1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • 6 pasos esenciales antes de hacer 'click'

    From Enric Lleal Serra@2:343/107.1 to All on Fri Apr 8 14:37:06 2016
    * Originally in ESP.SEGURIDAD
    * Crossposted in ESP.CONSUMIDOR


    ­Hola All!


    Normalmente era Albano el que hace tiempo actuaba como pasarela para las "Una-al-día" de Hispasec, pero esta vez me ha gustado la entrada porque está redactada para todos los públicos, y explica de una manera muy llana y meridiana qué hacer con los correos que recibimos. Todo consumidor debería tener interiorizados estos 6 pasos (y muchos más) en su vida diaria.


    -------------------------------------------------------------------
    Hispasec - una-al-día 07/04/2016
    Todos los días una noticia de seguridad www.hispasec.com
    Síguenos en Twitter: http://twitter.com/unaaldia
    Noticia en formato HTML: http://unaaldia.hispasec.com/2016/04/fundamentos-de-anatomia-digital-6-pasos.ht ml
    ------------------------------------------------------------------- *Fundamentos de anatomía digital: "6 pasos esenciales antes de hacer click"*
    --------------------------------------------------------------------------

    A lo largo de las escasas 24 horas que tiene un día tomamos cientos de decisiones. No es un número estable. Para algunos serán miles mientras
    que a otros les bastan unas pocas decenas. La mayoría de esas decisiones
    son triviales. ¿Papel higiénico acolchado, perfumado, con estampaciones
    de flores silvestres? Mientras que otras disyuntivas, sin percibir su
    justo peso, pueden condenar al decisor a una penitencia doble. Por un
    lado el pago que conlleva las consecuencias de una mala opción y por
    otro el amargo sabor a derrota que se siente cuando se rememora el
    momento en el que se tomó la vía equivocada. Somos esclavos de nuestro
    tiempo y el tiempo es alimento de la historia, lástima que ésta viaje en
    un solo sentido y nos impida rectificar la huella de nuestras
    imperfecciones.

    Una decisión que ha traído a muchos de cabeza, es ese momento en el que otorgaron un inocente y bienintencionado 'click' a un enlace que les
    prometía una recompensa en maravedíes o por el contrario, les conminaba
    a hacerlo bajo la amenaza del cadalso digital. Naturalmente hablamos del phishing.

    Aunque tradicionalmente lo asociamos al fraude bancario, ni de lejos es exclusivo su uso para tales menesteres. Es más (y ahora nos ponemos de
    pie, arrastramos la silla hacia atrás y nos llevamos la palma de la mano
    al pecho), incluso nosotros mismos lo usamos en nuestras tribulaciones,
    cuando nos encargan un test de penetración (si, suena gracioso cuando no
    estás habituado a escuchar el término) y nos permiten usar ingeniería
    social.

    Porque realmente, el mecanismo de funcionamiento de un phishing se basa
    en la ingeniería social. En el engaño, estafa, argucia, ardid, fraude, artimaña, señuelo, falsedad, confusión, burla, embuste, etc. (Tampoco
    vamos a engañaros en este punto, es evidente que hemos usado un
    diccionario de sinónimos). El arte del engaño es tan antiguo como su
    padre, el arte de codiciar lo ajeno. Estos dos nacen como respuesta a
    una pregunta que nace a su vez de la necesidad congénita del ser humano
    de simplificar y optimizar los procesos vitales: "¿Por qué esforzarme lo
    mismo que el otro si puedo enajenar lo que él tiene con menos
    esfuerzo?". Bendita economía.

    Bien, pues ya que hemos instalado la idea de una mala decisión y
    construido el canal por el que queremos plasmar la concreción en un
    ejemplo, pasemos a ver qué defensas podemos levantar contra la toma de
    una pésima alternativa o un decálogo de medidas a tomar antes de pulsar
    un maldito enlace que nos lleve a la perdición en forma de ransomware o
    un derrame pecuniario en nuestros haberes bancarios.

    1) Si no eres capaz de demostrar que es un phishing, entonces ES UN
    PHISHING.

    Me encantaba "Barrio Sésamo". Era un lugar donde el mal no tenía cabida.
    Todo era felicidad y buen rollo encantador. De hecho no veréis en ningún episodio a un personaje echando la llave a una puerta (¿Julián el del
    kiosco quizás?). Nadie era malo allí. ¿Cómo pensar mal de un puercoespín
    rosa de dos metros con la capacidad humana del habla y la movilidad
    óptica de un cenicero de bronce?

