Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
abril
(Total:
42
)
- Resumen Reporte de Kaspersky sobre ataques DDoS Q1...
- La actualización de Windows 10 interrumpe en direc...
- 7 millones de cuentas hackeadas de la comunidad Li...
- Hackeada la base de datos del Banco Nacional de Qatar
- Las ventas del iPhone caen por primera vez en su h...
- Disponible para la venta el nuevo Meizu Pro 5 Ubun...
- La mitad de los adultos británicos no saben distin...
- Mitigación de ataques DDoS Syn Flood con iptables-...
- Error de configuración en MongoDB expone los regis...
- Huawei confirma dos versiones del P9 Lite, fecha d...
- GoAccess es un analizador en tiempo real del log d...
- PenQ: navegador basado en Mozilla Firefox para rea...
- El creador ruso del Exploit Kit Blackhole condenad...
- Microsoft alerta de e-mails con adjuntos malicioso...
- Google presenta Informe anual de Seguridad en Andr...
- Hacker imprime cartel Neo-Nazi a impresoras abiert...
- La policía de Canadá espió más de un millón de men...
- Jornadas X1RedMasSegura 4ª Edición 20 y 21 de Mayo...
- Phineas Fisher explica cómo hackeó a Hacking Team
- La 2 estrena hoy sábado el programa sobre ciberseg...
- EastMadH4ck arranca en Arganda (sureste de Madrid)...
- Etiopía propone cinco años de prisión a quien mand...
- Departamento de Seguridad de Estados Unidos pide a...
- Un hombre borra todos los datos de su empresa al h...
- Presentados los nuevos terminales Meizu Pro 6 y HT...
- Jigsaw, el ransomware que va borrando a tus archiv...
- Google Chrome versión 50 deja sin soporte a Window...
- Cómo evitar que un ransomware cifre los ficheros e...
- Desarolladores de Google crean una API para accede...
- Zerodium, el traficante de exploits que compra vul...
- Tres ejemplos de incidentes reales de acoso utiliz...
- Un fallo informático permite ver el borrador de la...
- La historia detrás de la creación de WhatsApp
- Diferencias velocidad y clases tarjetas de memoria...
- WhatsApp activa el cifrado de extremo a extremo
- Nueva oleada del virus Crypt0l0cker con aviso de C...
- Un padre suplica a Apple para que desbloquee el iP...
- Los enfrentamientos por el peering llegan al IPv6
- Módulo Anti-DDoS para servidor web Nginx
- Herramientas automatizadas para ataques SQL injection
- Gestión de librerías compartidas en GNU/Linux
- Un alumno robó datos de 16.000 personas de la Univ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Tres ejemplos de incidentes reales de acoso utilizando Internet
martes, 12 de abril de 2016
|
Publicado por
el-brujo
|
Editar entrada
La experiencia demuestra que incluso los expertos en Internet cometen
errores al protegerse contra los ataques de hackeo dirigidos. Ya que
nuestro día a día está cada vez más conectado a Internet y a otras
redes, la seguridad online se está convirtiendo en una necesidad urgente.
Casi todo el mundo tiene una cuenta de correo electrónico, cuentas en redes sociales y banca electrónica. La gente hace compras online y usa el Internet móvil para identificarse (por ejemplo, las soluciones de verificación en dos pasos). Por desgracia, ninguno de estos sistemas es completamente seguro.
Cuanto más interactuamos online, mayor es el objetivo para los hackers; los especialistas de seguridad lo llaman “superficie de ataque”. Cuanto más grande es la superficie, más fácil es atacar. Si echas un vistazo a estas tres historias de los últimos tres años, entenderás perfectamente cómo funciona.
Jessica prometió hackear el correo electrónico de Kevin con una llamada telefónica, y lo cumplió. Primero, su equipo creó un perfil de 13 páginas de largo que cubría una descripción del perfil de Roose, que hablaba sobre lo que le gusta y lo que no, etc. Todos los datos utilizados fueron recogidos mediante fuentes públicas.
Después de haberlo preparado, Jessica duplicó el número de móvil de Kevin y llamó a su compañía telefónica. Para añadir tensión a la situación, puso de fondo un vídeo de bebés llorando.
Jessica se presentó como la mujer de Roose. Según su historia, ella y su “marido” iban a solicitar un préstamo, pero la joven y agotada madre había olvidado el correo electrónico que utilizaban juntos. Con los bebés llorando de fondo, Jessica persuadió rápidamente al servicio de soporte para reiniciar la contraseña del correo electrónico y consiguió el acceso total al correo objetivo.
