Mostrando entradas con la etiqueta ciberseguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta ciberseguridad. Mostrar todas las entradas

¿Tus dispositivos pertenecen a una red Zombi?

Una técnica común entre los ciberdelincuentes consiste en infectar y tomar el control de múltiples ordenadores, utilizándolos para cometer fraudes, lanzar ataques de fuerza bruta o propagar el malware a más sistemas, con el fin de ejecutar un ataque coordinado a gran escala.

Ordenadores que han sido infectados y se encuentran al servicio de equipos zombi o botnet

A esta técnica se le llama Botnet o red zombi. Se caracteriza por que la conexión a la red de tu dispositivo es lenta, te aparecen demasiados spam publicitarios y/o en la bandeja de correo aparecen mensajes enviados que tu no escrito. También es posible que alguno proveedores de servicios te denieguen el acceso por que tu dirección ip se encuentre señalada como perteneciente a una botnet.

OSI Oficina de Seguridad de Intenet, mediante INCIBE Instituto Nacional de Ciberseguirdad te proporciona una serie de herramientas gratuitas AntiBotnet que te ayudaran a saber si tus dispositivos pueden estar siendo manipulados por ciberdelincuentes y estar dentro de una Botnet. Y en caso de que así sea como eliminarlo de tus equipos.

Explicación como funciona un botnet y como es posible saber si tu equipo ha sido infectado


  • Para sistemas Android disponen de una herramienta llamada Conan Mobile
  • De forma on-line mediante navegador. Para acceder pinchar aquí y Chequea tu conexión

Chequea tu conexión online


Acetar las condiciones antes de comprobar nuestra conexión
Enhorabuena nuestra dirección IP no se encuentra en su base de datos


  • Si tu operador de servicios de internet te ha mandado un código de incidencia, puedes consultar que te están queriendo decir. En este caso están colaborando con Telefónica
Consultar el código de incidencia de nuestro operador

  • Plugin para navegadores Chrome, Vivaldi, Edge, Brave ...
  • Extensión para navegadores FireFox
Para más información tienes este vídeo:



Pero recuerda que Más vale prevenir que curar:
  • Mantén tus dispositivos actualizados.
  • No navegues por paginas web sospechosas o que no dispongan del protocolo https: https://www.enfaseterminal.com/
  • No descargues archivos o software de sitios oficiales.
  • Tener instalados en tus redes domesticas o empresariales cortafuegos y antivirus.
  • Y comprobar de vez en cuando que tus dispositivos no se encuentran en una red zombi o botnet

Comprobar url y saber sin son maliciosas

Es posible que recibas SMS o mensajes mediante aplicaciones de mensajería instantánea de contactos desconocidos que, por ejemplo te solicitan completar tus datos para recibir un paquete que se encuentra retenido.
Alto antes de continuar analiza la url
Alto antes de continuar analiza la url



SMS de un desconocido: La entrea esta en espera porque su envio no tiene numero de casa. Actualice lo antes posible

La entrega esta en espera porque su envio no tiene numero de casa. Actualice lo antes posible.


El mensaje se hace pasar por un servicio de paqueteria que necesita nuestros datos para poder realizar la entrega. Es sencillo y convincente, puesto que recibimos paquetes de compras on-line en nuestros domicilios.

NO ACCEDAS AL ENLACE, PUEDE SER UNA TRAMPA.

NO ACCEDAS AL ENLACE, PUEDE SER UNA TRAMPA.

  • El contacto que que nos ha enviado el SMS no se encuentra verificado y es de un contacto desconocido.
  • El enlace pertenece a un servicio de acortamiento de url y nos está ocultando el dominio del enlace real.
Antes de pinchar en el enlace, vamos a copiarlo en el porta-papeles. accederemos a VirusTotal y pegaremos la dirección web sospechosa en el cajón de búsqueda

VirusTotal analizará nuestra url sospechosa sin poner en  peligro nuestros equipos y nos informará si es peligrosa:

