos maliciosos. La actualización de la base de firmas es automática y el usuario puede programar los análisis en detalle. El programa cuenta además con un antiphishing y alerta sobre los problemas de seguridad internos al programa y también cuando las actualizaciones de Windows, Skype, o Windows Live Messenger son obsoletas. Su interfaz es muy funcional, y la navegación entre los diferentes menús mediante las pestañas es intuitiva. Podemos tener acceso a numerosos parámetros relacionados con el análisis antivirus. Las actualizaciones son efectuadas automáticamente e imperceptibles para el usuario. Los colores de su interfaz le da un aspecto sobrio. Un modo especial que requiere menos recursos permite a los amantes de los videojuegos beneficiarse de una fluidez en el juego y una seguridad idónea. El modo "Portátil" que permite ignorar o aplazar las tareas de análisis cuando el PC está trabajando con la batería.	29.95 € 1 año para 1 PC 39.95€ 2 añopara 3 PC(+1Año Gratuito)
PANDA ANTIVIRUS PLUS 2016	Gracias a su nueva tecnología de protección en tiempo real, el nuevo Panda Antivirus Pro 2016 es más seguro, más rápido y más completo que nunca. El nuevo Panda Antivirus Pro 2016 proporciona la protección más fácil de usar e intuitiva para tu ordenador. Otorga protección contra spyware, phishing (fraude online), root-kits (técnicas furtivas) y troyanos bancarios. El Firewall que viene con Panda Antivirus Pro 2016 está diseñado para parar a intrusos y hackers. Puedes bloquear acceso no autorizados a tu PC y permitir comunicaciones legítimas para entrar. El monitor Wi-Fi te muestra una lista de dispositivos conectados en un momento dado a tu red, ayudándote a descubrir si hay algún intruso en tu Wi-Fi. LAS CARACTERÍSTICAS PRINCIPALES INCLUYEN: Protección en tiempo real. Nuevo filtro web para navegar de forma segura. Protección completa contra virus conocidos y desconocidos.	1 Año Para 1 PC: 21,99€ 1 Año Para 3 PC: 30,24€ (50% descuento)
NORTON SECURITY 2016	La herramienta de seguridad de Symantec supervisa las descargas, correos electrónicos, mensajes instantáneos y más en busca de malware, buscando bloquearlos antes de que puedan hacer algún daño. También hay protección web simples, con el paquete de comprobación de reputación del sitio web y saber si hay algún problema. Ha habido algunos desacuerdos acerca de la efectividad de las herramientas. AV Comparatives evaluando el motor Norton como muy malo en la detección de archivos en una prueba, pero Symantec ha cuestionado la validez de esas cifras, y laboratorios como AV-Test aún pocicionan a Norton en su top 10. Sin embargo, un área donde el paquete realmente sobresale es su impacto en tu PC. Se instala rápidamente, utilizar los recursos del sistema mínimos y empresas de pruebas como PassMark muestra que regularmente están entre las herramientas de seguridad más ligeras.	1 año para 1 pc: 26,99€

TEMA 4: SOFTWARE ANTIMALWARE. EJERCICIO 3

Analizamos la noticia que encontramos en el siguiente enlace:
http://cso.computerworld.es/alertas/madrid-capital-del-spam

¿Cómo se denomina al correo basura y por qué?
Los términos correo basura y mensaje basura hacen referencia a los mensajes no solicitados, no deseados o con remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming. La palabra equivalente en inglés,spam, proviene de la época de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban comida enlatada; entre estas comidas enlatadas se encontraba una carne enlatada llamada spam, que en los Estados Unidos era y sigue siendo muy común. Este término comenzó a usarse en la informática décadas más tarde al popularizarse, gracias a un sketch de 1970 del grupo de comediantes británicos Monty Python, en su serie de televisión Monty Python's Flying Circus, en el que se incluía spam en todos los platos.


¿Cuál es el país con mayor emisión de correo basura?
A nivel internacional, Brasil se sitúa encabeza la lista de países emisores de spam, seguido por India, Corea, Vietnam y Estados Unidos. Por ciudades, el primer puesto del ranking lo ocupa Seúl, seguido de cerca por Hanoi, Nueva Delhi, Bogotá, Sao Paulo y Bombay.


¿En qué posición se encuentra España?
España ocupa el puesto número 18 en el ranking mundial por emisión de correo basura, con el 1,6% del total.


