Punto Net Tech

Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - DBA

martes, 27 de noviembre de 2018

NETCONF.UY 2018 - Hackeando Humanos

Este año estuvimos de nuevo en la Netconf.UY, en donde hablamos sobre como usar un sitio Web vulnerable, usando XSS jugamos con el sitio y mostramos como armar un correo de phishing utilizando técnicas de Ingeniería Social para engañar a un usuario.

Por ultimo mostramos como OWASP Top Ten 2017 nos brinda herramientas para que los desarrolladores puedan diseñar aplicaciones seguras y como AZURE protege las aplicaciones seguras o no con el AZURE WAF(Web App Firewall) incluso incluyendo el OWASP ModSecurity Core Rule Set (CRS).
Para aquellos que quieran el material y los html para jugar con los sitios Web, por favor nos contactan.
Les dejo aquí algunas fotos!. Gracias a los organizadores de la Netconf.Uy por tenernos en cuenta!!







 Hasta el año que viene NETCONF.UY!!

lunes, 26 de noviembre de 2018

Las ciberamenazas en el Siglo XXI

🗓️Noviembre | 4to #CafeCAPSI ♨️: CIBERAMENAZAS EN EL SXXI | Disertantes: An Sist. Enrique Dutra  @egdutra  📍Ciudad de Córdoba para mas informes a capsicordoba@gmail.com

...ha sido hackeado! ¡Cambie su contraseña inmediatamente!

Introducción
Los ciberdelincuentes no paran, están a la caza y a la pesca todo el tiempo, y usando técnicas de Ingeniería Social, tratan de engañar a usuarios de correo electrónico con el fin de tener un rédito, que básicamente es un pago en bitcoins. Y este tipo comportamiento crece, porque ellos reciben su pago.
Vamos a analizar un correo recibido en el día de hoy

Impacto
Te imaginas que, al ingresar a tu casilla de correo, ¡ves un correo con la leyenda “...ha sido hackeado! ¡Cambie su contraseña inmediatamente!", debe generar en ti, una interesante cara de pánico a menos que estés tranquilo con el uso que haces de la plataforma.
Los correos que están circulando, dicen algo similar a esto (ahora en español):

Tengo malas noticias para ti.
23/07/2018 - en este día pirateé su sistema operativo y obtuve acceso completo a su cuenta
edutra@puntonetsoluciones.com.ar.
Así fue como fue.
En el software del enrutador a través del cual se conectó, hubo una vulnerabilidad.
Primero pirateé este enrutador y puse mi código malicioso en él.
Cuando ingresó a través de Internet, mi troyano se instaló en el sistema operativo de su dispositivo.

Después de eso, hice un volcado completo de su disco (tengo toda su libreta de direcciones,
historial de sitios de visualización, todos los archivos, números de teléfono y direcciones de todos sus contactos).

Hace un mes, quería bloquear su dispositivo y pedir una pequeña cantidad de dinero para desbloquear.
Pero miré los sitios que visitas regularmente. Estoy sorprendido por tus recursos favoritos.
Estoy hablando de sitios para adultos.

Quiero decir que eres un gran pervertido. ¡Has desenfrenado la fantasía!

Después de eso, una idea vino a mi mente.
Tomé una captura de pantalla del sitio web íntimo donde te diviertes (sabes a qué me refiero, ¿sí?).
Después de eso tomé una foto de tu entretenimiento (usando la cámara de tu dispositivo).
El resultado fue genial! No lo dudes!

Estoy profundamente convencido de que no le gustaría mostrar estas imágenes a sus familiares, amigos o colegas.
Creo que $252 es una pequeña cantidad para mi silencio.
¡Además, pasé mucho tiempo contigo!

Acepto dinero en bitcoins.
Mi billetera BTC: 14DRztZdJ8RHM954AYsUPrsTvYJk6g9h9j

¿No sabes cómo transferir dinero a Bitcoin?
En cualquier motor de búsqueda escriba "¿Cómo transferir dinero a bitcoin".
¡Es más fácil que transferir dinero a una tarjeta de crédito!

Para el pago tienes un poco más de dos días (exactamente 50 horas).
No se preocupe, el temporizador comenzará en el momento en que abra esta carta. Sí, sí ... ¡Ya ha comenzado!

Después del pago, mi virus y el compromiso contigo se autodestruyen automáticamente.
Narrativa: si no recibo la cantidad especificada de usted, su dispositivo se bloqueará y todos sus contactos recibirán una foto con su "entretenimiento".

Quiero que seas prudente.
- ¡No intentes encontrar y destruir mi virus! (Todos sus datos ya están cargados en un servidor remoto)
- No intente contactarme (esto no es factible, le envié un correo electrónico desde su cuenta)
- Varios servicios de seguridad no lo ayudarán; formatear un disco o destruir un dispositivo tampoco ayudará, ya que sus datos ya están en un servidor remoto.

