Vídeo.- Gran promo: Todas tus compras Gratis

Hoy es viernes y apetece un vídeo un poco distendido sobre ciberseguridad y por qué no, hoy vamos a aprender como hackear un banco a través de sus promociones mal hechas. La charla es de Eduardo Riveros en la conferencia OWASP Latam Tour 2018. Muy recomendable. 

Muchas mas información y las slides, las podréis encontrar en la fuente de esta entrada: 

• https://www.blackploit.com/2018/04/hackeando-un-banco-2-caso-real.html

Sed Buenos ;)

CVE-2018-9119 .- Robando tarjetas de crédito FUZE

FUZE es una tecnología de tarjetas múltiples donde se pueden gestionar múltiples tarjetas de crédito e información de pago a través de un chip EMV regrabable. De esta manera podremos sacar dinero sin tener que rebuscar en nuestras carteras la tarjeta del bank X con el que quieres pagar. 

Esto sería una buena idea si no fuera por que han encontrado una vulnerabilidad que permitiría este robo. La CVE-2018-9119 podría permitir a un atacante con acceso físico a la tarjeta robar las tarjetas de crédito alojadas en Fuze mediante BlueTooth. 

• Mas info: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9119

Mucha mas información sobre esta vulnerabilidad: 

• https://blog.ice9.us/2018/04/stealing-credit-cards-from-fuze-bluetooth.html

Sed Buenos ;) 

Video.- Bankinter Una visión desde el otro lado.

Últimamente y mas después de lo que está dando por saco el tema de SWIFT en los bancos nos olvidamos de como trabaja o como se han puesto al día en seguridad bancos como Bankinter. La verdad es que en mi opinión ha sido rapidísimo y aún les queda mucho trabajo por hacer. Pero no está mal sentarnos un poco y ver el otro lado. 

 

Bueno, pues como ya es habitual parece que invoco la aparición de temas relacionados, OSI ha publicado una nueva alerta sobre una nueva ola de correos de phishing que suplantan al Banco Sabadell. 

• https://www.osi.es/es/actualidad/avisos/2016/05/detectados-correos-de-phishing-que-suplantan-al-banco-sabadell.html

Cada día hay mas trampas para el usuario, así que también tenemos que aprender los usuarios ha hacer buen uso de la tecnología y en no caer en este tipos de trampas. Claro que el Banco también tendría que ayudar.

Sed Buenos ;)

NFC y la cebolleta

Hace un tiendo hablando con unos amigos sobre el NFC no se acreieron que se pudieran cobrarte entre 20€ a 50€ (dependiendo lo que tengas pactado con tu banco) a través de NFC sin introducir el pin en el datáfono. Bueno, yo me calle y deje que hablaran de porqué lo que yo estaba diciendo era falso ... Pues ahora el diario Qué ha publicado un vídeo demostrando que se puede y aprovechando que se ha compartido por la lista de la Rooted pues yo también lo comparto.

¿Lo de la cebolleta? El nombre que se le da a la comunidad a que un malo te te pegue con un datáfono a donde tienes la cartera y te cobre lo que quiera, es el de "ataque de arrimar cebolleta"  especialmente útil en metros en hora punta.
 

Para mas información os dejo el enlace a la web de a oficina de seguridad del internauta donde se explica este ataque mucho mejor:

• https://www.osi.es/es/actualidad/blog/2016/04/19/pnfc-posible-nuevo-fraude-en-credit-cards.html

 Sed Buenos ;) 

Google Groups y La Primera Fase De Una APT

¡Mi banco por una barra de búsqueda! Así es,  si echamos un vistazo a las fases de una Advanced Persistent Threat la primera de todas es la recopilación de información publica de la entidad a la que se va ha atacar para una posterior campaña de phishing contra la empresa. 

Esta recopilación de información se hace mediante técnicas OSINT (Open Source Intelligence) aunque el mal uso de algunas "redes sociales" por parte de algunos de los trabajadores, ayuda mucho. 

Hace bastante os hablé de que buscando por Google Groups se podrían [encontrar información confidencial de varios bancos] y os puse un ejemplo con el de BBVA. Pero, si no solo buscamos el nombre del, como en este caso,  del banco en cuestión y pensamos en como serian su cuentas de correo podremos hacer búsquedas mas divertidas y encontrar información tan suculenta como las firmas de sus correos. Así es, algunos de los trabajadores nos facilitan el Phising perfecto. 

Ademas, al estar esta información pública debido a la mala configuración de los grupos de Google Groups es fácil poder hacerse con ella: 

Creo que hay empresas que tendrías que contratar a gente que supiera hacer frente a la fuga de este tipo de información o limitar el uso a los trabajadores desde la misma institución.

Sed Buenos con esto 0;) 

KasperskyLab y Su Informe Sobre Ciberamenazas Financieras

Como ya sabéis, Kaspersky ha estado haciendo los deberes y cada día me va sorprendiendo mas en su lucha contra el cibercrimen, está ya lejos de esa empresa que vendía sus antivirus a precios altos y después se comían un PDF malicioso. Ahora la gente de KasperskyLab trabaja duro y nos facilitan un montón de información para que podamos aclarar mas de una duda. 

En este caso, hoy os quiero recomendar el Informe sobre la ciberamenazas financieras que fueron registradas durante todo el 2014. Este no me ha sorprendido mucho ya que por las noticias que han habido durante todo el año pasado era algo previsible pero si que ayuda a entender como esta actualmente el panorama de la ciberamenazas en el sector financiero en cuanto a defensa y lo rápido que se mueven los cibercriminales.

Os dejo el enlace al informe aquí abajo:

• https://securelist.com/files/2015/02/KSN_Financial_Threats_Report_2014_eng.pdf

Sed Buenso ;)