Comenta algún caso en el que hayas recibido correo basura con intento de phishing y cómo lo detectaste.
Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.

Usualmente los mensajes indican como remitente del correo una dirección falsa. Por esta razón, no sirve de nada contestar a los mensajes de spam: las respuestas serán recibidas por usuarios que nada tienen que ver con ellos.


Phishing en redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.)

Excusas utilizadas para engañar al usuario: alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc.

Objetivo: robar cuentas de usuarios, obtener sus datos privados y suplantar su identidad.

TEMA 4: SOFTWARE ANTIMALWARE. EJERCICIO PROPUESTO 1

Lee el siguiente artículo sobre la historia de los virus: http://www.nod32-la.com/tutorials/cronologia_de_los_virus_informaticos.pdf y contesta a las siguientes cuestiones:

¿Como ha cambiado la finalidad del software malware desde sus origines hasta hoy?

Fue en 1949 cuando Von Neumann estableció la idea de programa almacenado y expuso La Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de otros programas de similar estructura. 

Fue en 1972 cuando Robert Thomas Morris creó el que es considerado cómo el primer virus propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET (la precedente de Internet) y emitía un mensaje en pantalla que decía “Soy una enredadera (creeper), atrápame si puedes”. Para eliminarlo, se creó otro virus llamado Reaper (segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.

En 1984, Frederick B. Cohen acuña por primera vez el término virus informático en uno de sus estudios definiéndolo como “Programa que puede infectar a otros programas incluyendo una copia posiblemente evolucionada de sí mismo”.

En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea una nueva corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el envío de gusanos por correo electrónico. Este gusano estaba encaminado y programado para propagarse a través del correo electrónico.

En el año 2000 aparecieron gusanos como el I LOVe you, Mydoom, el Netsky, el Sasser, o el Bagle, que alarmaron a toda la sociedad y lo que buscaban era tener la mayor repercusión y reconocimiento posible. 

Los creadores de malware se dieron cuenta de que sus conocimientos servirían para algo más que para tener repercusión mediática… para ganar dinero.

Fue en 2005 cuando en el que los virus tal y como los conocíamos fueron dejando su lugar a gusanos y troyanos encargados de formar redes de bots para obtener dinero, cuando vieron que el entretenimiento que podía suponer la creación de malware se podía convertir en unnegocio muy rentable.

Quizá la mejor prueba de ello sean los denominados Troyanos Bancarios de los que existen miles de variantes dado que los creadores, para dificultar su detección modificaban permanente el código de los mismos.

Este tipo de malware actualmente se distribuye mediante exploits, spam o a través de otro malware que descarga el troyano bancario. Este último tipo de troyano es el encargado de robar información relacionada con las transacciones comerciales y/o datos bancarios del usuario infectado.

Otra amenaza latente relacionada con la obtención de beneficios económicos a través del malware es el spyware y adware, donde algunas empresas de software permiten al usuario utilizar sus aplicaciones a cambio de que los creadores puedan realizar un monitoreo de las actividades del usuario sin su consentimiento.

En cuanto a las amenazas para móviles, la expansión del uso de esta tecnología ha hecho que también se convierta en un vector de ataque importante para la industria del malware.

Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso para plataformas móviles: Cabir.

¿Existen virus para MacOS?

No, las computadoras de Apple no están exentas de ser infectadas por virus informáticos, aunque ciertamente son menos sensibles a infectarse que las PC's con Windows. 

Es cosa de números. Windows es el sistema operativo más popular del mundo. El sistema operativo de Microsoft ha tenido por años una parte muy grande del mercado de las computadoras, y las personas que crean los virus quieren que estos infecten al mayor número de equipos posibles; para lograr eso el paso más lógico es crear virus que operen en el sistema más popular, o meterse a los servidores (Internet), por lo que computadoras como las Macs son un poco dejadas de lado.

¿A medida que pasan los años la aparicion del malware es más rápido o lento?

La proliferación de nuevas variantes de malware ha crecido de forma literalmente exponencial. Se ha creado más malware en los últimos 5 años que en los anteriores 25. No se busca la excelencia sino la eficacia.

¿Qué dispositivo son el objetivo de los nuevos creadores del malware?

Los moviles. Una de las principales razones por las que los creadores de malware han decidido ampliar su rango de acción a los dispositivos móviles, es la gran cantidad de información de valor almacenada en ellos y el hecho de que, cada vez con mayor frecuencia, se realicen operaciones de navegación a través de ellos.