Captura de pantalla análisis completo url sospechosa

Detalle de captura de pantalla análisis completo url sospechosa


VirusTotal nos informa que la url enviada pertenece a una dirección reportada como criminal y que:
  •  Cuando CyRadar en VirusTotal marca algo como malicioso, significa que según sus criterios y algoritmos de detección, el archivo o sitio web analizado podría contener software malintencionado o comportamientos sospechosos.
  • Cuando VirusTotal muestra un resultado de “sospechoso” para Trustwave, significa que el motor de análisis de Trustwave ha identificado algo en el archivo o URL analizado que podría ser potencialmente peligroso o inusual.
Si solicitamos detalles de la url analizada, comprobaremos que nos redirigirá a un dominio desconocido que no pertenece a ninguna agencia de paquetería o venta onl-line:

VirusToal nos muestra la url final a la que nos lleva el enlace recibido


En este caso el SMS recibido es peligroso, deberíamos bloquear al contacto y borrar el mensaje.

También puedes informar al Instituto Nacional de Ciberseguridad de España INCIBE para que analicen el enlace que te han enviado e informen sobre el fraude.

Captura pantalla conversación 017 reporte url sospechosa

Entradas relacionadas:

Sherlock Linux distribución orientada a OSINT

 

Sherlock Linux ejecutándose en un portátil
Imagen obtenida de Sherlock Linux


Sherlock Linux es una distribución open source basada en Debian 64 bits, utiliza el entorno de escritorio XFCE y en su versiones para entornos virtuales se encuentran en español. Contiene todas las herramientas necesarias para la obtención de información en fuentes abiertas en una investigación OSINT.

OSINT es un anagrama en inglés open-source intelligence, en su traducción literal seria La inteligencia de fuentes abiertas. Básicamente seria recabar información de fuentes abiertas al público de por ejemplo una persona: nombre completo, redes sociales en las que publica, correo electrónico, dirección física etc... También se pueden realizar para estudios de mercado y/o investigación, como por ejemplo ciudades son más seguras en cuanto ataques terroristas perpetrados. Ello engloba una serie de técnicas o herramientas para rastrear de forma inteligente las distintas redes de información en Internet para recabar información clasificándola de forma ordenada.

Las técnicas o herramientas utilizadas en OSINT, entre otras, son muy importantes para la Ciberseguridad, puesto que para los ciberdelicuentes es la primera fase a la hora de realizar un ciberataques, a personas empresas e instituciones. Conocer que datos pululan por Internet sobre nosotros nos permite saber como ocultarnos, o como ofuscar ciertos datos comprometidos, como puede ser nuestra dirección o numero de teléfono personal.


La Cyber Kill Chain está formada por una secuencia de siete pasos, cada uno de los cuales supone una etapa del ataque:
Imagen obtenida de Incibe articulo Las 7 fases de un ciberataque. ¿Las conoces?


En la documentación se detallan las herramientas pre-instaladas y los marcadores  y extensiones agregados a los navegadores que se incluyen. Esta muy detallada y es una muy buena base de datos, que incluye enlaces web a las herramientas instaladas en la distribución.

Sherlock Linux se puede obtener por dos vías diferentes, descargando una máquina virtual (ova), se encuentran disponibles para virtualizadores VMware y Virtualbox, o una imagen (iso) con todo el software pre instalado o descargando el proyecto de GitHub de la distribución y ejecutar el script de instalación.


Características de versión virtualizada de Sherlock Linux

Captura de pantalla de Sherlock Linux virtualizado con VirtualBox

Escanear todos los sistemas dentro de nuestro rango con Nmap

Nmap es un programa de código abierto y multiplataforma que sirve para efectuar rastreo de puertos.

En este caso vamos a realizar un escaneo de todos los dispositivos conectados a nuestro rango de IP. Para que nos muestre en un archivo que puertos se encuentran abiertos, y por lo tanto una puerta de entrada a posibles ciberataques. 

Captura de pantalla ejecución nmap a través de Virtualbox corriendo el sistema operativo Kali

Te dejo un ejemplo, para utilizar en terminal Linux, para realizar un escaneo a todos los equipos que se encuentren en nuestra LAN.

