30 July 2014

Avoid using Instagram on public Wi-Fi...

A configuration problem in Facebook's popular Instagram application for Apple devices could allow a hacker to hijack a person's account if they're both on the same public Wi-Fi network.

Stevie Graham, who describes himself as a "hacker at large" based in London, wrote on Twitter that Facebook won't pay him a reward for reporting the flaw, which he said he found years ago.

Graham wrote he hopes to draw more attention to the issue by writing a tool that could quickly compromise many Instagram accounts. He cheekily calls the tool "Instasheep," a play onFiresheep, a Firefox extension that can compromise online accounts in certain circumstances.

"I think this attack is extremely severe because it allows full session hijack and is easily automated," according to Graham's technical writeup. "I could go to the Apple Store tomorrow and reap thousands of accounts in one day, and then use them to post spam."

Graham's finding is a long-known configuration problem that has prompted many Web companies to fully encrypt all connections made with their servers. The transition to full encryption, signified by "https" in a browser URL bar and by the padlock symbol, can be technically challenging.

Instagram's API (application programming interface) makes unencrypted requests to some parts of its network, Graham wrote. That poses an opportunity for a hacker who is on the same Wi-Fi network that doesn't use encryption or uses the outdated WEP encryption, which can be easily cracked.

Some of those Instagram API calls transmit an unencrypted session cookie, or a data file that lets Instagram know a user is still logged in. By collecting the network traffic, known as a man-in-the-middle attack, the session cookie can be stolen and used by an attacker to gain control of the victim's account.

Facebook officials didn't have an immediate comment, but Instagram's co-founder, Mike Krieger, wrote on Ycombinator's Hacker News feed that Instagram has been "steadily increasing" use of full encryption.

Its "Instagram Direct" service, which allows photos to be shared with only small groups of people, is fully encrypted, he wrote. For more latency-sensitive endpoints, such as Instagram's main feed, the service is trying to make sure the transition to https doesn't affect performance, he wrote.

"This is a project we're hoping to complete soon, and we'll share our experiences in our [engineering] blog so other companies can learn from it as well," Krieger wrote.

Google offered full encryption as an option for Gmail in 2008, but two years later made it the default. Facebook switched it on by default in January 2011

Jeremy Kirk (IDG News Service) on 29 July, 2014 15:47

Source: http://www.computerworld.com.au/article/551120/using_instagram_public_wi-fi_poses_risk_an_account_hijack_researcher_says

14 July 2014

¿Qué tienen en común un phishing y una imagen?

Recientemente hemos recibido en el Laboratorio de Investigación de ESET Latinoamérica un phishing del banco BBVA, al cual se accedía desde un correo en Perú. Aunque ya hemos visto casos parecidos en Argentina, España y también en Chile, este nos llamó la atención y procederemos a describirlo en detalle, porque estaba compuesto pura y exclusivamente por imágenes. Esto significa que no contenía archivos de programación HTML ni PHP; no tenía trabajo de programación web alguno, sino que sólo eran imágenes.

Antes que nada, debemos aclarar que no hay una vulnerabilidad en el sitio oficial, solo es una réplica exacta creada con imágenes y pequeños programas que se encargan de robar la información. Aquí cabe destacar que estas entidades financieras y demás servicios de Internet intentan acabar con estos sitios de estafas para proteger a los usuarios, por lo que estas campañas exceden a las empresas.

Por eso, queremos mostrarles el funcionamiento de este tipo de estafas, para que desde sus hogares puedan detectarlas sin la necesidad de conocimiento técnico.
La trampa que hoy analizamos estaba destinada a robar información de usuarios y empresas. A continuación mostramos una captura del correo que recibía la víctima:

correoBuscando en el cuerpo del mensaje llegamos a ese recuadro gris donde se encuentra el cursor, donde se encuentra el botón para acceder al enlace malicioso (por algún motivo no aparece el botón pero sí permite acceder al enlace).

Una vez que se accede a ese sitio fraudulento, la víctima se encontrará con el siguiente portal:

01
Al hacer clic en la solapa “Persona” y luego en el botón de color verde (botón llamativo a la derecha), el portal invita a la víctima a ingresar con su número de tarjeta y su clave personal. En la siguiente captura se aprecia el modo de ingreso:


03
Debemos destacar que se podía acceder ingresando cualquier número de tarjeta y cualquier contraseña, mientras que una entidad oficial verifica el número de tarjeta y comprueba la contraseña; también cabe remarcar que después de algunos intentos fallidos de ingreso, el usuario es bloqueado. Un detalle que se puede apreciar en la primer pestaña: la letra “V” de la entidad está compuesta por barra y contra barra (\/), formando una V.


