Category Archives: Seguridad

Análisis de phising del banco de guayaquil

Hoy leí en EcuadorInmediato sobre un nuevo phising, esta vez a clientes del Banco de Guayaquil , este artículo de Ecuador Inmediato fue publicado por la mañana, yo recibí el mail con el phishing en horas de la tarde de hoy.

Soy de los que piensa que en el capitalismo no hay nada gratis (ni en el socialismo) y que no hay tal cosa como un almuerzo gratis. Así que esas “tentaciones” de haberme ganado de la nada dinero no me hacen sentir más feliz. Al contrario me alertan pues todo lo gratis siempre viene con cola detrás.

Yo leo los mails en formato de texto, puesto que el mail en html es muy cargado de colores y cosas que no me hacen falta, además el mail leído en solo texto ayuda mucho puesto que los enlaces falseados (como este es el caso) son mucho más visibles que cuando usas html.

El mail llegó de la IP 174.120.206.137 que aparenta ser un servidor linux muy poco cuidado (entrar por http a la IP arroja información que da a entender lo poco cuidado que está el servidor). La IP se obtiene viendo en el encabezado del mensaje que llega. El mail dice que me he ganado 10mil dolares y no insinúa que entre a la URL, pero yo por supuesto entré para enterarme!

Miren el mail en html, dale click a la imagen y nota que si dejas el mouse sobre la URL Que se indica en el mail, cómo abajo aparece un nombre de un sitio que no es el banco de guayaquil.

Y aquí el mismo mail en texto aqui no hay que dejar el mouse arriba de nada, sale directamente la URL falsa que no es del banco:

Lo normal habría sido eliminar el mail y olvidarme, y es lo que sugiero que todos hagan si no conocen. Sin embargo en mi caso, me sentí con tiempo hoy así que hice click en el enlace y me dediqué a ponerle una cédula inexistente y a generar unos numeritos sacados del parkinson de mis dedos (aleatorios es decir), aqui vemos la falsa página inicial, fíjate como no está en verde la barra de direcciones (el color verde indica que es una página segura) y además que la url dice twistedwingoutdoors.com en vez de ser una url del banco de guayaquil. Claro está, para hacer la historia interesante como siempre ponen un directorio llamado bankguay.com para asemejarse a la página del banco, la página en sí es copia de la del banco:

Le puse una cédula inexistente (comenzaba con 9, no creo que haya verdad?) y una clave sacada de una dirección que veía enfrente mío en ese momento.. y se presentó la siguiente imagen, nota una cosa! Esto ya había sido usado antes para otro banco, mira el título de la barra de arriba!! Y bueno, sigue notando que sigue diciendo el sitio twistedwingoutdoors.com

Me pidió los numeros de una tarjeta que usa el banco, así que yo obedientemente le puse en todos los cuadritos los dos numeritos que permite! Qué puede hacer el banco aqui? Mucho, en esa tarjeta que da a los usuarios debe poner bien grande y visible: no escribir todos los números en un solo lugar, mire que en la barra de url esté en verde, solo escriba dos numeros, cosas así.

Por supuesto para los aventajados, estos numeros que puse son falsos. Pero así el ladrón se entretendrá muchísimo porque ahroa tendrá que diferenciar los numeros que yo puse y darse cuenta que son falsos.

Al acabar de poner mis números me felicitan! Qué bien!!!!!! Y me dice que espere pacientemente hasta el 5 de Febrero. Así mientras tanto van validando los ladrones mi clave eh? El banco debería estar muy alerta en las transacciones por estos días.

Claro, nadie mira para la barrita azul que sigue diciendo otro nombre.

Y bueno, la cereza del postre, te redirigen al sitio del banco mismo! Sí! Aquí es donde deberían poner el aviso los del banco porque se supone que ya saben que les están usando a sus usuarios:

Ahora, qué podría hacer el banco en esta instancia? Todas las medidas son pocas para evitar problemas, pero es mejor tenerlas antes que no:

1- El banco usa una página dinámica, que es la que al final usa el ladrón para enviar a los incautos que ponen sus datos. Es factible saber de dónde está siendo redirigida una IP y el banco podría en su página dinámica poner una condición que averigue: si está siendo redirigida esta IP desde tal página ( o desde tales o desde muchas! ) entonces emitir una gran alerta en roja: “contáctenos que le van a robar” o algo así. Es la medida más inmediata y no veo que el banco la haya implementado.