    Al menos en lo que respecta a tus correos entrantes no habituales,
    piensa mal por defecto. Si ves un correo de tu banco. Demuéstrate a ti
    mismo que realmente viene de tu banco. Quizás te llamen paranoico pero
    siempre puedes responderles que cuenten con los dedos de una mano a
    cuantos paranoicos conocen que hayan sido timados. En la mayoría de los
    casos les sobraran cinco dedos. Seis o más en caso de padecer
    polidactilia. No falla.

    Recuerda, el principio de inocencia no se aplica a los activos
    digitales. Es culpable por defecto, demuestra su inocencia. Esa es la
    actitud.

    2) Lee el correo. En serio, lee el correo.

    Da igual el idioma que hables. Un correo verdadero y corporativo debería
    llegar con una perfección ortográfica y gramatical que cuando termines
    de leerlo llores de emoción o tu corazón palpite entregado a los
    placeres de la prosa.

    Un truco que utilizo es leerlo con un señor como nuestro académico Pérez Reverte pero imaginario. Coges el texto del correo e imagina que el
    señor Pérez Reverte está sentado junto a ti leyendo el mismo correo.
    Cuando termines de leerlo (o terminéis) fíjate en su rostro y estate
    atento. Si se levanta, te da una palmadita en el hombro y se va,
    entonces el correo podría ser bueno. Si te lo imaginas agitado y
    desenvainando un sable del siglo dieciocho mientras brama improperios
    coetáneos del mismo con una tempestad de fondo. No falla. El correo
    tiene la validez equivalente a una promesa electoral. ES PHISHING.

    3) Copia el enlace y compruébalo en sitios de reputación online.

    Ten mucho cuidado al copiarlo. En serio, activar un enlace puede suponer
    que tu navegador se abra y se dirija a una fiesta organizada por un
    exploit kit. Así que deposita el cursor sobre el enlace lentamente,
    botón derecho, copiar y sepárate muy muy despacio de él. Poco a poco.

    Ahora, con el enlace en el portapapeles, puedes comprobarlo en sitios
    web que van a decirte si la dirección está en una lista negra. Pero
    recuerda, y esta idea es importante: Estos sitios sólo demuestran que el
    enlace está en una lista negra. Es decir, si no aparece en la lista
    negra no significa que sea bueno, significa que no está incluido.

    Recuerda. Estos sitios confirman una sospecha, no confirman una
    coartada.

    ¿Sitios? Hay muchísimos, unos pocos ejemplos.
    https://www.virustotal.com/
    https://sitecheck.sucuri.net/
    http://www.malwareurl.com/listing-urls.php

    Ya sabes. ¿Dominio en lista negra? ES PHISHING. ¿No está en lista negra? Entonces no está en lista negra.

    4) Comprueba el dominio.

    Suponemos que llegados a este paso, que has visto el correo y tu sentido
    común no te ha puesto en alerta. Lo has leído con tu imaginario escritor favorito a tu lado y le ha dado el visto bueno. Por último, el enlace no aparece en una lista negra. Bien, porque nos acercamos a una fase
    crítica. De la URL céntrate, de momento, en el dominio.

    Pega la URL en tu editor de texto favorito. Disecciónala y quédate con
    el dominio. Hay lectores que tienen un nivel básico, no hay problema,
    todos tuvimos un primer día, el resto puede saltarse el ejemplo.
    Pongamos la URL de una "Una Al Día" cualquiera:

    http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.ht
    ml

    ¿Veis las barras inclinadas a la derecha? Las /

    Separan componentes. Parte la url en piezas tomando como referencia esas /

    http:

    unaaldia.hispasec.com

    2016

    03

    petya-un-nuevo-ransomware-que-impide-el.html

    Eso que está en negrita es el dominio. Eso se transformará en una
    dirección IP a la que se irá nuestro navegador de manera transparente
    para traerte una página web. El problema es que tu navegador web es
    incapaz de decidir si lo que vas a visitar es la banca online o un
    servidor controlado por un atacante y preparado para filibustearte los
    dineros.

    ¿Cuál es el dominio de tu banco? ¿Adónde te diriges cuando vas a visitar
    el sitio web de tu banco?

    Coge la URL que usas habitualmente de tu banco y haz lo mismo. Compara
    los dominios. ¿Son idénticos? ¿No? ES PHISHING.

    Es cierto que los subdominios pueden variar:
    www.tubanco.com
    logindetubanco.tubanco.com

    Pero cuídate mucho de que la parte final, ese hispasec.com antes del
    primer punto sean iguales en ambos dominios. ¿No es así? ES PHISHING.

    5) Comprueba el certificado SSL

    Hubo un tiempo que el sinónimo de seguridad en la red era la presencia
    de un candadito amarillo en el navegador cuando visitabas un sitio
    "seguro". Cuánto daño ha hecho esa frase en el subconsciente de los
    usuarios proporcionando una falsa sensación de seguridad.

