Noticias de seguridad

 

Segu-Info - Noticias de Seguridad Informática Segu-Info - Noticias de Seguridad Informática

  • Francia también prohibe TikTok, Twitter, Netflix y Candy Crush en el Estado
    por [email protected] (SeguInfo) el marzo 27, 2023 a las 8:46 pm

    El gobierno de Francia elaboró una "lista negra" de aplicaciones que no podrán usarse en dispositivos oficiales que están asociados a servidores públicos. Si bien aún no hay un detalle completo de las herramientas bloqueadas, Le Monde menciona a TikTok, Twitter, Netflix y Candy Crush , entre otras. El bloqueo se produce después de que el gobierno federal de EE.UU., decenas de estados, Canadá, la Comisión Europea. el Reino Unido prohibieran TikTok en los dispositivos de sus trabajadores. En esos casos, la lógica ha sido similar: a los funcionarios de muchos países les preocupa que el gobierno chino pueda recopilar datos sobre personas importantes, difundir propaganda y obligar a ByteDance (la empresa matriz de TikTok) a entregar información confidencial. ¿Por qué Francia bloqueó TikTok, Candy Crush y Twitter? Cabe remarcar que la restricción en territorio galo corre para los dispositivos gubernamentales, no para los celulares y tablets de los usuarios a nivel general. Según Stanislas Guerini, ministro de Servicios Públicos de Francia, la prohibición de aplicaciones recreativas responde a los riesgos de ciberseguridad que derivan del uso y de la eventual exposición de información interna. Guerini indicó que una vez que se publique el listado completo de aplicaciones bloqueadas en equipos oficiales se incluirán excepciones "por el bien de la comunicación". El anuncio que llega desde el país europeo tiene un contexto de ineludible mención: los bloqueos a TikTok en diversas regiones del mundo y la reciente audiencia del CEO de la aplicación china en el Congreso de Estados Unidos. La propia Unión Europea manifestó sus intenciones de prohibir el uso de la aplicación de origen chino en los dispositivos oficiales, siguiendo los pasos de Estados Unidos, donde la herramienta de ByteDance podría ser bloqueada no sólo en los celulares gubernamentales sino a nivel nacional. En los diferentes bloqueos a TikTok, la herramienta está en la mira por supuestos riesgos para la seguridad nacional, por eventuales prácticas de espionaje y entrega de información al gobierno del gigante asiático. Pero tal como nota el sitio Engadget, las medidas de las autoridades galas no apuntan a un país en particular. En rigor, Twitter, Candy Crush y Netflix son desarrollos de empresas estadounidenses. "La nueva política francesa no está dirigida a ningún país o categoría de aplicación. En cambio, representa una preocupación general de que las herramientas de entretenimiento pongan en riesgo innecesariamente los datos de los gobiernos". Fuente: Engadget

  • Uso del chip EMV vs banda magnética de una tarjeta de crédito
    por [email protected] (SeguInfo) el marzo 26, 2023 a las 1:41 pm

