Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
enero
(Total:
27
)
- ¿Phineas Fisher es detenido en España? No
- Nueva actualización ISO de BlackArch Linux 2017
- Google Chrome elimina el control de plugins
- Hashcat ya permite crackear el cifrado de disco co...
- Tener un contacto 'AA' en el móvil no sirve para n...
- WhatsApp informará de tu ubicación a los miembros ...
- Mozilla y Google actualizan sus navegadores: dispo...
- Gmail bloqueará por seguridad los archivos adjunto...
- Departamento de Policía pierde 8 años de evidencia...
- Lineage OS: el sucesor de CyanogenMod
- Nueva y sofisticada técnica de Phishing sobre Gmail
- 40 mil dólares de recompensa por descubrir fallo e...
- Graves vulnerabilidades en routers Zyxel distribui...
- OurMine hackeó la cuenta de Twitter del New York T...
- Hackean contraseña del jefe de Seguridad Informáti...
- Detenido en Barcelona un presunto ciberdelincuente...
- El primer cable Ethernet cat. 8 de Wireworld alcan...
- Google Maps también nos dirá la disponibilidad par...
- Raspberry Pi presenta el nuevo Compute Module 3
- Autor de vender un Keylogger que infectó a 16 mil ...
- Disponible actualización de WordPress 4.7.1
- Huawei supera a Samsung y ya lidera la venta de sm...
- La empresa que crackeó el iPhone de San Bernardino...
- Nuevas técnicas de Phishing usando documentos borr...
- Adobe actualiza Flash, Acrobat y Reader para corre...
- Un fallo de Chrome, Safari y Opera permite que rob...
- Kingston presenta el primer pendrive de 2TB
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
Nuevas técnicas de Phishing usando documentos borrosos piden credenciales para visualizarlos
jueves, 12 de enero de 2017
|
Publicado por
el-brujo
|
Editar entrada
Las técnicas de Phishing evolucionan y mucho a lo largo del tiempo. Una nueva modalidad que está resultando muy efectiva es mostrar un documento que una vez abierto se ve borroso y una ventana - imagen donde debes introducir tus credenciales para poder leer o desbloquear el documento. Y en realidad lo único que haces es enviar tu nombre de usuario y contraseña al atacante...
A pesar de la creciente complejidad de los ataques cibernéticos y del código malicioso, los ataques de phishing y phishing siguen siendo el punto de entrada inicial en muchas de las brechas de seguridad actuales.
En la mayoría de los ataques de phishing, los delincuentes aprovechan un tema común, pidiendo a los usuarios que actualicen la información de su perfil en varios perfiles, pero redirigir a los usuarios a páginas alojadas en dominios similares.
Como los usuarios se han acostumbrado a este truco básico de phishing en los últimos años, los atacantes encontraron otras formas creativas de phishing para las credenciales de inicio de sesión.
Un truco, visto por primera vez en junio de 2016, se observó de nuevo el mes pasado. Este inteligente ataque de phishing se basa en decir a los usuarios que recibieron un archivo importante o seguro, y necesitan visitar una página web para verla.
El verdadero truco tiene lugar en la página del ladrón, que muestra un documento borroso en el fondo. Para ver el documento, los usuarios deben introducir sus credenciales.
El documento borroso visto en el fondo de la página actúa como una promesa para lo que los usuarios van a recibir si se autentican. De hecho, estos no son más que simples páginas web que muestran una imagen de un documento borroso, y nada más. Lo único que funciona en la página es el formulario de inicio de sesión que registrará las credenciales de inicio de sesión que ingrese en su interior.
Al igual que los ataques de 2016, los delincuentes no especifican qué credenciales de inicio de sesión los usuarios tienen que rellenar, y dejan que el usuario ingrese lo que cree que debe haber ingresado. Un usuario descuidado podría introducir cualquier cosa, desde sus detalles de Intranet hasta los inicios de sesión de Google.
