El Phishing de Endesa ¡Ojo!

Los que llevéis al día las noticias de seguridad informática, sabréis que esta va algo tarde pero bueno siempre hay gente que se orienta por las noticias de mi blog así que, no confiéis en una factura de Endesa  que tenga como remitente a "Factura electrónica de Endesa".

El correo electrónico luce tal que así, con una factura de casi unos mil euros y con un montón de dígitos creados aleatoriamente.  Claro, antes ya se habrá ocupado el malo de buscar tu nombre o el de tu empresa para rellenar los campos de nombre y apellidos. 

Este mail no seria mas que una broma de mal gusto si, al clicar al enlace no se nos descargara un archivo .zip llamado ENDESA_FACTURA.zip que contiene un archivo .js (ENDESA_FACTURA.js) que no debemos ejecutar por nada del mundo ya que de hacerlo se instalara un malware de la familia de lo ransomwares que cifrará todo el contenido de vuestro equipo y os lo chantajeará con dinero para volver a dejarlos como estaba. 

¡Ojo, si no ejecutamos el archivo .js no estamos infectados!

La solución a este problema la podréis encontrar en la pagina web de la oficina de seguridad del internauta ademas de muchos mas consejos para preveniros de este problema. 

Enlace: 

• https://www.osi.es/es/actualidad/avisos/2016/05/falsa-factura-electronica-de-endesa-intenta-infectar-tu-equipo.html

Sed Buenos ;) 

¿Phishing + Ebay? ¿Que puede salir Mal?

Ya hemos hablado algunas veces de algunos problema derivados con diferentes URL redirects que se podían hacer con Ebay y la verdad pensaba que habían aprendido un poco la lección. Nada mas lejos de la realidad, la verdad es que no he visto URL redirects pero se han dejado un XSS muy divertido que los malos ya están utilizando para hacerse con vuestras claves.

Aquí tenéis la PoC del Phishing de Ebay usando el XSS:

Buenos, por si os ha parecido poco la entrada y queréis saber como montaros vuestro propio Phishing de ebay explotando esta vulnerabilidad o alguna parecida, os dejo el enlace a la fuente:

• http://thehackernews.com/2016/01/ebay-hacking.html

Sed Buenos con esto 0;) 

Google Groups y La Primera Fase De Una APT

¡Mi banco por una barra de búsqueda! Así es,  si echamos un vistazo a las fases de una Advanced Persistent Threat la primera de todas es la recopilación de información publica de la entidad a la que se va ha atacar para una posterior campaña de phishing contra la empresa. 

Esta recopilación de información se hace mediante técnicas OSINT (Open Source Intelligence) aunque el mal uso de algunas "redes sociales" por parte de algunos de los trabajadores, ayuda mucho. 

Hace bastante os hablé de que buscando por Google Groups se podrían [encontrar información confidencial de varios bancos] y os puse un ejemplo con el de BBVA. Pero, si no solo buscamos el nombre del, como en este caso,  del banco en cuestión y pensamos en como serian su cuentas de correo podremos hacer búsquedas mas divertidas y encontrar información tan suculenta como las firmas de sus correos. Así es, algunos de los trabajadores nos facilitan el Phising perfecto. 

Ademas, al estar esta información pública debido a la mala configuración de los grupos de Google Groups es fácil poder hacerse con ella: 

Creo que hay empresas que tendrías que contratar a gente que supiera hacer frente a la fuga de este tipo de información o limitar el uso a los trabajadores desde la misma institución.

Sed Buenos con esto 0;) 

+ Dame Tu Telefono - Ni loco + Pues Dame Tu #Whatsapp - Ah, eso si.

Hace unos días volví a oír, estando por la calle, la conversación absurda sobre no dar el numero del teléfono pero si el numero de whatsapp, que no deja de ser el mismo. Bueno, si un comentario que vi un día como "broma" por Internet ha llegado a la calle es que debe haberse hecho famoso. 

Así que me he puesto a buscar por Google haber si alguna alma en pena había dejado su teléfono colgado en Internet. La primera búsqueda dio como resultado la pagina de contactos de MilAnuncion.com donde la gente puede dejar su "whatsapp" para buscar mujer o lo que surja.

Pero tampoco ponen mucho reparo en proteger esta información o en poner un correo electrónico y solo hace falta hacer clic en contactar para obtener el teléfono. Ademas el anuncio es de hoy xD y el de abajo de hace 3 minutos a este ritmo nos hacemos con todos los móviles de España

Después de haber visto que la gente esto de la privacidad no lo tienen muy claro he buscado por la Red Social Facebook a ver que encontraba y el resultado no ha podido ser mejor. Se ve que hay un seguido de pagina llamadas "Yo tengo Whatsapp" en las cuales la gente comparte su "numero whatsapp" a saco. 

[Yo TengoWhatsapp Republica Dominicana]

[Yo Tengo Whatsapp]

Cristian repite xD

[Whatsapp Colombia "Oficial"]

Hay gente que no da mas. 

Bueno, sabiendo todos estos números de teléfono, agregarlos a nuestros contactos y montarnos una buena campana de pishing y/o Spam solo nos costaría una tarde y un poco de imaginación. Por favor no se lo dejéis a los malos tan fácil. 