Dan Tentler consiguió llevar a cabo su tarea mediante el uso de phishing. Primero, descubrió que Kevin tenía un blog en Squarespace y le envió un falso correo electrónico oficial desde la plataforma del blog. En él, los administradores de Squarspace pedían a los usuarios que actualizaran el certificado SSL para mejorar su “seguridad”. En vez de protegerle, este archivo permitió a Tentler el acceso al PC de Kevin. Dan creó varios pop-ups falsos que pedían a Roose que introdujera sus credenciales específicas, consiguiendo así su objetivo.
Tentler consiguió acceder a los datos bancarios de Kevin, a sus credenciales de inicio de sesión en su correo electrónico y en tiendas online, además de a los datos de su tarjeta de crédito y su número de la seguridad social. Asimismo, Dan consiguió fotos de Roose y de su pantalla, tomadas cada dos minutos durante las 48 horas de hackeo.
En la primavera de 2015, el creador de software Partap Davis, perdió 3.000 dólares. En cuestión de pocas horas, durante una noche, un hacker consiguió acceder a sus dos cuentas de correo electrónico, su número de teléfono y su cuenta de Twitter. El criminal burló inteligentemente el sistema de verificación en dos pasos y vació la cartera de Bitcoin de Partap. Como podrás imaginar, a la mañana siguiente Davis se encontró con una desagradable sorpresa.
Es importante mencionar que Patrap Davis es un usuario experto en Internet: siempre elige contraseñas fuertes y nunca hace clic en enlaces maliciosos. Su correo electrónico está protegido con el sistema de verificación en dos pasos de Google, por lo que, cuando inicia sesión en un ordenador nuevo, tiene que introducir los seis dígitos enviados a su teléfono móvil.
Davis guardaba sus ahorros en tres carteras de Bitcoin protegidas con otro servicio de verificación en dos pasos, proporcionado por la aplicación móvil de Authy. Aunque Davis utilizó todas estas medidas razonables de seguridad, no se salvó de un ataque dirigido.
Después del incidente, Davis se enfadó mucho y pasó varias semanas buscando al criminal. También contactó y reclutó a editores de The Verge para esta misión. Todos juntos lograron descubrir cómo se hizo el hackeo.
Como correo principal, Davis utilizaba la dirección de Patrap@mail.com. Todos los e-mails fueron reenviados a una dirección de Gmail más difícil de recordar (ya que Patrap@gmail.com ya estaba siendo utilizada).
Durante varios meses, cualquiera que quisiera podía comprar un script especial en Hackforum, permitiendo al dueño explotar una vulnerabilidad en la página de restablecimiento de contraseña de Mail.com. Al parecer, este script fue utilizado para burlar la verificación en dos pasos y cambiar la contraseña de David.
Después de eso, el hacker solicitó una nueva contraseña de la cuenta de AT&T de Davis y luego pidió al servicio al cliente que desviaran las llamadas entrantes de Davis a un número de Long Beach. El servicio de soporte recibió un e-mail de confirmación y aceptó darle el control de las llamadas al criminal. Con esta poderosa herramienta, no fue difícil burlar al servicio de verificación en dos pasos de Google y obtener acceso a la cuenta de Gmail de Davis.
Ya que los SMS se seguían enviando al antiguo número de móvil de Davis, el hacker utilizó la función de accesibilidad para gente con problemas de visión. Esta le permitía leer el código de confirmación en voz alta a través del teléfono. Así que, la cuenta de Gmail fue hackeada y solo la app de Authy se interponía entre el hacker y su recompensa.
Para superar este obstáculo, el criminal simplemente reestableció la app en su teléfono utilizando una dirección de mail.com y un nuevo código de confirmación, recibido, una vez más, a través de una llamada. Cuando prácticamente todas las medidas de seguridad estaban en sus manos, el hacker cambió las contraseñas de una de las carteras de Bitcoin de Davis con el uso de Authy y la dirección de mail.com, transfiriendo todo el dinero.
El dinero de las otras dos cuentas quedó intacto, gracias a queuno de los servicios no permitía sacar dinero después de 48 horas de que se reestableciera la contraseña. La otra cuenta solicitó el escaneo del carné de conducir de Davis, al que el hacker no tenía acceso.
Justo después llegaron los ramos de flores, acompañados de grandes cantidades de arena y grava, remolques y otros bienes y servicios no solicitados. Todo esto resultó ser solo la punta del iceberg, ya que les esperaban tres años de una verdadera pesadilla.