Adobe PDF nos alerta de los datos que estamos enviando a otra página:
En este momento, basados en los incidentes de 2016 y 2017, estos ataques son bastante fáciles de detectar. Si los ladrones detrás de estas páginas de phishing resultaran menos descuidados y pasaran más tiempo en detalles de refinamiento, este tipo de ataques podrían ser bastante efectivos y más difíciles de detectar por lo que realmente son.
A continuación se presentan algunas capturas de pantalla de la campaña de junio de 2016.
Algunos ejemplos:
Confirma tu identidad, etc
Fuente:
https://www.bleepingcomputer.com/news/security/clever-phishing-trick-you-need-to-be-aware-of/
Montón de correos electrónicos de phishing que tratan de robar las credenciales de las víctimas. Bueno, nada nuevo pero, esta vez, el escenario es muy diferente: El correo electrónico malicioso contiene un cuerpo HTML con bonitos logotipos y textos que pretenden ser de una empresa de renombre o proveedor de servicios.
Hay un enlace que abre una página con un documento falso pero borrosa con una página emergente de inicio de sesión en la parte superior de la misma. La víctima es tentada a ingresar sus credenciales para leer el documento. Encontré muestras para la mayoría de los documentos de oficina conocidos.
El hecho extraño es que no está claro qué credenciales están dirigidas: Google, Microsoft o cuentas corporativas? El éxito de un phishing eficiente es tomar a la víctima de la mano y "obligar" a él / ella a revelar lo que estamos esperando. Por lo tanto, nada de fantasía detrás de este tipo de phishing, pero siempre es interesante realizar más investigaciones y, para uno de ellos, era una buena idea. Todo el mundo comete errores y atacantes también!
La página de phishing estaba alojada en un sitio web brasileño. Normalmente, dicho material está alojado en un CMS comprometido como, sin mencionar nombres, sino Wordpress, Joomla o Drupal.
El servidor Apache tenía habilitada la función 'indexación de directorios' haciendo que todos los archivos estuvieran disponibles públicamente y, entre los archivos .php y .js, un archivo zip que contenía el "paquete" utilizado por los atacantes para construir la campaña de phishing. Era demasiado tentador verlo. El efecto "borroso" se implementó de una manera muy sencilla: el documento falso es una captura de pantalla de baja resolución
Los datos enviados son:
A continuación, se realiza una redirección HTTP a una segunda página: "phone.html" que imita una página de autenticación de Google y solicita el número de teléfono del usuario. Aquí otra vez, los datos del POST se procesan vía "phone.php" que envía un segundo email con el número de teléfono de la víctima. Los correos electrónicos se envían a dos direcciones (no divulgadas aquí):
Una cuenta de @ gmail.com
Una cuenta de @ inbox.ru
Para concluir en un hallazgo divertido: hay un script PHP específico 'imp.php' que crea una copia del material en un nuevo directorio. El nombre del directorio se basa en una combinación de un número aleatorio convertido en Base64 y hash. Al llamar a este script de forma automatizada, es posible llenar el sistema de archivos del servidor web con miles de nuevos directorios.
Un correo electrónico de un dominio de la escuela que pretendía ser VetMeds enviar un PDF "cifrado" que requiere un nombre de usuario y contraseña para iniciar sesión. El tema del correo electrónico fue "Documento de evaluación". El propio PDF fue creado con Microsoft Word e incluyó un enlace que sugirió que era un documento bloqueado y que tenía que hacer clic en un enlace para desbloquearlo
Y un cuadro de inicio de sesión que acepta felizmente. A continuación se presentan algunas capturas de pantalla, pero algunas notas. Versiones actualizadas de Acrobat deben preguntar antes de ir a sitios web malos. Lo que me pareció interesante fue que el atractivo era una evaluación de VetMeds, pero el documento subyacente en el sitio web ruso es para una transacción SWIFT, por lo que algunos mensajes de mezcla allí. Algunos consejos, tenga cuidado con los correos electrónicos de los dominios que no coinciden con el contenido, tenga en cuenta que los documentos PDF cifrados no están bloqueados de esta manera (y nunca le preguntará por su contraseña de correo electrónico real de todos modos), y buscar otras inconsistencias que dar estos lejos Como estafas. Asegúrese de que los usuarios son conscientes de los pequeños letreros a continuación para que puedan detenerse antes de convertirse en víctimas.