P.S. Te garantizo que no te molestaré otra vez después del pago, ya que estás lejos de mi única víctima.
Este es un código de honor hacker.

A partir de ahora, le aconsejo que use buenos antivirus y que los actualice regularmente (varias veces al día).

No te enfades conmigo, cada uno tiene su propio trabajo.
Adios

Más allá de analizar el correo, toda una narración que puede o no engañar al receptor del correo, observamos que genera inquietud y trata de atemorizar al usuario. En las últimas versiones ya ni siquiera mandan un dato conocido por el usuario para tratar de convencerlo que es verdad lo que se está narrando. En las versiones anteriores mandaban alguna contraseña conocida obtenida de bases de datos robadas como las que figuran en el sitio https://raidforums.com/, como para darle algún soporte o veracidad al e-mail.
Si bien el correo parece ser enviado por el mismo usuario, vamos analizar el encabezado, podemos usar para eso, el sitio https://mxtoolbox.com/, en donde hay una opción en donde podemos obtener un detalle disgregado del encabezado del correo electrónico.



Headers Found
Header Name
Header Value
Delivered-To
edutra@puntonetsoluciones.com.ar
X-Google-Smtp-Source
AFSGD/Ub9Ux/cgwOS/3NA39aaNT3omrX3uaL0MU/tYDE+Pxt4oWU2EzKn3GmOTGj+eO/FXLsobXn
X-Received
by 2002:adf:c3c9:: with SMTP id d9mr18579972wrg.68.1543105400384; Sat, 24 Nov 2018 16:23:20 -0800 (PST) 
Received
from 14-203-206-149.tpgi.com.au (14-203-206-149.tpgi.com.au. [14.203.206.149]) by mx.google.com with ESMTP id j68si9838716wmi.162.2018.11.24.16.23.18 for <edutra@puntonetsoluciones.com.ar>;Sat, 24 Nov 2018 16:23:20 -0800 (PST)
From
<edutra@puntonetsoluciones.com.ar>
To
<edutra@puntonetsoluciones.com.ar>
Subject
edutra@puntonetsoluciones.com.ar ha sido hackeado! ¡Cambie su contraseña inmediatamente!
Date
25 Nov 2018 18:59:16 +0900
Message-ID
<001701d484a8$03493e2d$42bfcc86$@puntonetsoluciones.com.ar>
MIME-Version
1.0
X-Mailer
Microsoft Office Outlook 11
Thread-Index
Ac0g3lo5x1scxi8c0g3lo5x1scxi8c==
X-MimeOLE
Produced By Microsoft MimeOLE V6.1.7601.17514


Y encontramos datos interesantes.
1) Mail enviado desde 14-203-206-149.tpgi.com.au, dirección IP 14.203.206.149.
2) El SMTP verificado, es el 14-203-206-149.tpgi.com.au, puerto 25.
3) Google recibe el correo, enviado por un Ms Office Outlook.
4) Según Mxtoolbox esta dirección de DNS e IP ya se encuentra en listas negras.
5) Si buscamos el monedero en www.blockchain.com, observamos que ya hay gente que ha caído en las garras del intruso y ha pagado


Análisis del correo
A pedido de algunos lectores, hemos realizado comentarios al e-mail que manda el ciberdelincuente. Los comentarios, los pusimos en rojo para mejor lectura.


Te saludo!

Tengo malas noticias para ti.
23/07/2018 - en este día pirateé su sistema operativo y obtuve acceso completo a su cuenta
edutra@puntonetsoluciones.com.ar.

(Hace referencia a una fecha muy vieja, por que seguro no tienes memoria o no te acuerdas)
 
Así fue como fue.
En el software del enrutador a través del cual se conectó, hubo una vulnerabilidad.
Primero pirateé este enrutador y puse mi código malicioso en él.
(NO puso que marca ni un dato que nos permita saber que enrutador o router hace referencia)
 
Cuando ingresó a través de Internet, mi troyano se instaló en el sistema operativo de su dispositivo.
(Es posible que el antivirus de tu equipo lo detectara o no, te acuerdas de alguna detección).
 
Después de eso, hice un volcado completo de su disco (tengo toda su libreta de direcciones,
historial de sitios de visualización, todos los archivos, números de teléfono y direcciones de todos sus contactos).
(Si esto fuera así, llevaría un tiempo interesante en copiarse el disco completo!!!, puede ocurrir que tenga alguna información, pero es poco creíble que tenga todo el disco, el tiempo que le llevaría y la lentitud de acceso a Internet debería haber despertado alguna sospecha en ti)

Hace un mes, quería bloquear su dispositivo y pedir una pequeña cantidad de dinero para desbloquear.
Pero miré los sitios que visitas regularmente. Estoy sorprendido por tus recursos favoritos.
Estoy hablando de sitios para adultos.