Si solo quieres realizar un escaneo a un equipo, cambiaremos <comienzo de nuestro rango ip>/24 por el numero de IP del equipo que queremos analizar, por ejemplo 192.168.5.12

sudo nmap -p- --open -T5 -v -n -A -sV -Pn -sS <comienzo de nuestro rango ip>/24 -oX Descargas/escaneo.xml

  • sudo: permite ejecutar comandos con privilegios de «super usuario».
  • nmap: es la herramienta que vas a utilizar para realizar el escaneo de puertos.
  • -p- : hace referencia a los puertos.
  • --open: sirve para seleccionar únicamente los puertos que están abiertos.
  • -T5: hace referencia al temporizador del escaneo. Puede ir de 0 a 5, donde 0 es menos agresivo y lento y 5 es más agresivo y rápido.
  • -v: aplica verbose, para ver los resultados según va escaneando.
  • -n: no aplica resolución DNS, lo que genera más ruido y ralentiza el escaneo.
  • -A: detecta el sistema operativo y los servicios. 
  • -sV: descubre las versiones de los servicios.
  • -Pn: evita el descubrimiento de host, que puede ralentizar el análisis.
  • -sS: realiza la comunicación a través del protocolo TCP más rápida.
  • <comienzo de nuestro rango ip>/24 Buscaremos en toda nuestra red. Si nuestro equipo se encuentra en la dirección IP 192.168.5.12 y la mascara de subred fuera 255.255.255.0, nuestro rango IP seria 192.168.5.0/24
  • -oX se utiliza para exportar a un archivo y el resto del comando hace referencia a la ubicación en la que se va a descargar un archivo denominado «escaneo.xml», donde se guardarán todos los puertos abiertos que ha encontrado el escaneo.
🔔 Es posible que le lleve tiempo rastrear todos los servicios y todos los equipos de la red. Con esta configuración obtendremos mucha información de todos los dispositivos que se encuentran en nuestra LAN

Para facilitar su visualización utilizaremos el comando xsltproc

xsltproc Descargas/escaneo.xml -o escaneo.html


Resultado en html del un escaneo de puertos realizado con nmap
 

The Harvester herramienta OSINT

TheHarveste

TheHarvester es una herramienta, OSINT (Open Source Intelligence), de código abierto diseñada para la recopilación de información utilizando fuentes abiertas y determinar el panorama de amenazas externas hacia una empresa expuesta a Internet. Permite la recopilación de cuentas de correo electrónico, subdominios, direcciones IP, URL, todo esto usando múltiples fuentes, para estudiar cual es la mejor puerta de entrada para poder extorsionar a una empresa y obtener dinero con un ciberataque. La herramienta fue desarrollada por Christian Martorella bajo licencia GNU GPLv2.

Como todas las herramientas de obtención de datos, son navajas de doble filo. Pueden ser utilizadas para la obtención de datos para la penetración en una empresa y realizar un cifrado de discos duros y así obtener una recompensa por el secuestro sus datos. O bien ver cual es el grado de exposición que tenemos y realizar labores preventivas para evitar ciberataques.

The Harvester puede ser utilizado desde la distribución Kali Linux. Esta herramienta viene instalado de forma predeterminada y es utilizada desde su terminal con el comando

 theHarvester

 

theharvester -d kali.org -l 500 -b google


Para obtener ayuda sobre su opciones utilizaremos:
theHarvester -h

  • -d: dominio objetivo sobre el que se quiere realizar el análisis.
  • -l: límite para evitar que la búsqueda colapse. Se puede limitar a un número determinado de resultados, por ejemplo, al límite -l 100. El limite por defecto es 500 resultados
  • -f: archivo. Si se quiere exportar los resultados a un archivo, los formatos más habituales son .xml o .json, por ejemplo, -f resultados.xml. Es muy interesante salvaguardar los datos obtenidos, para realizar un estudio sobre cual son nuestras brechas para poner énfasis en su salvaguarda.
  • -b: fuente. Se pueden especificar uno o varios motores de búsqueda con los que se realizará el análisis. Por ejemplo, -b bing.
Ejemplo:

theHarvester -d enfaseterminal.com -l 100 -b bing

 

theHarvester -d enfaseterminal.com -l 100 -b bing

 Fuentes en las que The Harvester obtiene datos sobre el dominio que queremos proteger.