Fuentes:
https://isc.sans.edu/diary/Phishing+Campaign+with+Blurred+Images/21207
https://isc.sans.edu/diary/Mixed+Messages+:+Novel+Phishing+Attempts+Trying+to+Steal+Your+E-mail+Password+Goes+Wrong/21881
Inteligente Truco de Phishing
A pesar de la creciente complejidad de los ataques cibernéticos y del código malicioso, los ataques de phishing y phishing siguen siendo el punto de entrada inicial en muchas de las brechas de seguridad actuales.
En la mayoría de los ataques de phishing, los delincuentes aprovechan un tema común, pidiendo a los usuarios que actualicen la información de su perfil en varios perfiles, pero redirigir a los usuarios a páginas alojadas en dominios similares.
Como los usuarios se han acostumbrado a este truco básico de phishing en los últimos años, los atacantes encontraron otras formas creativas de phishing para las credenciales de inicio de sesión.
Un truco, visto por primera vez en junio de 2016, se observó de nuevo el mes pasado. Este inteligente ataque de phishing se basa en decir a los usuarios que recibieron un archivo importante o seguro, y necesitan visitar una página web para verla.
El verdadero truco tiene lugar en la página del ladrón, que muestra un documento borroso en el fondo. Para ver el documento, los usuarios deben introducir sus credenciales.
El documento borroso visto en el fondo de la página actúa como una promesa para lo que los usuarios van a recibir si se autentican. De hecho, estos no son más que simples páginas web que muestran una imagen de un documento borroso, y nada más. Lo único que funciona en la página es el formulario de inicio de sesión que registrará las credenciales de inicio de sesión que ingrese en su interior.
Al igual que los ataques de 2016, los delincuentes no especifican qué credenciales de inicio de sesión los usuarios tienen que rellenar, y dejan que el usuario ingrese lo que cree que debe haber ingresado. Un usuario descuidado podría introducir cualquier cosa, desde sus detalles de Intranet hasta los inicios de sesión de Google.
Adobe PDF nos alerta de los datos que estamos enviando a otra página:
En este momento, basados en los incidentes de 2016 y 2017, estos ataques son bastante fáciles de detectar. Si los ladrones detrás de estas páginas de phishing resultaran menos descuidados y pasaran más tiempo en detalles de refinamiento, este tipo de ataques podrían ser bastante efectivos y más difíciles de detectar por lo que realmente son.
A continuación se presentan algunas capturas de pantalla de la campaña de junio de 2016.
Algunos ejemplos:
Confirma tu identidad, etc
Fuente:
https://www.bleepingcomputer.com/news/security/clever-phishing-trick-you-need-to-be-aware-of/
Montón de correos electrónicos de phishing que tratan de robar las credenciales de las víctimas. Bueno, nada nuevo pero, esta vez, el escenario es muy diferente: El correo electrónico malicioso contiene un cuerpo HTML con bonitos logotipos y textos que pretenden ser de una empresa de renombre o proveedor de servicios.
Hay un enlace que abre una página con un documento falso pero borrosa con una página emergente de inicio de sesión en la parte superior de la misma. La víctima es tentada a ingresar sus credenciales para leer el documento. Encontré muestras para la mayoría de los documentos de oficina conocidos.
El hecho extraño es que no está claro qué credenciales están dirigidas: Google, Microsoft o cuentas corporativas? El éxito de un phishing eficiente es tomar a la víctima de la mano y "obligar" a él / ella a revelar lo que estamos esperando. Por lo tanto, nada de fantasía detrás de este tipo de phishing, pero siempre es interesante realizar más investigaciones y, para uno de ellos, era una buena idea. Todo el mundo comete errores y atacantes también!
