Latest Entries »

cajero-automatico

Los bancos se enfrentan a una nueva amenaza en ciberseguridad que permite a los atacantes extraer grandes cantidades de efectivo de varios cajeros a la vez.

Un grupo de cibercriminales ha atacado los cajeros de más de una docena de países en Europa este año para que expulsen efectivo de forma fraudulenta y remota a través de un ataque informático centralizado, lo que supone un serio quebradero de cabeza para los bancos.

No se realiza ninguna modificación en los cajeros, pero los billetes son expulsados como por arte de magia. Entre los países afectados se encuentran Armenia, Reino Unido, Bulgaria, Polonia, Países bajos, Rusia o España, según el informe de Group IB, una compañía multinacional con sede en Moscú especializada en prevenir e investigar el fraude y crimen en la Red. La compañía no ha hecho públicos los nombres de los bancos afectados.

“Los delincuentes siempre han buscado la manera de aumentar su botín y disminuir los riesgos que conlleva obtenerlo. Por eso han cambiado su modus operandi: del ataque físico al ataque lógico”, dice la firma de seguridad.

El atraco de cajeros es una práctica relativamente común y sencilla de investigar, gracias a que se requiere acceso físico a ellos. Los golpes cometidos recientemente en bancos de Europa y Asia han sido comandados de forma remota y centralizada, afectando a numerosos cajeros a la vez, lo que ha permitido sustraer grandes cantidades de dinero antes de que los bancos puedan actuar.

Los ciberatacantes entran en la red del banco que otorga el control de los cajeros para hacer que dispensen el efectivo. Gracias a dicho control, pueden elegir la hora exacta en la que se expulsan los billetes lo que les permite realizar grandes operaciones organizadas con las que sustraer, en algunos casos, millones de dólares.

Dos fabricantes de cajeros, Diebold Nixdorf y NCR Corp, ya están trabajando en el caso, según sus declaraciones a Reuters.

“Han llevado sus operaciones al siguiente nivel, ahora pueden atacar un gran número de máquinas a la vez”, dice Nicholas Biellett, el director de software y seguridad de cajeros en Diebold Nixdorf. “Saben que se les detectará rápido, así que cogen todo el efectivo que pueden de todos los cajeros posibles antes de que se detengan por actividad inusual”.

Group IB advierte que las herramientas empleadas no requieren una gran inversión ya que sus códigos suelen estar accesibles públicamente en Internet.

> ¿Cómo obtienen el control?

Para acceder a la intranet de los bancos, los cibercriminales envían emails haciéndose pasar por otros grupos bancarios o cajas. En ellos se adjuntan archivos comprometidos o ejecutables que para el receptor parecen documentación.

“Los atacantes tardan entre 10 minutos y una semana en tomar el control total de una intranet y sus cajeros”, dice Group IB en su reporte. Basta una simple llamada desde el servidor remoto para hacer que un cajero emita billetes hasta quedarse vacío. En cuanto termina la operación, los atacantes borran todos los registros para dificultar la investigación de los expertos de seguridad de los cajeros y bancos.

Group IB cree que el software empleado para hacer que los cajeros expulsen dinero bajo demanda es único y solo está siendo empleado por una banda criminal.

El golpe es difícil de investigar, ya que el dinero se recoge en persona. Habitualmente, los fraudes financieros se resuelven siguiendo el dinero que se mueve de una cuenta a otra, algo imposible de hacer con esta novedosa práctica.

“Se espera que este tipo de ataques sean una de las amenazas claves contra los bancos: permiten a los cibercriminales cometer fraudes remotamente desde cualquier punto y atacar la red de cajeros sin ser detectados por el ‘radar’ de los servicios de seguridad”, advierte Dmitry Volkov, jefe del departamento de investigación en Group IB.

Fuente | El País

 

dropbox-account-hack

Ahora que más que nunca la seguridad en internet está puesta en entredicho por parte de los expertos, el gigante Dropbox acaba de reconocer el hackeo masivo de sus servicios en el año 2012, tras el robo de las credenciales a un empleado, aunque no ha sido hasta esta semana cuando ha urgido a los usuarios afectados a cambiar sus contraseñas. En la entrada del blog corporativo, la firma resta peso al incidente ocurrido en el pasado: “No creemos que ninguna cuenta haya sido accedida de forma incorrecta”, explican pero según parece, el impacto del robo de identidades es mucho más serio y afectaría a más de 60 millones de cuentas.