  • bevigil: CloudSEK BeVigil escanea la aplicación móvil en busca de activos OSINT y los pone a disposición a través de una API - https://bevigil.com/osint-api
  • bingapi: motor de búsqueda de Microsoft, a través de la API (requiere una clave de API, consulte a continuación).
  • censys: El motor de búsqueda Censys, utilizará búsquedas de certificados para enumerar subdominios y recopilar correos electrónicos (requiere una clave API, ver más abajo). - censys.io
  • fullhunt: La plataforma de seguridad de superficie de ataque de próxima generación - https://fullhunt.io
  • github-code: motor de búsqueda de código de GitHub (requiere un token de acceso personal de GitHub, ver más abajo). - www.github.com
  • hackertarget: escáneres de vulnerabilidades en línea e inteligencia de red para ayudar a las organizaciones - https://hackertarget.com
  • hunter: Motor de búsqueda Hunter (Requiere una clave API, ver más abajo.) - www.hunter.io
  • hunterhow: Motores de búsqueda en Internet para investigadores de seguridad - https://hunter.how
  • intelx: Motor de búsqueda Intelx (requiere una clave API, consulte a continuación). - www.intelx.io
  • Pentest-Tools.com: Kit de herramientas basado en la nube para pruebas de seguridad ofensivas, centrado en aplicaciones web y pruebas de penetración de red (requiere una clave API, ver más abajo). - https://pentest-tools.com/
  • projecdiscovery: Recopilamos y mantenemos activamente datos de activos en Internet, para mejorar la investigación y analizar los cambios en torno a DNS para obtener mejores conocimientos (requiere una clave de API, consulte a continuación). - https://chaos.projectdiscovery.io
  • rapiddns: herramienta de consulta DNS que facilita la consulta de subdominios o sitios de una misma IP. https://rapiddns.io
  • rocketreach: acceda a correos electrónicos personales / profesionales verificados en tiempo real, números de teléfono y enlaces de redes sociales. - https://rocketreach.co
  • securityTrails: Motor de búsqueda Security Trails, el repositorio de datos. DNS históricos más grande del mundo (requiere una clave API, ver más abajo). - www.securitytrails.com
  • shodan: El motor de búsqueda Shodan, buscará puertos y banners de hosts descubiertos (requiere una clave API, ver más abajo). - https://shodan.io
  • subdomainfinderc99: Un buscador de subdominios es una herramienta utilizada para encontrar los subdominios de un dominio determinado - https://subdomainfinder.c99.nl
  • urlscan: un espacio aislado para la web que es un escáner de URL y sitio web - https://urlscan.io
  • vhost: búsqueda de hosts virtuales de Bing
  • Yahoo: motor de búsqueda Yahoo

Desde este Blog recomendamos el uso de este tipo de herramientas únicamente para encontrar vulnerabilidades para reforzar y aplicar las acciones de seguridad para evitar ciberataques. 

Un SMS te puede arruinar el fin de semana

Un SMS recibido en el teléfono móvil el sábado te puede arruinar el fin de semana.

Suele ser el sábado cuando los estafadores te suelen enviar un SMS, alertándote que:

+34 639 156 307 >

Banco BBVA-

Estimado cliente: A partir del 09/04/2023, no podra utilizar su cuenta. Hasta que actualice e nuevo sistema de seguridad :

<enlace de acceso para actualizar tus credenciales> 


Captura de pantalla de SMS fraudulento

Este tipo de timos se llaman: Smishing es un tipo de ataque de phishing que se dirige a los usuarios de teléfonos móviles a través de mensajes SMS imitado a entidades bancarias. Y suele ser recibidos los días anteriores a fines de semana, puentes o festivos. Para que el usuario crea que no va a disponer de efectivo hasta el siguiente día laborable.
El objetivo de este tipo de fraude, es la de obtener nuestros datos y contraseñas para acceder a nuestra entidad bancaria en nuestro nombre y vaciarnos la cuentas.

  • Primero de todo hay que fijarse en quien envía en mensaje. Si el numero no se encuentra en nuestra lista de contactos, y aun asi hay que actuar con precaución por que el teléfono ha podido ser hacheado, o no apareceré como nombre de la entidad que lo envía. Desconfía


Captura de pantalla numero destacado con lupa el numero de teléfono desde el que se ha enviado

  • Prestar atención al texto del mensaje, suele haber faltas de ortografía, no estar bien redactado, la entidad bancaria no corresponde con la que utilizamos habitualmente. 