2- Enviar una comunicación por mail al cliente cada vez que se realice cualquier entrada o intente una transacción en su cuenta. De esta forma muchos se darían cuenta oh! alguien entró ahora. Mostrar un log al iniciar con las ultimas entradas (IP, hora, dia) para poder verificar si eres tu o no. Alertar inmediatamente cuando se intente entrada desde una IP que no es del país (esto se puede averiguar) claro que hay personas que hacen transacciones mientras están fuera, por eso digo alertar, llamar, contactar, enviar un correo, poner en espera cualquier transacción, etc).

3- Seguir publicando sus registros SPF puesto que esto colaboró mucho a que muchas personas descubrieran la estafa. El ladrón tuvo que usar una cuenta de sonico.com que además usa SPF y por tanto el mail fue enormemente demorado por muchos servidores lo que insisto, ayudó mucho a que diera tiempo a las gentes a informarse.

4- No creo que todo el mundo sepa usar y tenga que tener esa tarjeta para entrar y realizar transacciones, sólo al que le pide, y delen un entrenamiento al menos!

5- Creo que hay otros métodos (por ejemplo un llavero que mantiene cientos de numeros que no se repiten y el banco va pidiendo y tu aprietas en el llavero y ves el numero por unica vez, etc) así el ladrón no tendrá una matriz fija, sino infinita. Esto es: otros métodos de autenticación

6- El cliente debería poder poner restricciones inalterables: quiero solamente pagar mi tarjeta, o quiero transferir a estas y estas cuentas… y que por defecto todo venga negado a no ser que lo pida el cliente por escrito y demore varios días en activarse.. es duro pero es una variante. Lo que no me gusta es que me limiten el monto de transferencias sin consultarme y que me impidan hacer transferencias en ciertos horarios.

7- El banco debe tener una forma de comunicación con especialistas externos, a dónde escribirles? por ejemplo yo podría entrar una cédula inventada y una clave inventada al scammer y hacerle llegar al banco la información que puse, de forma tal que el banco pueda verificar cuando esa cédula falsa sea entrada y determinar la IP del que intenta entrar, e incluso hasta dejarle hacer una transacción falsa, para determinar el destino de esa transacción. Esto se llama poner una trampa y funciona, con calma pero funciona.

8- El banco debe contactar urgentemente al dueño de twistedwingoutdoors.com y emitirles un aviso con la mejor apariencia legal posible de que su sitio está siendo usado por un atacante para falsificar al banco.  Así como contactar al dueño de la IP que es un proveedor en Texas USA. Debe además solicitarse cualquier información sobre cómo y desde dónde se subió esa información al servidor, muchas veces se puede lograr con colaboración del dueño del sitio, de forma tal que se pueda ver la forma de perseguie al ladrón. Aquí la info del dueño del sitio:

whois twistedwingoutdoors.com
[Querying whois.verisign-grs.com]
[Redirected to whois.enom.com]
[Querying whois.enom.com]
[whois.enom.com]
=-=-=-=
Visit AboutUs.org for more information about twistedwingoutdoors.com
<a href=”http://www.aboutus.org/twistedwingoutdoors.com”>AboutUs: twistedwingoutdoors.com</a>
Registration Service Provided By: Arvixe, LLC
Visit: http://www.arvixe.com
Domain name: twistedwingoutdoors.com
Registrant Contact:
4CastClaims
Craig Barker ()
Fax:
P.O. Box 1262
Brady, tx 76401
US
Administrative Contact:
4CastClaims
Craig Barker ([email protected])
+1.3252184090
Fax:
P.O. Box 1262
Brady, tx 76401
US
Technical Contact:
4CastClaims
Craig Barker ([email protected])
+1.3252184090
Fax:
P.O. Box 1262
Brady, tx 76401
US
Status: Locked
Name Servers:
ns1.crane.arvixe.com
ns2.crane.arvixe.com
Creation date: 15 Oct 2010 03:46:00
Expiration date: 14 Oct 2011 22:46:00

Qué deben hacer los usuarios potenciales del banco?

Desde el mismo primer instante deben haberse dado cuenta de que era algo falso y no haber tomado acción. Por favor, no defiendo al banco pero no es el banco el culpable de que un usuario vaya y ponga sus datos en una página que el banco no promueve ni acepta. Aún cuando el banco en verdad debe tomar más medidas para proteger al usuario yo pienso que debe haber una licencia para usar internet al igual que una licencia para conducir carros. No creo que la gente debe andar por ahi por internet regalando sus datos. Repito: no hay nada gratis en estos países, todo cuesta, por el amor de Dios no sean egoístas, si llega un mail así, repórtenlo a las autoridades o ignórenlo.

El ladrón lo que hará será entrar luego de unos días al sitio falseado y recoger un archivito que contiene la lista de cedulas y claves que la gente ha ido guardando. Así que es una amenaza muy real. Y repito, el banco debe comunicarse insistentemente, incluso llamar, al dueño del sitio web y lograr que inmediatamente bajen el sitio, de forma tal que el ladrón se quede sin esa posible información.

Los scammers raramente son capturados pero se pueden imponer medidas a diversos niveles y de diversos tipos para desestimular la labor de ellos. Y a los que conozcan algo del tema, diviértanse poniendole numeritos al scammer.. ponle, eso le hará que su BD crezca con información falsa y se le dificulte el trabajo, recuerden que la labor es por todos lados. Si antes reciben información de 100 usuarios incautos que se dejan robar.. ahora pueden recibir de 1000 o 10000 pues pondrás numeros en falso. Esto le es muy molestoso al scammer, el determinar qué es y qué no es… además que los bancos podrían ( y deberían ) limitar la cantidad de intentos fallidos desde una misma IP, y por tanto el scammer tendría dificultades o el banco sería puesto en alerta de una posible intrusión.

El presidente de Estados Unidos puede cerrar comunicaciones por internet hasta por 120 días

Si aprueban el “kill switch” el presidente de Estados Unidos podría ordenar a uno o varios proveedores a que tomen medidas para evitar amenazas a la seguridad de Estados Unidos.

Esta acta que posiblemente aprueba pronto, contiene un lenguaje muy abierto que en resumen da la opción al presidente americano en funciones a ordenar un cierre temporal hasta por 120 días de las conexiones de internet de uno o varios proveedores.

Es una medida más drástica que la que actualmente pueden tomar de acuerdo al Acta de Comunicación.. y no sólo por drástica debemos tenerla en cuenta, sino porque a la final la historia siempre se repite.

Un poco de historia:

La mayoría de los estados siempre han tenido leyes o disposiciones que les permiten a sus gobiernos en caso de grave conmoción nacional o estado de guerra a limitar o cerrar sus comunicaciones. Se conoce como “silencio de radio” por ejemplo aquí en Ecuador se aplicó en el último conflicto con el Perú en los años noventa. Los radioaficionados son ordenados a vigilar ciertas zonas del espectro y reportar cualquier comunicación que hallen sospechosa. No se puede emitir excepto por radios comerciales o gubernamentales bajo estrictas medidas de segurida (incluso se puede llegar a silenciar totalmente estas radios).

Ahora piensa: qué pasaría si hicieran lo mismo en internet? Supón que a los cibernautas les impidan entrar a los servidores de China o de Estados Unidos.. te parece gracioso? pues podría ser posible.

Supón que no pudieras entrar temporalmente a google o a tu sitio preferido de noticias o de espectáculos. Pero más aún:

  1. ten en cuenta que Estados Unidos es el hub de las comunicaciones por internet. Para tu llegar desde X país a Y país, casi siempre, casi casi siempre tienes que pasar por Estados Unidos.
  2. Los DNS son manejados en muchos casos en el territorio americano, si se suspendiera este servicio para uno o varios países, estos países pasarían mucho trabajo comunicándose.
  3. Los nombres de dominio, muchas personas los adquieren en Estados Unidos…allá ellos!

En resumen, yo creo que hay que tomar medidas inmediatas para independizar sus contenidos de estas posibles acciones. Y lo gracioso es que notamos que pocos gobiernos son los que hacen esto.

