Sitio Web simula ser Have I Been Pwned para robar credenciales de acceso

Introducción

Have I Been Pwned es un servicio al que recurren quienes desean verificar si la contraseña que utilizan o su dirección de correo fue expuesta como consecuencia de un incidente de seguridad que sufrió algún servicio online en el que han creado una cuenta. También ofrece una amplia base de datos que recopila direcciones de correo, contraseñas y números de teléfono de más de 600 sitios web que han sido afectados por una brecha y más de 11.000 millones de cuentas expuestas. [1]

Análisis

Se ha detectado que los ciberdelincuentes han diseñado un sitio falso que simula ser el sitio oficial de Have I Been Pwned. Este sitio no solo presenta un diseño similar al oficial, sino que la URL es bastante similar, lo que puede llevar a más de uno a pensar que se trata del sitio legítimo. El objetivo principal es adquirir direcciones de correo y contraseñas de usuarios.

A continuación se muestran las diferencias entre los dos sitios:

      • En primer lugar, el sitio web original se presenta con la siguiente dirección web: https://haveibeenpwned.com/
      • Por otro lado, el sitio web falso presenta una dirección web muy similar: http://haveibeenpwned[.]online/

Ambos sitios presentan un diseño idéntico, la única diferencia se aprecia en que el dominio original usa .com y en el falso se usa .online.

Asimismo, mientras que en el sitio web original solo se requiere ingresar la dirección de correo o número de teléfono para verificar si los datos han sido expuestos a una filtración, en el sitio web falso se solicita ingresar primero la dirección de correo e inmediatamente se suma el campo para agregar la contraseña. 

Por último, para no generar sospecha en las víctimas, cuando se ingresan los datos en el sitio web falso, este redirecciona al sitio web legitimo indicando que las credenciales ingresadas no se registraron en ninguna brecha. [2]

Referencias

[1] blog.elhacker.net/2022/07/falso-sitio-de-have-i-been-pwned-para-robar-credenciales-usuarios-incautos.html

[2] welivesecurity.com/la-es/2022/07/28/falso-sitio-have-i-been-pwned-roba-contrasenas

Boletín de julio 2022

Como cada mes, volvemos con un nuevo boletín en el que hablaremos de las principales tendencias a nivel mundial, y de los pasos a seguir para mejorar la seguridad del comercio electrónico.

El editor de la inteligencia de amenazas de ransomware, SonicWall, ha presentado la actualización semestral de julio del «Informe de Ciberamanezas 2022”. Dicho Informe revela un aumento del 11% en el malware global, un aumento del 77% en el malware de IoT, un aumento del 132% en las amenazas cifradas, y un cambio geográfico en el volumen del ransomware por la lucha geopolítica. España ocupa el puesto número 12 a nivel mundial en número de ataques ransomware (30.124.304).

Por su parte, el proveedor de soluciones de ciberseguridad Check Point ha concluido de su investigación que una de cada 40 organizaciones ha sido víctima de ransomware en lo que va de 2022 (un 59% más respecto al año anterior). El ransomware es el principal método empleado por los ciberdelincuentes para engañar a sus víctimas. Minoristas y distribuidores son los más afectados, con un 128% y un 143% respectivamente, respecto al mismo período del año anterior.

Asimismo, el conflicto ruso-ucraniano desencadena una ola de ciberataques a escala mundial. S21sec, proveedor de ciberseguridad en Europa, en su informe semestral «Threat Landscape Report«, ha detectado más de 11.925 vulnerabilidades en los primeros 6 meses del año. Según el informe, gran parte de los ciberataques han tenido como vector inicial de entrada la explotación de alguna infraestructura de destino de las organizaciones afectadas. Se han registrado casi 7.000 vulnerabilidades de criticidad alta o grave, como la CVE 2022-30190, conocida como Follina. Esta vulnerabilidad permite la explotación de la herramienta de diagnóstico de Microsoft para ejecutar código arbitrario.

En cuanto a España, lidera el podio mundial de las ciberamenazas de robo de información. El principal sistema de ataque detectado es mediante software de robo de información (spyware), pero también, mediante puertas traseras (backdoors). Los troyanos bancarios y el phishing se han perfeccionado y aumentado su amenaza. Uno de los datos que llama la atención es que el 22,2% de las empresas han sido atacadas mediante vulnerabilidades encontradas en la Office de Microsoft. El phishing sigue siendo uno de los principales vectores de ataque.

Durante el mes de julio destacamos:

      • Los riesgos asociados al uso de la famosa plataforma de Onlyfans. Los ciberdelincuentes están utilizando esta plataforma para facilitar enlaces falsos que descargan o inhabilitan todo sistema informático. Pero no sólo eso, sino que a través de dichos enlaces, redirigen a páginas web falsas que simulan el inicio de sesión para robar contraseñas y datos de cuenta. Asimismo, se están produciendo suplantaciones de identidad del personal de Onlyfans con el objetivo de solicitar datos personales o bancarios como medio para cumplimentar la suscripción. Esto último suele hacerse a través de correos maliciosos y, en menor medida, mediante llamadas (vishing).

Finalmente, vamos a facilitar algunos CONSEJOS para mejorar la seguridad en el comercio electrónico. En este sentido, lo mejor es:

      • Elegir una plataforma de eCommerce segura. Hay un montón de plataformas de comercio electrónico seguras, pero lo mejor es optar por aquéllas que tienen buena reputación como Magento o PrestaShop. El mantenimiento y la actualización de la tienda virtual también son acciones vitales.
      • Implementar certificados SSL. Hablamos del certificado que permite navegar con el protocolo https://. Estos certificados permiten cifrar todos los datos (nombre, contraseñas, números de tarjeta…) que se transmiten a través de Internet.
      • Cumplir con la norma PCI.  Es un Estándar de Seguridad de Datos que establece un conjunto de regulaciones para las organizaciones que procesan, almacenan o transmiten datos de los titulares de tarjetas. Todas las tiendas online deben cumplir con esta normativa.
      • No almacenar datos sensibles. No es necesario almacenar números de tarjetas de crédito, fecha de expiración o el código CVV. Solo es necesario guardar datos necesarios para las devoluciones o reembolsos. Almacenar datos de tarjetas de crédito o débito está prohibido por la norma PCI.
      • Instalar sistemas de alerta en el sistema. Su objetivo es notificar al responsable eventos que van a ocurrir en el sistema a partir del problema detectado. Se recomienda usar un sistema de verificación de direcciones (AVS) para comprobar que la dirección de facturación del cliente coincide con la dirección archivada por le banco.
      • Realizar copias de seguridad. Necesidad de realizar copias de seguridad periódicas mediante plug-ins o programas específicos de backups para no perder la información contenida en la web y otros sistemas.

Vulnerabilidades en el firmware UEFI en productos Lenovo

Introducción

Lenovo ha publicado correcciones de seguridad para solucionar tres vulnerabilidades en el firmware UEFI de más de 70 modelos portátiles de la marca. [1]

 

 

Análisis

A continuación se muestra la lista de vulnerabilidades en la BIOS de los portátiles de Lenovo:

    • CVE-2022-1890: Se ha identificado un desbordamiento de búfer en el controlador ReadyBootDxe de algunos productos para portátiles de Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.
    • CVE-2022-1891: Se ha identificado un desbordamiento del búfer en el controlador SystemLoadDefaultDxe en algunos productos de portátiles Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.
    • CVE-2022-1892: Se ha identificado un desbordamiento de búfer en el controlador SystemBootManagerDxe en algunos productos de portátiles Lenovo que puede permitir a un atacante con privilegios locales ejecutar código arbitrario.

La causa principal de estas vulnerabilidades es la insuficiente validación del parámetro DataSize, que se pasa a la función GetVariable de UEFI Runtime Services. Los actores de la amenaza pueden explotar el fallo creando una variable NVRAM especialmente manipulada, desencadenando el desbordamiento del búfer Data en la segunda llamada GetVariable.

 

 

Recomendaciones

Se recomienda la actualización de los dispositivos afectados a la última versión del firmware. La lista de modelos afectados por las tres vulnerabilidades y las actualizaciones de firmware se indican en la página de soporte de Lenovo. [2]

 

 

Referencias

 

[1] https://securityaffairs.co/wordpress/133186/security/lenovo-uefi-firmware-flaws.html
[2] https://support.lenovo.com/sk/en/product_security/len-91369

Actualización de seguridad en productos Acrobat

Introducción

Adobe ha publicado varios parches que corrigen múltiples vulnerabilidades críticas en diferentes versiones de Acrobat Reader y Acrobat Photoshop.

 

Análisis

Entre las vulnerabilidades se encuentran 15 vulnerabilidades críticas de tipo ejecución de código remoto todas con una calificación CVSS de 7.8.

 

Versiones afectadas

    • Acrobat DC y Acrobat Reader DC, versiones 22.001.20142 y anteriores para Windows y macOS.
    • Acrobat 2020 y Acrobat Reader 2020, versiones 20.005.30334 y anteriores para Windows.
    • Acrobat 2020 y Acrobat Reader 2020, versiones 20.005.30331 y anteriores para macOS.
    • Acrobat 2017 y Acrobat Reader 2017, versiones 17.012.30229 y anteriores para Windows.
    • Acrobat 2017 y Acrobat Reader 2017, versiones 17.012.30227 y anteriores para macOS.
    • Photoshop 2021 versiones 22.5.7 y anteriores para Windows and macOS.
    • Photoshop 2022 versiones 23.3.2 y anteriores para Windows and macOS.

 

Recomendaciones

Adobe recomienda a los usuarios que actualicen sus instalaciones de software a las últimas versiones disponibles.

 

Referencias

 

https://helpx.adobe.com/security/products/acrobat/apsb22-32.html

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/actualizacion-seguridad-adobe-photoshop-acrobat-y-reader