Nuestra entidad bancaria comunicara con nosotros a través de la aplicación que tengamos instalada en el teléfono móvil. Y nunca proporcionaremos datos a aquellos que quieran contacten con nosotros, confirmaremos con nuestra entidad la veracidad de las comunicaciones que recibamos mediante los cauces que tengamos establecidos: teléfono de la sucursal que usamos, pagina web oficial, o directamente con nuestro cajero.


Captura de pantalla destacando el enlace sospechoso

 

  • Analicemos el enlace y no hagamos click sobre el. En este caso el enlace parece de un servidor seguro, pero no corresponde con la web de BBVA  https://www.bbva.com/. Y si accedemos al dominio, este pertenece a una pagina de acortamiento de enlaces.

Captura de pantalla del dominio del enlace fraudulento

No accedas desde enlaces que le proporcionen por mensajería o SMS. Utiliza tus canales de contacto con la entidad.

Pasamos el enlace a la pagina VirusTotal que nos informara si enlace nos puede llevar a una pagina con virus o rastreadores maliciosos, y si a sido notificada como pagina utilizada para phishing

Captura de pantalla del análisis de VirusTotal informando sobre el enlace que le hemos enviado. Pertenece al grupo de phishing

Captura de pantalla de VirusTotal informando sobre rastreadores sospechosos


Pero si accedemos al enlace web que nos han enviado llegaremos a una página con una estética muy parecida a nuestra entidad, en este caso BBVA. Y en la que si intentamos acceder con nuestras credenciales, están pasaran a manos de los ladrones, que nos vaciaran la cuenta y entonces si, nos arruinaran el fin de semana he incluso el mes.

 

Captura de pantalla de pagina simulando acceso a BBVA



Captura de pantalla de pagina simulando acceso a BBVA



¿Que debemos hacer si recibimos un SMS sospechoso phishing?

  • Antes de cualquier acción contactar con nuestra entidad bancaria mediante los medios que utilicemos habitualmente, nunca mediante el SMS  o mensaje nos hayan enviado.
  • No pulsar sobre el enlace que nos han enviado a través del mensaje
  • Realizar una captura de pantalla de SMS
  • Bloquear al destinatario de mensaje.
  • Borrar el mensaje
  • Informar a nuestros contactos, enviadles la captura de pantalla y advirtiéndoles que actuen con precaución.
  • Informar a Guardia Civil y Policía sobre la estafa para que tomen medidas o informen en sus redes sociales. 
  • También puedes informar al Instituto Nacional de Ciberseguridad de España INCIBE para que analicen el enlace que te han enviado e informen sobre el fraude.

Gracias.
017 – Tu ayuda en ciberseguridad, 
amentablemente, existen multitud de fraudes que tienen como objetivo obtener datos personales, bancarios o beneficios económicos de las víctimas como has podido comprobar. En nuestra página web informamos sobre diversas campañas que guardan similitud con la que nos has reportado: https://www.osi.es/es/actualidad/avisos/2022/03/aumentan-los-envios-de-sms-fraudulentos-que-suplantan-entidades-bancarias

017 – Tu ayuda en ciberseguridad, 
Por nuestra parte, al habernos facilitado la URL, el fraude va a ser notificado a nuestro equipo de gestión de incidentes para que un técnico experto pueda analizarlo y realice las gestiones oportunas para tratar que afecte a las menos personas posibles. Continúa reportándonos la información cada vez que detectes un posible riesgo para continuar trabajando en minimizar los peligros online enviando un correo a incidencias@incibe-cert.es. Tienes más información sobre vías de reporte en el siguiente enlace: https://www.osi.es/es/reporte-de-fraud

017 – Tu ayuda en ciberseguridad, 
Como en el resto de mensajes, Whatsapp o correos potencialmente fraudulentos que recibas, recomendamos no acceder a sus enlaces o archivos adjuntos ya que representan un riesgo para tu información, ni facilitar datos personales ni bancarios de ningún tipo, como entendemos que vienes realizando correctamente. Lo recomendable en estos casos es bloquear el número de teléfono / remitente como spam el remitente del correo y eliminarlo.