    La tecnología de chip EMV ha reducido significativamente el fraude con tarjetas de crédito en el punto de venta, pero el fraude sin tarjeta presente continúa prosperando, gracias a una tecnología antigua: la banda magnética, dice Mark Solomon, presidente internacional de la Asociación Internacional de Investigadores de Delitos Financieros. EMV significa "Europay, MasterCard y Visa", que son las tres empresas que desarrollaron originalmente las especificaciones de la tecnología. Hoy cuenta con el respaldo de varias otras compañías, incluidas Discover, American Express y UnionPay, a través de una organización llamada EMVCo.Hasta ahora, el número de la tarjeta se almacenaba en la banda magnética en el reverso de la tarjeta. Cuando desliza la tarjeta en la caja, la terminal de caja lee la información de su tarjeta de esa franja y luego la envía a través de una red para transferir el dinero de su cuenta al minorista. Ese número es estático, lo que significa que siempre es el mismo número para cada transacción, lo que hace que sea relativamente fácil para los estafadores piratear la terminal o la red, robar su número de tarjeta y usarlo en otro lugar.Pero el chip del microprocesador de su tarjeta EMV genera un código único para cada transacción. Incluso si un delincuente logra obtener el código de la tienda, en su mayoría es inútil porque no funcionará una segunda vez y no se puede rastrear hasta su número de tarjeta real. Tiene la misma información que la banda magnética de la tarjeta anterior, pero crea un código único que se reorganiza con cada compra. El código generado tiene en cuenta numerosas variables diferentes y no está vinculado a la cuenta de un tarjetahabiente. "Ahora estamos viendo que los estafadores pasan de ir a las tiendas y usar tarjetas robadas: solo usan los datos de la tarjeta en Internet, como tiendas en línea y mercados de darknet", dice Solomon. La banda magnética de una tarjeta de crédito puede ser vulnerable a la clonación y el robo de identidad. Los delincuentes pueden utilizar dispositivos de skimming para leer la información de la banda magnética de una tarjeta de crédito sin que el propietario se dé cuenta. Por eso, se recomienda utilizar tarjetas con chip EMV en lugar de tarjetas con banda magnética. Se supone que la banda magnética en el reverso de las tarjetas proporciona un método de pago de respaldo si no se puede leer el chip EMV. Los estafadores todavía roban datos de tarjetas y activan las bandas magnéticas en tarjetas falsas. El chip EMV es el estándar global utilizado para los chips de las tarjetas de crédito en todo el mundo. El chip EMV es capaz de brindar una autenticación mucho más sofisticada que las tarjetas de banda magnética. Básicamente, hay un sistema informático completamente operativo integrado en cada tarjeta EMV. El chip es "inviolable", por lo que la tarjeta es "casi imposible" de clonar. La banda magnética todavía se usa porque no todos los comerciantes han actualizado sus sistemas para aceptar tarjetas con chip EMV. Además, la banda magnética es más fácil de usar en ciertos casos, como cuando se viaja al extranjero. Sin embargo, la tendencia es que cada vez más comerciantes actualicen sus sistemas para aceptar tarjetas con chip EMV. "Los delincuentes están robando los datos de la banda magnética y usándolos en estaciones de gasolina, cajeros automáticos y máquinas POS. Necesitamos deshacernos de este procedimiento alternativo". Fuente: BankInfosScurity | Gizmodo

  • Extensiones falsas de ChatGPT roban cuentas de Facebook
    por [email protected] (SeguInfo) el marzo 24, 2023 a las 9:46 pm

    Google intervino para eliminar una extensión falsa del navegador Chrome de la tienda web oficial que se hizo pasar por el servicio ChatGPT de OpenAI para recolectar cookies de sesión de Facebook y secuestrar las cuentas. La extensión "ChatGPT para Google", una versión troyanizada de un complemento de navegador de código abierto legítimo, tuvo más de 9.000 instalaciones desde el 14 de marzo de 2023, antes de su eliminación. Se subió originalmente a Chrome Web Store el 14 de febrero de 2023. Según la investigadora de Guardio Labs, Nati Tal, la extensión se propagó a través de resultados de búsqueda de Google patrocinados maliciosos que fueron diseñados para redirigir a los usuarios desprevenidos que buscaban "Chat GPT-4" a páginas de destino fraudulentas que apuntan al complemento falso. La instalación de la extensión agrega la funcionalidad prometida, es decir, mejora los motores de búsqueda con ChatGPT, pero también activa sigilosamente la capacidad de capturar cookies relacionadas con Facebook y filtrarlas a un servidor remoto de manera cifrada. Una vez en posesión de las cookies de la víctima, el autor de la amenaza toma el control de la cuenta de Facebook, cambia la contraseña, altera el nombre y la imagen del perfil e incluso la utiliza para difundir propaganda extremista. El desarrollo lo convierte en la segunda extensión falsa del navegador ChatGPT Chrome que se descubre en la naturaleza. La otra extensión, que también funcionaba como un ladrón de cuentas de Facebook, se distribuía a través de publicaciones patrocinadas en la plataforma de redes sociales. En todo caso, los hallazgos son otra prueba más de que los ciberdelincuentes son capaces de adaptar rápidamente sus campañas para sacar provecho de la popularidad de ChatGPT para distribuir malware y organizar ataques oportunistas. "Para los actores de amenazas, las posibilidades son infinitas: usar su perfil como un bot para comentarios, me gusta y otras actividades promocionales, o crear páginas y cuentas publicitarias usando su reputación e identidad mientras promocionan servicios que son legítimos y probablemente en su mayoría no". Fuente: THN

  • Concurso Pwn2Own 2023 reparte un millón de dólares y un Tesla
    por [email protected] (SeguInfo) el marzo 23, 2023 a las 2:19 pm

    En el primer día de concurso Pwn2Own Vancouver 2023, los investigadores de seguridad demostraron con éxito los exploits Zero-Day de Tesla Model 3, Windows 11 y macOS y las cadenas de exploits para ganar U$S 375.000 y un Tesla Model 3. El primero en caer fue Adobe Reader en la categoría de aplicaciones empresariales después de que Abdul Aziz Hariri (@abdhariri) de Haboob SA usó una cadena de exploits dirigida a una cadena lógica de 6 errores que abusaba de múltiples parches fallidos que escaparon del Sandbox y pasaron por alto una lista de API prohibidas en macOS para gana U$S 50.000. El equipo de STAR Labs (@starlabs_sg) realizó una demostración de una cadena de exploits Zero-Day dirigida a la plataforma de colaboración en equipo de SharePoint de Microsoft que les brindó una recompensa de U$S 100.000 y logró hackear Ubuntu Desktop con un exploit previamente conocido por U$S 15.000. Synacktiv (@Synacktiv) se llevó a casa U$S 100.000 y un Tesla Model 3 después de ejecutar con éxito un ataque TOCTOU (tiempo de verificación a tiempo de uso) contra Tesla - Gateway en la categoría Automotriz. También utilizaron una vulnerabilidad de día cero de TOCTOU para aumentar los privilegios en Apple macOS y ganaron U$S 40.000. Oracle VirtualBox fue hackeado usando una lectura OOB y una cadena de exploits de desbordamiento de búfer basada en pilas (con un valor de U$S 40.000) por Bien Pham (@bienpnn) de Qrious Security. Por último, pero no menos importante, Marcin Wiązowski elevó los privilegios en Windows 11 mediante una validación de entrada incorrecta Zero-Day que tuvo un premio de U$S 30.000. En el segundo día, los competidores de Pwn2Own demostrarán exploits Zero-Day dirigidos a Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root y Ubuntu Desktop. El último día del concurso, los investigadores volverán a establecer sus objetivos en Ubuntu Desktop e intentarán hackear Microsoft Teams, Windows 11 y VMware Workstation. Entre el 22 y el 24 de marzo, los concursantes pueden ganar U$S 1.080.000 en efectivo y premios, incluido un auto Tesla Model 3. El premio máximo por hackear un Tesla ahora es de U$S 150.000 y el automóvil en sí. Después de que las vulnerabilidades de día cero se demuestren y divulguen durante Pwn2Own, los proveedores tienen 90 días para crear y publicar correcciones de seguridad para todas las fallas informadas antes de que Zero Day Initiative de Trend Micro las divulgue públicamente. Durante el concurso Vancouver Pwn2Own del año pasado, los investigadores de seguridad ganaron U$S 1.155.000 después de hackear Windows 11 seis veces, Ubuntu Desktop cuatro veces y demostrar con éxito tres Microsoft Teams Zero-Day. También informaron varios Zero-Day en Apple Safari, Oracle Virtualbox y Mozilla Firefox y hackearon el sistema de información y entretenimiento Tesla Model 3. Fuente: BC

  • Riesgos de seguridad de los SMS cortos
    por [email protected] (SeguInfo) el marzo 22, 2023 a las 9:03 pm

    Si alguna vez se registró para recibir los mensajes de texto de una marca o sus actualizaciones de marketing por SMS, probablemente haya notado que los mensajes no se ven iguales a los que le envían sus amigos o familiares. De inmediato, puede darse cuenta de que el número de teléfono del que proviene el mensaje es más corto de lo que está acostumbrado a ver. Lo que quizás ya sepa o no es que estos números abreviados en realidad se denominan "códigos cortos" o "códigos comunes" y tienen un propósito en el marketing por SMS. Son una excelente manera para que una empresa envíe mensajes de texto dirigidos y personalizados a una larga lista de suscriptores.La ventaja para los especialistas en marketing es la integración de una estrategia de comunicaciones SMS dentro de una campaña digital existente. La desventaja, desde la seguridad y la privacidad, es que cualquiera puede utilizarlos de forma indiscriminada, prácticamente sin ningún control por parte de las empresas que brindan el servicio.¿Qué es un código corto de SMS? Un código corto de SMS es un número de 5 o 6 dígitos que las empresas utilizan en lugar del número habitual  Estos códigos cortos se utilizan en campañas de marketing y son excelentes para el envío masivo de mensajes de texto, ya que tienen una velocidad de envío rápida por segundo. También hay números personalizados largos de 10 dígitos, pero debido a que los códigos cortos contienen menos caracteres, son más fáciles de recordar. Por ejemplo, un número de vanidad es un número que deletrea una palabra usando el teclado numérico de un teléfono, lo que hace que sea más fácil de recordar. Por ejemplo, PEPSI puede tener un número personalizado de cinco dígitos, 73774, que lo deletrea en el teclado numérico de su teléfono. Si alguna vez ha visto una empresa que le pide que envíe un mensaje de texto con "[palabra clave]" a "73774", este es un ejemplo de una "campaña de palabras" que permite a la empresa saber qué campañas de marketing generan una respuesta directa y cuáles no. ¿Por qué usar un código corto para enviar mensajes de texto y cómo buscar códigos? Los códigos cortos de SMS tienen varios beneficios sobre un número tradicional: Los códigos cortos son breves y memorables. Son inequívocamente un número comercial o para estrategias de marketing. Cuando alguien ve un mensaje proveniente de un código corto, sabe que proviene de una empresa u organización y no de alguien que conoce. Los mensajes de texto de código corto se entregan mucho más rápido que los números tradicionales: se pueden enviar hasta 100 mensajes por segundo, contra casi tres horas de los números tradicionales. Los códigos cortos solo pueden enviar o recibir mensajes de texto, no se pueden usar para llamadas telefónicas. Diferencias clave entre códigos cortos compartidos y dedicados Varias empresas usan un código corto compartido en lugar de un código corto dedicado. Los servicios con códigos dedicado son más caros y más difíciles de conseguir. Uno de los mayores beneficios de los códigos cortos compartidos es el ahorro de costos. Varias empresas comparten el costo, lo que reduce la cantidad total que cada empresa individual gastará para usar el mismo código. Algunos códigos cortos pueden tener miles de empresas que usan el mismo código, lo que reduce significativamente los costos, pero también conlleva algunos riesgos importantes. Peligros de un código corto de SMS compartido Debido a la posibilidad de que miles de empresas usen el mismo número, existen muchos peligros asociados con el uso de un código corto compartido. 