Lo peor del asunto es que, en la fecha en la que se produjo el robo de identidad, Dropbox reconoció que únicamente se habían filtrado las direcciones de correo de una parte de los usuarios, pero hoy hemos sabido que los hackers también se hicieron con sus contraseñas, y de forma masiva además. Desde Dropbox se insiste en que no hay indicios de que haya accesos no autorizados a sus clientes, pero sin embargo, es muy recomendable que los usuarios del servicio cambien sus contraseñas y aprovechen por emplear alguna más segura y emplear la verificación en dos pasos disponible en la configuración del servicio.

 > Cómo saber si nuestra cuenta está afectada

La firma ha ido incrementando las medidas de seguridad de su servicio a lo largo de los años, pero este ‘agujero’ que arrastra desde 2012 ha dejado al descubierto millones de cuentas. ¿Está la tuya afectada? En principio y según informan los portavoces de Dropbox, únicamente los que hayan recibido un correo electrónico de la compañía instando a cambiar la contraseña serían los afectados. Sin embargo, los que no las tengan todas consigo pueden comprobar on-line si su cuenta ha sido víctima de un robo, y no sólo en este servicio, mediante una web creada al efecto por un experto en seguridad.

¿Qué hacer si nuestra cuenta ha sido víctima del robo? Realmente, lo único y más urgente que puede hacer el usuario es cambiar su contraseña en el menú de configuración de Dropbox y asegurarse que la verificación en dos pasos está activada. Como consejo adicional, se recomienda al usuario que no emplee la misma contraseña en diferentes servicios para, al menos, limitar los daños en el caso de robo de identidades.

Fuente | El País

vehicle_hacking1

El año 2016 ya se conoce como “el año del ransomware“, una amenaza que se ha ganado su fama a pulso. Pero, ¿qué puede ocurrir cuando metemos en la batidora este tipo de amenaza junto con el concepto de Internet de las cosas (IoT)? Aquí tenemos un ejemplo.

> ¿Qué es el jackware?

Podemos definir el jackware como un tipo de software malicioso que intenta tomar el control de un dispositivo cuyo objetivo principal no es el procesamiento de datos ni la comunicación digital, sino un elemento conectado a internet para añadir y/o aumentar sus funcionalidades. Un automóvil, por ejemplo, podría ser uno de estos elementos.

Muchos de los automóviles que existen hoy en día llevan a cabo una gran cantidad de tareas de procesamiento de datos y comunicación; sin embargo, su objetivo principal es llevarte desde el punto A hasta el punto B. Por lo tanto, podemos pensar en el jackware como una forma especializada de ransomware. En el ransomware normal, como Locky y Cryptolocker, el código malicioso cifra los documentos del equipo y exige el pago de un rescate para desbloquearlos. De forma similar, el objetivo del jackware es bloquear un automóvil u otro dispositivo hasta que pagues el rescate.

Pese a que jackware, aparentemente, todavía se encuentra en su etapa teórica, todo hace pensar que será una de esas amenazas que deberemos afrontar a futuro si nos basamos en experiencias pasadas. Ya hemos visto que una empresa automotriz puede vender más de un millón de vehículos con vulnerabilidades que podrían haber sido objeto de ataques de jackware (Jeep, Fiat, Chrysler, etc.)

Sin embargo, la aparente falta de planificación para corregir vulnerabilidades en el diseño del vehículo es igual de grave. En otras palabras, una cosa es vender un producto digital en el que más tarde se descubren errores (de hecho, esto es prácticamente inevitable), pero otra muy distinta y mucho más peligrosa es vender productos digitales sin un medio rápido y seguro de corregir estas posibles vulnerabilidades.

Y aunque la mayoría de las investigaciones y los debates sobre el hacking de automóviles se centran en los problemas técnicos de los vehículos, es importante darse cuenta de que una gran cantidad de dispositivos digitales y de tecnologías del IoT requieren un sistema de soporte que va mucho más allá del propio dispositivo.

Encontramos este problema el año pasado con VTech, un dispositivo de juegos perteneciente a la Internet de las cosas para niños. La seguridad insuficiente del sitio web de la empresa expuso gravemente los datos personales de los niños, recordándoles a todos la gran cantidad de superficies de ataque que crea el IoT. También nos encontramos con este problema de infraestructura a principios de año, cuando se comprometieron algunas cuentas de usuarios de Fitbit (para ser claros, los dispositivos de Fitbit en sí no fueron atacados; Fitbit parece tomarse en serio la privacidad).