Paul Strater, un ingeniero senior en radiodifusión en un canal local de TV, y su esposa Amy Strater, ex administradora de un hospital, fueron víctimas de un hacker o un grupo de hackers desconocidos que no se llevaban bien con su hijo Blair. Las autoridades recibieron amenazas de bomba enviadas a su nombre. Los hackers utilizaron la cuenta de Amy para publicar el plan de ataque a un colegio. La nota principal incluía el siguiente titular: “Voy a acabar con tu escuela”. La policía terminó haciendo frecuentes visitas a su casa, lo que no mejoró su relación con los vecinos, que intentaban adivinar lo que estaba pasando.
Los criminales, incluso lograron hackear la cuenta oficial de Tesla Motors y publicaron un mensaje que alentaba a los fans a llamar a los Strater para recibir un coche Tesla de forma gratuita. Los Strater pasaron el fin de semana pegados al teléfono, ya que Amy y Blair recibían casi cinco llamadas por minuto de fans de Tesla que querían adquirir un coche en “promoción”. Un hombre incluso visitó la casa de los Strater y les pidió que abrieran la puerta del garaje, sospechando que escondían su Tesla gratuito.
Fuente.
https://blog.kaspersky.es/ominous-targeted-hacks/8084/
Casi todo el mundo tiene una cuenta de correo electrónico, cuentas en redes sociales y banca electrónica. La gente hace compras online y usa el Internet móvil para identificarse (por ejemplo, las soluciones de verificación en dos pasos). Por desgracia, ninguno de estos sistemas es completamente seguro.
Cuanto más interactuamos online, mayor es el objetivo para los hackers; los especialistas de seguridad lo llaman “superficie de ataque”. Cuanto más grande es la superficie, más fácil es atacar. Si echas un vistazo a estas tres historias de los últimos tres años, entenderás perfectamente cómo funciona.
Cómo robar una cuenta: ¿un hackeo o una simple llamada telefónica?
Una de las herramientas más poderosas utilizadas por los hackers es el “hackeo humano” o ingeniería social. El 26 de febrero de 2016, el editor de Fusion, Kevin Roose, decidió comprobar lo poderoso que es. La hacker e ingeniera social, Jessica Clark, y el experto en seguridad, Dan Tentler, aceptaron su desafío.Jessica prometió hackear el correo electrónico de Kevin con una llamada telefónica, y lo cumplió. Primero, su equipo creó un perfil de 13 páginas de largo que cubría una descripción del perfil de Roose, que hablaba sobre lo que le gusta y lo que no, etc. Todos los datos utilizados fueron recogidos mediante fuentes públicas.
Después de haberlo preparado, Jessica duplicó el número de móvil de Kevin y llamó a su compañía telefónica. Para añadir tensión a la situación, puso de fondo un vídeo de bebés llorando.
Jessica se presentó como la mujer de Roose. Según su historia, ella y su “marido” iban a solicitar un préstamo, pero la joven y agotada madre había olvidado el correo electrónico que utilizaban juntos. Con los bebés llorando de fondo, Jessica persuadió rápidamente al servicio de soporte para reiniciar la contraseña del correo electrónico y consiguió el acceso total al correo objetivo.
Dan Tentler consiguió llevar a cabo su tarea mediante el uso de phishing. Primero, descubrió que Kevin tenía un blog en Squarespace y le envió un falso correo electrónico oficial desde la plataforma del blog. En él, los administradores de Squarspace pedían a los usuarios que actualizaran el certificado SSL para mejorar su “seguridad”. En vez de protegerle, este archivo permitió a Tentler el acceso al PC de Kevin. Dan creó varios pop-ups falsos que pedían a Roose que introdujera sus credenciales específicas, consiguiendo así su objetivo.
Tentler consiguió acceder a los datos bancarios de Kevin, a sus credenciales de inicio de sesión en su correo electrónico y en tiendas online, además de a los datos de su tarjeta de crédito y su número de la seguridad social. Asimismo, Dan consiguió fotos de Roose y de su pantalla, tomadas cada dos minutos durante las 48 horas de hackeo.
¿Cómo robar a un ingeniero de software en una noche?
En la primavera de 2015, el creador de software Partap Davis, perdió 3.000 dólares. En cuestión de pocas horas, durante una noche, un hacker consiguió acceder a sus dos cuentas de correo electrónico, su número de teléfono y su cuenta de Twitter. El criminal burló inteligentemente el sistema de verificación en dos pasos y vació la cartera de Bitcoin de Partap. Como podrás imaginar, a la mañana siguiente Davis se encontró con una desagradable sorpresa.