1. Confiar en el número corto implica confiar en muchas empresasComo el número corto es compartido, cualquier empresa y delincuente puede utilizarlo. Si una empresa hace algo ilegal o usa incorrectamente el código corto, ese número compartido podría ser incluido en una lista negra, lo cual es positivo pero también evita que las empresas legales se comuniquen con sus clientes.2. Abuso por parte de suscriptores dañinosComo el servicio de un número corto puede ser usado por varias empresas, nada impide que un delincuente registre un "servicio de marketing digital" fraudulento y utilice el mismo número que utiliza una marca para engañar a los usuarios de esa marca.Por ejemplo, en esta imagen se ve el mensaje real de un banco y, unos días después, el usuario recibe un mensaje fraudulento que envía el delincuente a un sitio falso del banco. El segundo mensaje ha sido enviado por una empresa suscriptora que utiliza el mismo número corto que el banco.Lamentablemente ni la empresa suscriptora ni las telefónicas hacen nada para detectar y bloquear ningún tipo de mensaje dañino. El afectado siempre es el usuario, que cree que el mensaje que proviene del SMS corto es real. 3. Los suscriptores pueden darse de baja accidentalmente Si uno de sus clientes opta por recibir mensajes de texto de una marca específica, además de otras marcas que usan el mismo código corto, el cliente puede optar por no participar de una y darse de baja de todas las marcas que usan el mimo código. 4. Las regulaciones de códigos cortos están cambiando Debido a algunos de los problemas mencionados anteriormente, muchos operadores están eliminando la capacidad de enviar desde códigos cortos compartidos. De hecho, muchos operadores ya comenzaron a restringir el uso de códigos cortos compartidos.¿Qué sigue para los códigos cortos de SMS? En marzo de 2021, los operadores de telefonía móvil de EE.UU. y Europa comenzaron a retirar todos los códigos cortos compartidos, lo que significó que las marcas ahora necesitan un código corto dedicado. Por ejemplo, los principales operadores como AT&T anunciaron ya en 2018 que eventualmente eliminarían el uso de códigos cortos compartidos. De hecho, muchos operadores ya habían comenzado a restringir su uso por el abuso que se observaba de los mismos. La opción es usar números 10DLC Para las marcas que no pueden pagar un código corto dedicado pero que ya han creado su lista de suscriptores de SMS, un número gratuito verificado es la mejor opción. Las tarifas de entrega de números gratuitos son mejores que las tarifas de entrega de números largos, especialmente cuando verifica el número de teléfono. Otra opción a considerar es obtener múltiples números 10DLC: este es un código largo de 10 dígitos y se pueden usar para enviar mensajes de texto de Aplicación a Persona( A2P). La diferencia entre un número de teléfono normal de 10 dígitos y un A2P-10DLC es que estos números están diseñados para usarse para mensajería empresarial basada en aplicaciones y son asignados de forma exclusiva a cada empresa. Por ejemplo, Twilio ofrece un servicio A2P-10DLC, al igual que OneSignal.Si una empresa está utilizando varios números, el proveedor puede recordar automáticamente el número de teléfono del que el cliente recibió el mensaje de texto por primera vez. Esto significa que seguirán recibiendo mensajes de texto de ese número original, incluso si ha agregado un nuevo número de teléfono principal. Esto garantiza que sus clientes no reciban mensajes de marketing SMS de su marca desde varios números de teléfono, lo que puede crear una experiencia inconexa. Mejores prácticas de código corto de SMS Ya sea que se envíen desde un código corto o un número largo, siempre se debe respetar la privacidad de los clientes y respetar sus solicitudes de suscripción y exclusión. Nunca de debe enviar spam ni mensajes no deseados. Se puede intentar utilizar códigos cortos personalizados (o 10DLC) para experiencias de marca únicas. Los códigos cortos de vanidad pueden ser una excelente manera de crear un número fácil de recordar. Se pueden usar palabras clave en los textos de código corto que identifiquen unívocamente a la empresa. De todos modos nada impide que los delincuentes también usen la misma palabra. Fuente: Klaviyo

WeLiveSecurity News, views, and insight from the ESET security community