Entonces, ¿qué tiene que ver todo esto con los automóviles? Pensemos en el caso reciente de las vulnerabilidades encontradas en la aplicación web de servicios online para ConnectedDrive de BMW. Hay una gran cantidad de aspectos interesantes de IoT relacionados con ConnectedDrive. Por ejemplo, puedes utilizar el servicio para regular la calefacción, las luces y el sistema de alarma de tu casa “cómodamente, desde el interior de tu vehículo“.

La posibilidad de que las funcionalidades y la configuración de un sistema propio de un vehículo se puedan administrar en forma remota a través de un portal que podría ser comprometido es, como mínimo, inquietante.  Y las quejas por el diseño poco seguro de los automóviles inteligentes nos siguen llegando, como desde Mitsubishi con Wi-Fi o la posibilidad de robar automóviles tras acceder a su radio en las marcas BMW, Audi y Toyota.

> Cómo detener el jackware

Para detener el desarrollo y despliegue del jackware deben ocurrir varias cosas en dos ámbitos diferentes de la actividad humana. El primero es el técnico; recordemos que implementar la seguridad en una plataforma automotriz constituye un reto considerable.

Pensemos tan solo en la capacidad de procesamiento y ancho de banda que requieren las técnicas tradicionales de seguridad, como el filtrado, el cifrado y la autenticación. Esto conlleva una sobrecarga de los sistemas, algunos de los cuales necesitan operar con una latencia muy baja. Las técnicas de seguridad como las barreras de aire y la redundancia tienden a incrementar considerablemente el costo de los vehículos. Y sabemos que el control de costes ha sido siempre un requisito fundamental para los fabricantes de automóviles, que cuidan hasta el último céntimo.

El segundo ámbito es en el de la política y el establecimiento de medidas. Las perspectivas no son nada buenas, ya que hasta ahora el mundo ha fracasado estrepitosamente cuando se trata de disuadir los delitos cibernéticos. Estamos presenciando un fracaso colectivo internacional para prevenir el establecimiento de una infraestructura criminal próspera en el ciberespacio, que ahora ya está amenazando a todos los tipos de innovaciones en tecnología digital, desde la telemedicina hasta los drones, los grandes grupos de datos y los vehículos que se manejan en forma automática.

El ransomware se está extendiendo de forma descontrolada. Cientos de miles de personas ya han desembolsado millones de euros a cibercriminales para recuperar el uso de sus propios archivos y/o dispositivos. Y todas las señales indican que el ransomware seguirá creciendo en escala y alcance. Las primeras variantes de ransomware no eran capaces de cifrar las imágenes del sistema y las unidades de backup conectadas, por lo que algunas víctimas lograban recuperarse con bastante facilidad. Sin embargo, ahora también existe ransomware que cifra o elimina las imágenes del sistema, y que busca incansablemente las unidades de backup conectadas para cifrarlas también.

En un primer momento, los delincuentes que se dedicaban al ransomware se aprovechaban de las víctimas que hacían clic en enlaces de correos electrónicos, abrían archivos adjuntos o visitaban sitios infectados. Pero ahora también utilizan técnicas como la inyección SQL para entrar en la red de una organización específica y luego propagan estratégicamente el ransomware hasta llegar a los servidores (muchos de los cuales ni siquiera están protegidos con un programa antimalware).

Aunque cada día siguen produciéndose nuevos ataques, se han realizado muy pocas actuaciones legales en contra de los atacantes. Teniendo en cuenta los desafíos técnicos a los que habrá que enfrentarse para proteger los vehículos cada vez más conectados y la falta de progreso aparente en la disuasión de la delincuencia cibernética, las perspectivas del jackware no son nada buenas (a menos que seas un delincuente y estés planificando tus actividades a largo plazo).

> Conclusiones

Se podría argumentar que la razón por la que el jackware todavía no es algo común es simplemente porque aún no es el momento correcto. Después de todo, no hay tanta necesidad de pasar a otra cosa cuando el ransomware de cifrado tradicional sigue cumpliendo su función.

En este momento, el jackware automotriz es solo un “proyecto futuro” para los delincuentes informáticos. Técnicamente aún falta recorrer un buen trecho, por lo que los automóviles del mañana quizás estén mejor protegidos; sobre todo si FCA aprendió algo del hacking de su Jeep y VW, del escándalo con las pruebas de emisiones diesel; y si el programa de recompensas de errores de GM llega a funcionar; y si la infraestructura de soporte para vehículos conectados se crea teniendo en cuenta la seguridad.

Fuente | We live Security

A %d blogueros les gusta esto: