¿Tus dispositivos pertenecen a una red Zombi?

Una técnica común entre los ciberdelincuentes consiste en infectar y tomar el control de múltiples ordenadores, utilizándolos para cometer fraudes, lanzar ataques de fuerza bruta o propagar el malware a más sistemas, con el fin de ejecutar un ataque coordinado a gran escala.

A esta técnica se le llama Botnet o red zombi. Se caracteriza por que la conexión a la red de tu dispositivo es lenta, te aparecen demasiados spam publicitarios y/o en la bandeja de correo aparecen mensajes enviados que tu no escrito. También es posible que alguno proveedores de servicios te denieguen el acceso por que tu dirección ip se encuentre señalada como perteneciente a una botnet.

OSI Oficina de Seguridad de Intenet, mediante INCIBE Instituto Nacional de Ciberseguirdad te proporciona una serie de herramientas gratuitas AntiBotnet que te ayudaran a saber si tus dispositivos pueden estar siendo manipulados por ciberdelincuentes y estar dentro de una Botnet. Y en caso de que así sea como eliminarlo de tus equipos.

• Para sistemas Android disponen de una herramienta llamada Conan Mobile
• De forma on-line mediante navegador. Para acceder pinchar aquí y Chequea tu conexión

• Si tu operador de servicios de internet te ha mandado un código de incidencia, puedes consultar que te están queriendo decir. En este caso están colaborando con Telefónica

• Plugin para navegadores Chrome, Vivaldi, Edge, Brave ...
• Extensión para navegadores FireFox

Para más información tienes este vídeo:

Pero recuerda que Más vale prevenir que curar:

• Mantén tus dispositivos actualizados.
• No navegues por paginas web sospechosas o que no dispongan del protocolo https: https://www.enfaseterminal.com/
• No descargues archivos o software de sitios oficiales.
• Tener instalados en tus redes domesticas o empresariales cortafuegos y antivirus.
• Y comprobar de vez en cuando que tus dispositivos no se encuentran en una red zombi o botnet

Comprobar url y saber sin son maliciosas

Es posible que recibas SMS o mensajes mediante aplicaciones de mensajería instantánea de contactos desconocidos que, por ejemplo te solicitan completar tus datos para recibir un paquete que se encuentra retenido.

Alto antes de continuar analiza la url

La entrega esta en espera porque su envio no tiene numero de casa. Actualice lo antes posible.

El mensaje se hace pasar por un servicio de paqueteria que necesita nuestros datos para poder realizar la entrega. Es sencillo y convincente, puesto que recibimos paquetes de compras on-line en nuestros domicilios.

NO ACCEDAS AL ENLACE, PUEDE SER UNA TRAMPA.

• El contacto que que nos ha enviado el SMS no se encuentra verificado y es de un contacto desconocido.
• El enlace pertenece a un servicio de acortamiento de url y nos está ocultando el dominio del enlace real.

Antes de pinchar en el enlace, vamos a copiarlo en el porta-papeles. accederemos a VirusTotal y pegaremos la dirección web sospechosa en el cajón de búsqueda

VirusTotal analizará nuestra url sospechosa sin poner en  peligro nuestros equipos y nos informará si es peligrosa:

VirusTotal nos informa que la url enviada pertenece a una dirección reportada como criminal y que:

•  Cuando CyRadar en VirusTotal marca algo como malicioso, significa que según sus criterios y algoritmos de detección, el archivo o sitio web analizado podría contener software malintencionado o comportamientos sospechosos.
• Cuando VirusTotal muestra un resultado de “sospechoso” para Trustwave, significa que el motor de análisis de Trustwave ha identificado algo en el archivo o URL analizado que podría ser potencialmente peligroso o inusual.

Si solicitamos detalles de la url analizada, comprobaremos que nos redirigirá a un dominio desconocido que no pertenece a ninguna agencia de paquetería o venta onl-line:

En este caso el SMS recibido es peligroso, deberíamos bloquear al contacto y borrar el mensaje.

También puedes informar al Instituto Nacional de Ciberseguridad de España INCIBE para que analicen el enlace que te han enviado e informen sobre el fraude.

Entradas relacionadas:

• Un SMS te puede arruinar el fin de semana
• The Harvester herramienta OSINT

Sherlock Linux distribución orientada a OSINT

 

Imagen obtenida de Sherlock Linux

Sherlock Linux es una distribución open source basada en Debian 64 bits, utiliza el entorno de escritorio XFCE y en su versiones para entornos virtuales se encuentran en español. Contiene todas las herramientas necesarias para la obtención de información en fuentes abiertas en una investigación OSINT.

OSINT es un anagrama en inglés open-source intelligence, en su traducción literal seria La inteligencia de fuentes abiertas. Básicamente seria recabar información de fuentes abiertas al público de por ejemplo una persona: nombre completo, redes sociales en las que publica, correo electrónico, dirección física etc... También se pueden realizar para estudios de mercado y/o investigación, como por ejemplo ciudades son más seguras en cuanto ataques terroristas perpetrados. Ello engloba una serie de técnicas o herramientas para rastrear de forma inteligente las distintas redes de información en Internet para recabar información clasificándola de forma ordenada.

Las técnicas o herramientas utilizadas en OSINT, entre otras, son muy importantes para la Ciberseguridad, puesto que para los ciberdelicuentes es la primera fase a la hora de realizar un ciberataques, a personas empresas e instituciones. Conocer que datos pululan por Internet sobre nosotros nos permite saber como ocultarnos, o como ofuscar ciertos datos comprometidos, como puede ser nuestra dirección o numero de teléfono personal.

Imagen obtenida de Incibe articulo Las 7 fases de un ciberataque. ¿Las conoces?