Sed Buenos con esto 0:)

Redireccionando Nuestro Phishing Desde eBay y NYtimes Gracias A Google DoubleClick.net

La [vulnerabilidad en Google DoubleClick.net] ha dado para mucho en estos días y gracias a el no solo podemos forzar un logout y redirigirlo desde Google sino que podemos hacerlo desde eBay y NYtimes pero doliéndonos del logout. Esto abre mucho el abanico de posibles lugares para colar un phishing. 

eBay Covert Redirect Vulnerability Based on Googleads.g.doubleclick.net:

• Url de la PoC:
• http://rover.ebay.com/rover/1/711-67261-24966-0/2?mtid=691&kwid=1&crlp=1_263602&itemid=370825182102&mpre=http://googleads.g.doubleclick.net/aclk?sa=L%26ai=C-RHnNvn2Uom8LeTaigfjkIHICfLQnccEAAAQASAAUNTx5Pf4_____wFgvwWCARdjYS1wdWItMDQ2NjU4MjEwOTU2NjUzMsgBBOACAKgDAaoEhQFP0LHofgVzg8U9Bvwu2_hN9Ow0n2tBH9xjKtngqcF6hgGQpxV6QzMgNxx0_UawPG3-UD097GLLCirbVMl2QxQqa04U3cp4YFgV5dshYbzmqlVVfNn-NuunzLNab6ATE5BUwQ9bgXBOW_qEz8qgbwVOvUJrn1IzL-ymANaKsQLZ9POlkbIe4AQBoAYV%26num=0%26sig=AOD64_3a3m_P_9GRVFc6UIGvnornMcLMoQ%26client=ca-pub-0466582109566532%26adurl=URLQUETEINTERESEREDIRECIONAR
• Video de la PoC:

The New York Times (Nytimes.com) Covert Redirect Vulnerability Based on Google Doubleclick.net

• Url de la PoC: 
• http://www.nytimes.com/adx/bin/adx_click.html?type=goto&opzn&page=www.nytimes.com/pages/nyregion/index.html&pos=SFMiddle&sn2=8dfce1f6/9926f9b3&sn1=bbba504f/c0de9221&camp=CouplesResorts_1918341&ad=NYRegionSF_Feb_300x250-B5732328.10663001&goto=http%3A%2F%2Fad%2Edoubleclick%2Enet%2Fddm%2Fclk%2F279541164%3B106630011%3Bs%3FURLQUETEINTERESEREDIRECIONAR%3Futm%5Fsource%3Dnyt%26utm%5Fmedium%3Ddisplay%26utm%5Fcontent%3Dclicktracker%26utm%5Fcampaign%3D300x250%5FExpectMore%5FNYT%5FNYRegion
• Video de la PoC: 

Como habéis podido ver en los videos, estos dos redirecs al ser pegados en facebook muestran la pagina a la que es redirigida. Pero, sirven igualmente.

No os fieis de ninguna url, miradla siempre con cuidado.

Sed Buenos con esto  0;) 

Kaspersky.- ¿Cuales Fueron Los Objetivos del Phishing en 2013?

Hoy, bueno hace unos minutos, curioseando mi cuenta de twitter me ha hecho gracia un tweet de [Kaspersky Business], donde se explicaba claramente una de las de las grandes amenazas cibernéticas para el sector financiero. El Phishing. 

Este enlace os lo dejo como fuente de la noticia, pero ahora quiero haceros pensar en que si vosotros tenéis alguna cuanta de mail hasta los topes de Spam con mas de algún Phishing en su interior, como lo tendrán la gente de Estados Unidos,  Rusia y Alemania con un 30,8%, 11,2% y un 9,32% de phishing respectivamente. (Se que el phishing no solo es enviado por correo electronico, pero me ha hecho gracia pensarlo así xDD)

Os dejo la imagen para que curiosees un poco: 

Fuente: 

• https://www.securelist.com/en/analysis/204792330/Financial_cyber_threats_in_2013_Part_1_phishing

Leeros la fuente que vale muchísimo la pena y aunque este en ingles, seguro que lo explican mucho mejor que yo.

Sed Buenos ;) 

Gmail.- Vulnerabilidad CSRF + XSS + Flow ByPass en Reset Password

Hoy he ido a parar con una vulnerabilidad en uno de los servicios de correo electrónico mas conocidos en el mundo, Gmail. Este fallo de seguridad ya ha sido reportado pero merece la pena el visionado del vídeo que han subido para explicar esta vulnerabilidad. 

Esta vulnerabilidad ha sido encontrada por Oren Hafif el cual era capaz de crear un phishing para aprovechar una serie de fallos de seguridad (Cross-site request forgery (CSRF), Cross-site scripting (XSS) y Flow Bypass(de este ultimo he de leerme algún paper por que no lo he entendido del todo)) para engañar a la victima para que entregara su contraseña. Si queréis mas información os dejo el vídeo del que os he hablado arriba.

Sed Buenos con esto y desconfiad de todos los correos electrónicos sospechosos. ;) 

¿Para Que Me Van A Atacar A Mi?.- Web Server: Phishing Site.

La primera de la lista de putadas que se pueden hacer si alguien llega a hacerse con el control de vuestro PC es utilizarlo como Servidor para webs destinadas al Phishing. Si, esto también lo podrían hacer desde el un servidor propio/comprado, pero para que jugársela a ser traceados cuando te pueden colgar a ti el muerto ;) 

Resumen fácil y rápido del Phishing

¿Que es el Phishing según la Wiki? 

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). Elestafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas

Traducción:

Solo pensad en un ejemplo fácil: el Phisher (el creador de estas estafas) te envia un pedazo email donde te va tocar la lotería, te harás superguapo y vendrá una chica perfecta ha hacerte maravillas si ayudas a un pobre príncipe nigeriano que no puede sacar dinero. Ademas te dan la posibilidad de donar en su pagina web poniendo todos los datos que ellos te piden.

Como comprenderéis todo esto es una gran mentira y el creador de la pagina (el Phisher) tendrá todos los datos. Fácil, Cómodo y colgándote el muerto a ti porque es tu maquina.