La internet está cambiando, y va a cambiar…

¿Qué importa más: Estar en un servidor seguro o el precio del servicio?

Lamentablemente en el mundo de alojamiento web se está presentando una problemática, hay una super oferta de servicios de alojamiento, diseño web e incluso de soporte.

Hay quien te ofrece alojamiento web por unos escasos dólares anuales, para lograr esto lo que hacen es contratan servidores baraticos que no ofrecen todas las prestaciones que se necesitan en un servicio para darte seguridad. Por ejemplo contratan servidores con las siguientes características:

  1. Escaso procesador y/o RAM: no pueden entonces copar con la demanda de procesador o ram que cierta aplicación instalada por un cliente requiera
  2. No hay redundancia en discos: por lo que de fallar un disco se perderá toda la información
  3. Panel de control que no asegura los sitios: Por ejemplo el cpanel y otros paneles no enjaulan los sitios, por lo que un atacante que logre acceder a través de una falla en un sitio, podrá propagar su ataque a los demás sitios del servidor.
  4. No actualizan el sistema: como la mayoría de los paneles de control rompen el esquema de trabajo en rpm, los administradores entonces tienen mucho temor a que una actualización al sistema haga que se vaya al piso algún paquete que instaló ese panel de control, por lo que entran en una situación bastante típica en nuestro medio: Si actualizo rompo paquetes que dañan mi panel de control o servicio, pero si no actualizo me atacan al servidor.
  5. Monitoreo: algunas empresas de hosting ni siquiera monitorean sus servicios y no intervienen en caso de que haya ocurrido un problema en el servidor hasta pasadas horas o días, mientras tanto el usuario o los usuarios alojados en ese servicio no tienen el servicio prometido
  6. Respaldos: No es infrecuente que vengan con nosotros usuarios que se quejan de que en el anterior hosting les habían borrado toda la info producto de algún problema (disco, ataque, falta de pago) y que perdieron todo su sitio, mails y trabajo.
  7. Sobreoferta: Para poder tener ciertos márgenes de ganancia, sobrevenden el servicio, metiendo en un mismo servidor 2 ó 3 veces más sitios que los que realmente cabrían en él. Esto se nota a los pocos meses de servicio cuando el servidor comienza a tener frecuentes caídas, lentitud en las respuestas o simplemente falta de respuestas.
  8. Pagos a proveedores: increíble pero cierto, hay empresas de hosting que se ponen a pelear con sus proveedores por centavos y terminan con el servicio cortado por horas, días o semanas mientras discuten un tema monetario, afectando al resto de sus clientes.
  9. Falta de respuesta adecuada: algunos problemas en el servicio de mail son muy simples de resolver cuando se conoce del mundo de redes y Linux, sin embargo hay clientes que mantienen problemas durante largos periodos de tiempo pues su empresa de hosting no es capaz de darles una adecuada respuesta por desconocimiento.
  10. Temporadas: hay quien no toma en serio el servicio, está una temporada vendiendo el servicio y a los pocos meses o años se van, dejando a sus usuarios con tres palmos de narices sin servicio.

Afortunadamente en NuestroServer.com ya tenemos más de 7 años de servicio y hemos aprendido de nuestros errores y hemos evitado cometer ciertos errores de los arriba mencionados.

Realmente pensamos que más que el precio, que puede ser barato o caro, ya es hora de que los usuarios comiencen a darse cuenta que el precio es una cuestión no de primer orden a la hora de contratar un servicio, sino que la seguridad, estabilidad y tranquilidad de que alguien vigila de los servicios, que alguien cuida de ellos, que alguien no desaparecerá repentinamente un día.

Lo mismo ocurre en otros eventos en la vida real o virtual, por ejemplo carros: si fuera por precio, todos comprarían el mismo tipo de carro, el más barato del mercado. O veamos departamentos: Si fuera por precio compraras el departamento más barato del mercado, aún cuando esté totalmente fuera de la ciudad, o si miras por tamaño: Un departamento a 50 kms del centro de la ciudad pero que cueste 3 veces menos que uno en la ciudad, que además mira 2 veces más que algun dentro de la ciudad.. seguramente todos vivirían a 50kms del centro… pero no es así. Hay mercado para todos

Otro día sigo