En la documentación se detallan las herramientas pre-instaladas y los marcadores  y extensiones agregados a los navegadores que se incluyen. Esta muy detallada y es una muy buena base de datos, que incluye enlaces web a las herramientas instaladas en la distribución.

Sherlock Linux se puede obtener por dos vías diferentes, descargando una máquina virtual (ova), se encuentran disponibles para virtualizadores VMware y Virtualbox, o una imagen (iso) con todo el software pre instalado o descargando el proyecto de GitHub de la distribución y ejecutar el script de instalación.

Un SMS te puede arruinar el fin de semana

Un SMS recibido en el teléfono móvil el sábado te puede arruinar el fin de semana.

Suele ser el sábado cuando los estafadores te suelen enviar un SMS, alertándote que:

+34 639 156 307 >

Banco BBVA-

Estimado cliente: A partir del 09/04/2023, no podra utilizar su cuenta. Hasta que actualice e nuevo sistema de seguridad :

<enlace de acceso para actualizar tus credenciales> 

Este tipo de timos se llaman: Smishing es un tipo de ataque de phishing que se dirige a los usuarios de teléfonos móviles a través de mensajes SMS imitado a entidades bancarias. Y suele ser recibidos los días anteriores a fines de semana, puentes o festivos. Para que el usuario crea que no va a disponer de efectivo hasta el siguiente día laborable.

El objetivo de este tipo de fraude, es la de obtener nuestros datos y contraseñas para acceder a nuestra entidad bancaria en nuestro nombre y vaciarnos la cuentas.

• Primero de todo hay que fijarse en quien envía en mensaje. Si el numero no se encuentra en nuestra lista de contactos, y aun asi hay que actuar con precaución por que el teléfono ha podido ser hacheado, o no apareceré como nombre de la entidad que lo envía. Desconfía

• Prestar atención al texto del mensaje, suele haber faltas de ortografía, no estar bien redactado, la entidad bancaria no corresponde con la que utilizamos habitualmente. 

Nuestra entidad bancaria comunicara con nosotros a través de la aplicación que tengamos instalada en el teléfono móvil. Y nunca proporcionaremos datos a aquellos que quieran contacten con nosotros, confirmaremos con nuestra entidad la veracidad de las comunicaciones que recibamos mediante los cauces que tengamos establecidos: teléfono de la sucursal que usamos, pagina web oficial, o directamente con nuestro cajero.

 

• Analicemos el enlace y no hagamos click sobre el. En este caso el enlace parece de un servidor seguro, pero no corresponde con la web de BBVA  https://www.bbva.com/. Y si accedemos al dominio, este pertenece a una pagina de acortamiento de enlaces.
• 
  

No accedas desde enlaces que le proporcionen por mensajería o SMS. Utiliza tus canales de contacto con la entidad.

Pasamos el enlace a la pagina VirusTotal que nos informara si enlace nos puede llevar a una pagina con virus o rastreadores maliciosos, y si a sido notificada como pagina utilizada para phishing

Pero si accedemos al enlace web que nos han enviado llegaremos a una página con una estética muy parecida a nuestra entidad, en este caso BBVA. Y en la que si intentamos acceder con nuestras credenciales, están pasaran a manos de los ladrones, que nos vaciaran la cuenta y entonces si, nos arruinaran el fin de semana he incluso el mes.

 

¿Que debemos hacer si recibimos un SMS sospechoso phishing?

• Antes de cualquier acción contactar con nuestra entidad bancaria mediante los medios que utilicemos habitualmente, nunca mediante el SMS  o mensaje nos hayan enviado.
• No pulsar sobre el enlace que nos han enviado a través del mensaje
• Realizar una captura de pantalla de SMS
• Bloquear al destinatario de mensaje.
• Borrar el mensaje
• Informar a nuestros contactos, enviadles la captura de pantalla y advirtiéndoles que actuen con precaución.
• Informar a Guardia Civil y Policía sobre la estafa para que tomen medidas o informen en sus redes sociales. 
• También puedes informar al Instituto Nacional de Ciberseguridad de España INCIBE para que analicen el enlace que te han enviado e informen sobre el fraude.

Gracias.

017 – Tu ayuda en ciberseguridad, 

amentablemente, existen multitud de fraudes que tienen como objetivo obtener datos personales, bancarios o beneficios económicos de las víctimas como has podido comprobar. En nuestra página web informamos sobre diversas campañas que guardan similitud con la que nos has reportado: https://www.osi.es/es/actualidad/avisos/2022/03/aumentan-los-envios-de-sms-fraudulentos-que-suplantan-entidades-bancarias

017 – Tu ayuda en ciberseguridad, 

Por nuestra parte, al habernos facilitado la URL, el fraude va a ser notificado a nuestro equipo de gestión de incidentes para que un técnico experto pueda analizarlo y realice las gestiones oportunas para tratar que afecte a las menos personas posibles. Continúa reportándonos la información cada vez que detectes un posible riesgo para continuar trabajando en minimizar los peligros online enviando un correo a incidencias@incibe-cert.es. Tienes más información sobre vías de reporte en el siguiente enlace: https://www.osi.es/es/reporte-de-fraud

017 – Tu ayuda en ciberseguridad, 

Como en el resto de mensajes, Whatsapp o correos potencialmente fraudulentos que recibas, recomendamos no acceder a sus enlaces o archivos adjuntos ya que representan un riesgo para tu información, ni facilitar datos personales ni bancarios de ningún tipo, como entendemos que vienes realizando correctamente. Lo recomendable en estos casos es bloquear el número de teléfono / remitente como spam el remitente del correo y eliminarlo.