Quiero decir que eres un gran pervertido. ¡Has desenfrenado la fantasía!
(no hace referencia de nada, por lo cual no tiene pruebas de que esto fuera realmente así, esta tanteando, si tuviera evidencia la usaría para darle más soporte al correo que te envía. Ahora la intrusión sería personalizada, no podría hacer esto tan masivo).

Después de eso, una idea vino a mi mente.
Tomé una captura de pantalla del sitio web íntimo donde te diviertes (sabes a qué me refiero, ¿sí?).
Después de eso tomé una foto de tu entretenimiento (usando la cámara de tu dispositivo).
El resultado fue genial! No lo dudes!
(Sugerimos tener la cámara Web tapada y no acceder a sitios dudosos, en la mayoría de los casos, cuandos e activa la cámara, te das cuenta por que se enciende una luz al lado. Estuvo viendo mucho Black Mirror este spammer).

Estoy profundamente convencido de que no le gustaría mostrar estas imágenes a sus familiares, amigos o colegas.
(Cuales? Que contenidos? Que familiares? Está solo tanteando nada más).

Creo que $252 es una pequeña cantidad para mi silencio.
¡Además, pasé mucho tiempo contigo!

Acepto dinero en bitcoins.
Mi billetera BTC: 14DRztZdJ8RHM954AYsUPrsTvYJk6g9h9j
(Es la única manera de pagarle, ya que es una transferencia de un pago que no se puede rastrear, por eso lo hace con btc).

¿No sabes cómo transferir dinero a Bitcoin?
En cualquier motor de búsqueda escriba "¿Cómo transferir dinero a bitcoin".
¡Es más fácil que transferir dinero a una tarjeta de crédito!

Para el pago tienes un poco más de dos días (exactamente 50 horas).
No se preocupe, el temporizador comenzará en el momento en que abra esta carta. Sí, sí ... ¡Ya ha comenzado!
(El correo no tiene acuse de recibo, él no puede saber nunca si leíste o no el correo, a parte el correo emisor eres tú mismo, excepto que el dispositivo tenga un keylogger, no hay manera de que él sepa que has leído el correo)

Después del pago, mi virus y el compromiso contigo se autodestruyen automáticamente.
Narrativa: si no recibo la cantidad especificada de usted, su dispositivo se bloqueará y todos sus contactos recibirán una foto con su "entretenimiento".
(Ejecuta un análisis del antimalware y verifica si hay algún código malicioso, si no hay nada, no hay de que preocuparse. Por otro lado no puedes confiar que luego de un pago, tenga la gentileza de borrar algo, más allá que no tiene nada que borrar porque no ha capturado información alguna).

Quiero que seas prudente.
- ¡No intentes encontrar y destruir mi virus! (Todos sus datos ya están cargados en un servidor remoto)
- No intente contactarme (esto no es factible, le envié un correo electrónico desde su cuenta)
- Varios servicios de seguridad no lo ayudarán; formatear un disco o destruir un dispositivo tampoco ayudará, ya que sus datos ya están en un servidor remoto.
(El no muestra ninguna evidencia de este chantaje, por lo cual, no debe tener ninguna información de la PC, solo debe tener tu casilla de correo electrónico a donde se envió el e-mail.)

P.S. Te garantizo que no te molestaré otra vez después del pago, ya que estás lejos de mi única víctima.
Este es un código de honor hacker.

A partir de ahora, le aconsejo que use buenos antivirus y que los actualice regularmente (varias veces al día).

(trata de ser condescendiente contigo, pero esto no es un trabajo, es básicamente un chantaje y no hay ética en ello).
No te enfades conmigo, cada uno tiene su propio trabajo.
Adios
 

 

Pasos a seguir
No dejarse intimar por estos correos, por si tienes alguna duda, puedes hacer lo siguiente:

1) Verificar que tu ordenador está limpio, ejecutando un escaneo de tu plataforma antimalware o antivirus. Siempre ten instalado una protección contra códigos maliciosos.
2) Cambia la contraseña de tu ordenador y acceso al correo electrónico, como redes sociales periódicamente.
3) No accedas a sitios de dudosa reputación.
4) No ingresar a sitios que te sugieran los correos electrónicos de desconocidos. Si algún conocido te envía algún link o archivo adjunto valídalo con él.
5) No abrir archivos adjuntos de personas que desconoces.
6) Tener estos mismos cuidados en tu dispositivo movil si el mismo es un smartphone. 
7) Mantener la plataforma actualizada, todos los fabricantes de software lanzan periódicamente actualizaciones para sus productos.
8) NO pagues de ninguna manera lo que te piden.

Si las dudas persisten, contacta a un experto en Ciberseguridad!!.

Ser precavidos!!!
Hasta la próxima.