    Hubo incluso malware, que una vez instalado en el sistema, le endiñaba
    un candado amarillo por defecto al navegador, con el simple cometido de despreocupar al usuario de lo que iba a pasar a continuación. Bajar la
    guardia y ¡bum!

    Un candadito amarillo solo significaba que la conexión iba "cifrada" y
    que el sitio tenía un certificado SSL. Punto. Ahora pensad un momento.
    ¿Qué detiene a cualquiera de comprar un dominio, extender un certificado
    sobre ese dominio y poner a la escucha un servidor que ofrezca un canal cifrado?

    Hoy día puedes montar una infraestructura con un dominio, su certificado digital y un servidor con HTTPS establecido, de manera anónima y en
    menos tiempo del que llevas leyendo este artículo. Todo eso puede
    hacerse en cuestión de minutos e incluso de manera anónima, sin dejar
    rastro.

    Una conexión segura lo único que te asegura es que el canal con el que
    te comunicas está cifrado y el certificado te dice que el dominio es de
    quien dice ser. Y eso lo podemos jurar siempre y cuando no salga un
    ataque criptográfico de última generación o a la certificadora de turno
    no le hayan trabuqueado un certificado raíz.

    Así que el sitio web de tu banco tiene que tiene que presentar su
    dominio habitual, su certificado seguro, correcto, al día y asociado al
    dominio y una conexión cifrada de manera robusta. Si no es así, no hay
    duda: ES PHISHING.

    Si el dominio es correcto, pero la conexión no es cifrada o el
    certificado no es válido entonces amigo, te están haciendo un hombre en
    el medio. Sal de ahí. Ya.

    6) ES PHISHING

    Este nivel requiere de una templanza propia de esos maestros sabios que aparecen en las películas de kung-fu de los 70 u 80.

    El principio es muy sencillo. Da igual que el correo sea de tu banco o
    no. ES PHISHING. No se pincha en el enlace. No se visita ninguna URL. No
    se manda por fax ni correo ninguna documentación. No se contesta a ese
    correo. Ni se le hace caso.

    Ya sabemos que puede sonar radical. Pero es tremendamente efectivo.
    Además te pone en una ventaja táctica. Usa una suerte de patrón
    Hollywood. Si quieren algo de ti y es importante, llámales tú a ellos.
    Ponte en contacto con tu banco a través de las líneas que tienen
    disponibles y coméntales lo que has recibido. Si es cierto te lo
    confirmarán y ya puestos arregla el marrón con ellos. Si es un phishing
    lo más probable es que hablando con ellos termines ayudando a otras
    personas desmontando el fraude cuanto antes.

    Vosotros, nuestros lectores, tenéis un nivel de concienciación y técnico considerable. No todo el público posee ese nivel capaz de distinguir una
    estafa de una comunicación legítima. Incluso confesemos, hasta un ojo
    avezado y curtido en las amenazas puede ser engañado. Somos imperfectos.

    Sin embargo el día a día avanza, las comunicaciones se tornan digitales
    y para bien de los árboles, el papel va siendo sustituido por un puñado
    de bits. No dejes que esos bits te estropeen un día o un mes o los
    ahorros de una década.

    Esperamos que de una forma entretenida, con gotas de humor y unas
    pequeñas reglas, ayudemos a crear conciencia en usuarios menos
    entrenados, más confiados y por lo tanto más vulnerables.

    Opina sobre esta noticia: http://unaaldia.hispasec.com/2016/04/fundamentos-de-anatomia-digital-6-pasos.ht
    ml#comments

    Más información:

    una-al-dia (03/06/2008) Mitos y leyendas: "Compruebe el candadito del navegador
    para estar seguro" I (Phishing) http://unaaldia.hispasec.com/2008/06/mitos-y-leyendas-el-candadito-del_03.html

    una-al-dia (17/06/2008) Mitos y leyendas: "Compruebe el candadito del navegador
    para estar seguro" II (Troyanos) http://unaaldia.hispasec.com/2008/06/mitos-y-leyendas-el-candadito-del.html

    una-al-dia (20/12/2004) Nueva técnica de "phishing" afecta a Internet Explorer http://unaaldia.hispasec.com/2004/12/nueva-tecnica-de-afecta-internet.html

    una-al-dia (12/07/2006) Troyanos bancarios y evolución del phishing http://unaaldia.hispasec.com/2006/07/troyanos-bancarios-y-evolucion-del.html


    David García
    dgarcia@hispasec.com
    Twitter: @dgn1729

    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... Campaña de protección de nidos: NO ME TOQUEIS LOS HUEVOS.
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)