Una vez dentro de la supuesta cuenta, el sitio comenzará a solicitar información personal sensible, aparte de la información bancaria, tal como se observa en la siguiente captura:

05
Como puede verse en el ejemplo, solicita número de documento o identificación, teléfono móvil, ciudad, dirección y también fecha de caducidad. Pero algo interesante para prestar atención, es el código ATM de 4 dígitos que solicita, es decir que también pide la contraseña para acceder desde un terminal (cajero automático).


Una vez completados los datos solicitados (en este caso con datos al azar), se procede a hacer clic en el botón “Continuar”, para procesar el formulario.

Como si todo esto no bastara, el sitio no posee SSL, por lo que no vemos “HTTPS” en la barra de direcciones. Esto significa que al capturar la comunicación entre el equipo de la víctima y el sitio en cuestión, se puede ver cómo toda la información viaja sin cifrar:

11
Como habrán visto, es necesario tener todos estos detalles en cuenta, los cuales bastarán para prevenir este tipo de fraudes sin tener conocimientos técnicos.


Desde el Laboratorio de Investigación de ESET Latinoamérica les recomendamos ser precavidos con este tipo de correos electrónicos, estos enlaces suelen ser engañosos y prácticas como pasar por encima de un menú sin que cambie el cursor, sin poder acceder a estos, puede ser un gran indicio de que se está simplemente frente a una imitación de la imagen de un sitio bancario y no tiene nada que ver con el sitio oficial.

A la hora de hacer consultas u operaciones de home banking recomendamos acceder al sitio oficial a través de sitios seguros con HTTPS. Afortunadamente, en el transcurso del análisis, el sitio fue dado de baja en el servidor donde estaba alojado, por lo cual ya no afectará a más víctimas. Pero no queríamos pasarlo por alto, para que vean lo simple que es detectar una estafa a tiempo.


Créditos imagen: ©palindrome6996/Flickr
Autor Ignacio Pérez, ESET

Boleto Malware: dos nuevas variantes descubiertas

Hace pocos días se dio a conocer la existencia de Bolware o Boleto Malware, un fraude sofisticado en Brasil que involucra un ataque MITB (Man In The Browser), atacando transacciones en línea y modificándolas del lado del cliente. Ahora se han descubierto dos nuevas familias que apuntan al sistema de pago oficial Boleto Bancario de Brasil.

La compañía RSA, responsable del descubrimiento inicial, dijo que la sumatoria de las transacciones ilícitas con esta técnica habían logrado robar 3,75 mil millones de dólares, pero luego el sitio Linha Defensiva argumentó que era un cálculo inexacto y algo exagerado. De cualquier manera, la importancia del caso reside en que los Boletos representan alrededor del 30% de todas las transacciones de pago en línea en Brasil.

El malware en cuestion le permite al atacante interceptar las transacciones utilizando este sistema alterando información financiera que se ingresa en los sitios afectados. Una de las nuevas variantes es capaz de modificar el Document Object Model (DOM) en diferentes versiones de Internet Explorer, lo que le permite cambiar los datos internos de los sitios afectados.

La otra descarga e instala extensiones maliciosas en Firefox y Chrome, luego de lo cual escanea sitios en busca de números de Boletos Bancarios, para alterarlos y sustituirlos por otros números predefinidos, y desviar fondos desde cuentas de clientes hacia cuentas “mula”. Investigadores de Trusteer, una compañía de IBM, encontraron que aproximadamente una de cada 900 computadoras en Brasil está infectada con alguna forma de Bolware, lo cual no nos sorprende si tenemos en cuenta que Brasil es el líder en la propagación de troyanos bancarios.

En términos de seguridad, el único consejo válido aquí es la prevención: si el malware no es identificado en el dispositivo, todos los métodos de prevención posteriores como autenticación pueden ser salteados por el atacante. Por lo tanto, no está de más recordar la importancia contar con una solución de seguridad.

Créditos imagen: ©Pedro J. Concha/Flickr
 
El post Boleto Malware: dos nuevas variantes descubiertas aparece primero en We Live Security en Español.

Autor Sabrina Pagnotta, ESET