Es importante mencionar que Patrap Davis es un usuario experto en Internet: siempre elige contraseñas fuertes y nunca hace clic en enlaces maliciosos. Su correo electrónico está protegido con el sistema de verificación en dos pasos de Google, por lo que, cuando inicia sesión en un ordenador nuevo, tiene que introducir los seis dígitos enviados a su teléfono móvil.
Davis guardaba sus ahorros en tres carteras de Bitcoin protegidas con otro servicio de verificación en dos pasos, proporcionado por la aplicación móvil de Authy. Aunque Davis utilizó todas estas medidas razonables de seguridad, no se salvó de un ataque dirigido.
Después del incidente, Davis se enfadó mucho y pasó varias semanas buscando al criminal. También contactó y reclutó a editores de The Verge para esta misión. Todos juntos lograron descubrir cómo se hizo el hackeo.
Como correo principal, Davis utilizaba la dirección de Patrap@mail.com. Todos los e-mails fueron reenviados a una dirección de Gmail más difícil de recordar (ya que Patrap@gmail.com ya estaba siendo utilizada).
Durante varios meses, cualquiera que quisiera podía comprar un script especial en Hackforum, permitiendo al dueño explotar una vulnerabilidad en la página de restablecimiento de contraseña de Mail.com. Al parecer, este script fue utilizado para burlar la verificación en dos pasos y cambiar la contraseña de David.
Después de eso, el hacker solicitó una nueva contraseña de la cuenta de AT&T de Davis y luego pidió al servicio al cliente que desviaran las llamadas entrantes de Davis a un número de Long Beach. El servicio de soporte recibió un e-mail de confirmación y aceptó darle el control de las llamadas al criminal. Con esta poderosa herramienta, no fue difícil burlar al servicio de verificación en dos pasos de Google y obtener acceso a la cuenta de Gmail de Davis.
Ya que los SMS se seguían enviando al antiguo número de móvil de Davis, el hacker utilizó la función de accesibilidad para gente con problemas de visión. Esta le permitía leer el código de confirmación en voz alta a través del teléfono. Así que, la cuenta de Gmail fue hackeada y solo la app de Authy se interponía entre el hacker y su recompensa.
Para superar este obstáculo, el criminal simplemente reestableció la app en su teléfono utilizando una dirección de mail.com y un nuevo código de confirmación, recibido, una vez más, a través de una llamada. Cuando prácticamente todas las medidas de seguridad estaban en sus manos, el hacker cambió las contraseñas de una de las carteras de Bitcoin de Davis con el uso de Authy y la dirección de mail.com, transfiriendo todo el dinero.
El dinero de las otras dos cuentas quedó intacto, gracias a queuno de los servicios no permitía sacar dinero después de 48 horas de que se reestableciera la contraseña. La otra cuenta solicitó el escaneo del carné de conducir de Davis, al que el hacker no tenía acceso.
Un trol amenazador arruina vidas reales
Tal como se publicó en el periódico Fusion en octubre 2015, la destrucción de la vida de la familia Strater comenzó con una pizza. Hace muchos años todas las cafeterías y restaurantes locales llenaron sus terrazas de pizzas, tartas y comida de todo tipo. Paul y Amy Strater tuvieron que cancelar el pedido, disculpándose.Justo después llegaron los ramos de flores, acompañados de grandes cantidades de arena y grava, remolques y otros bienes y servicios no solicitados. Todo esto resultó ser solo la punta del iceberg, ya que les esperaban tres años de una verdadera pesadilla.
Paul Strater, un ingeniero senior en radiodifusión en un canal local de TV, y su esposa Amy Strater, ex administradora de un hospital, fueron víctimas de un hacker o un grupo de hackers desconocidos que no se llevaban bien con su hijo Blair. Las autoridades recibieron amenazas de bomba enviadas a su nombre. Los hackers utilizaron la cuenta de Amy para publicar el plan de ataque a un colegio. La nota principal incluía el siguiente titular: “Voy a acabar con tu escuela”. La policía terminó haciendo frecuentes visitas a su casa, lo que no mejoró su relación con los vecinos, que intentaban adivinar lo que estaba pasando.
Los criminales, incluso lograron hackear la cuenta oficial de Tesla Motors y publicaron un mensaje que alentaba a los fans a llamar a los Strater para recibir un coche Tesla de forma gratuita. Los Strater pasaron el fin de semana pegados al teléfono, ya que Amy y Blair recibían casi cinco llamadas por minuto de fans de Tesla que querían adquirir un coche en “promoción”. Un hombre incluso visitó la casa de los Strater y les pidió que abrieran la puerta del garaje, sospechando que escondían su Tesla gratuito.
Fuente.
https://blog.kaspersky.es/ominous-targeted-hacks/8084/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.