La página de phishing estaba alojada en un sitio web brasileño. Normalmente, dicho material está alojado en un CMS comprometido como, sin mencionar nombres, sino Wordpress, Joomla o Drupal.
El servidor Apache tenía habilitada la función 'indexación de directorios' haciendo que todos los archivos estuvieran disponibles públicamente y, entre los archivos .php y .js, un archivo zip que contenía el "paquete" utilizado por los atacantes para construir la campaña de phishing. Era demasiado tentador verlo. El efecto "borroso" se implementó de una manera muy sencilla: el documento falso es una captura de pantalla de baja resolución
Los datos HTTP POST y la información adicional se envían a los malos a través de un script 'mailer.php'.
function emailCheck(emailStr) {
...
var checkTLD=1;
var knownDomsPat=/^(com|net|org|edu|int|mil|gov|arpa|biz|aero|name|coop|info|pro|museum|ws)$/;
...
if (checkTLD && domArr[domArr.length-1].length!=2 &&
domArr[domArr.length-1].search(knownDomsPat)==-1) {
alert(errmsg);
return false;
}
...
errmsg="Please enter a valid email address.";
Los datos enviados son:
- Detalles de GeoIP basados en $ REMOTE_ADDR
- Agente de usuario
- FQDN / IP
- E-mail y Contraseña de Email
A continuación, se realiza una redirección HTTP a una segunda página: "phone.html" que imita una página de autenticación de Google y solicita el número de teléfono del usuario. Aquí otra vez, los datos del POST se procesan vía "phone.php" que envía un segundo email con el número de teléfono de la víctima. Los correos electrónicos se envían a dos direcciones (no divulgadas aquí):
Una cuenta de @ gmail.com
Una cuenta de @ inbox.ru
Para concluir en un hallazgo divertido: hay un script PHP específico 'imp.php' que crea una copia del material en un nuevo directorio. El nombre del directorio se basa en una combinación de un número aleatorio convertido en Base64 y hash. Al llamar a este script de forma automatizada, es posible llenar el sistema de archivos del servidor web con miles de nuevos directorios.
Un correo electrónico de un dominio de la escuela que pretendía ser VetMeds enviar un PDF "cifrado" que requiere un nombre de usuario y contraseña para iniciar sesión. El tema del correo electrónico fue "Documento de evaluación". El propio PDF fue creado con Microsoft Word e incluyó un enlace que sugirió que era un documento bloqueado y que tenía que hacer clic en un enlace para desbloquearlo
Y un cuadro de inicio de sesión que acepta felizmente. A continuación se presentan algunas capturas de pantalla, pero algunas notas. Versiones actualizadas de Acrobat deben preguntar antes de ir a sitios web malos. Lo que me pareció interesante fue que el atractivo era una evaluación de VetMeds, pero el documento subyacente en el sitio web ruso es para una transacción SWIFT, por lo que algunos mensajes de mezcla allí. Algunos consejos, tenga cuidado con los correos electrónicos de los dominios que no coinciden con el contenido, tenga en cuenta que los documentos PDF cifrados no están bloqueados de esta manera (y nunca le preguntará por su contraseña de correo electrónico real de todos modos), y buscar otras inconsistencias que dar estos lejos Como estafas. Asegúrese de que los usuarios son conscientes de los pequeños letreros a continuación para que puedan detenerse antes de convertirse en víctimas.
Fuentes:
https://isc.sans.edu/diary/Phishing+Campaign+with+Blurred+Images/21207
https://isc.sans.edu/diary/Mixed+Messages+:+Novel+Phishing+Attempts+Trying+to+Steal+Your+E-mail+Password+Goes+Wrong/21881
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
3 comentarios :
do you need a good hacker,who can hack email,gmail,facebook,iphone,website,cctv,database,bank account,atm, money wire. change university school grade, contact DAMIONHACK@GMAIL.COM
En resumen, la gente sigue siendo igual de idiota. Aunque este contradiciendo mis principios porque yo no soy superior a nadie, todos somos uno. Esa ingenuidad es la que permite el desarrollo de la especie humana. Salud!
Excelente artículo
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.