martes, 15 de noviembre de 2011

Facebook no ha sido hackeado, así es como funciona

Hoy en Twitter y Google+ ha saltado la alarma respecto al posible hackeo de Facebook, publicándose en el muro de muchos usuarios mensajes con contenido pornográfico o violento,... he estado echando un vistazo y lo único que he encontrado es un montón de enlaces a páginas de vídeos de todo tipo. He estado revisando el código de dichas páginas y en ningún momento se comparte enlaces en el muro o Timeline del usuario, pero si he visto que algunas piden al usuario que comparta un enlace en su muro para poder ver el vídeo en cuestión.

Esta forma de actuar está totalmente en contra de la política de Facebook o, por lo menos, de lo que dice de boca hacia afuera, ya que creo recordar que no se podía obligar a un usuario a compartir o indicar que te gusta una página, pero que hay infinidad de páginas que utilizan esta técnica para atraer a más visitantes y Facebook no toma medidas al respecto. Supongo que en Facebook entenderán que no te están obligando, ya que tu integridad física no corre peligro, pero como los enlaces suelen venir de un usuario al que conocemos, cuando nos queremos dar cuenta ya es demasiado tarde. Quizás te interese el artículo sobre el Clickjacking y el Likejacking.

Luego, una vez que ya has compartido el enlace y tus "amigos" ya han sido "reclutados", se muestra un mensaje indicando que debido a la crudeza o sensualidad de las imágenes debes introducir tu número de móvil para verificar tu edad. Al hacer esto, realmente, te estás dando de alta un servicio de Alertas SMS o SMS Premium, que te cobrará una cierta cantidad por cada SMS que te envía (+info "El timo de las Alertas SMS y los SMS Premium".

Una vez realizados todos los pasos, tampoco tienes la seguridad de que puedas ver el vídeo en cuestión, pero si puedes estar seguro de que te ve va a costar un dinerillo haber pinchado en el enlace.

Revisa los permisos de las aplicaciones
Ya hace algún tiempo alertamos en este mismo blog sobre los peligros de dar ciertos permisos a las aplicaciones, en aquella ocasión se alertaba de que la página OcioFX.com pedía una serie de permisos innecesarios para compartir un enlace en nuestro muro y, de hecho, he visto muchos enlaces a OcioFX publicados sin la autorización del propietario de la cuenta de Facebook. Puedes leer más al respecto en "SPAM-Hoax-Scam: ComparteFx, OcioFx, GratisFx, etc... crean tus mensajes virales"

OJO: No digo que ociofx.com sea el responsable del supuesto ataque a Facebook, simplemente que dispone de los permisos suficientes por parte de muchos usuarios como para publicar en Facebook como si fueran ellos mismos.

Una aplicación que tenga permiso para compartir contenido en el muro y poder acceder al mismo cuando el usuario no está logado, tiene los permisos suficientes para publicar contenido en su nombre en cualquier momento, lo que permitiría publicar estos enlaces en el muro de una serie de usuarios que posteriormente se propagarían por la red sin ningún tipo de esfuerzo.

De modo que, una aplicación de Facebook que están utilizando los usuarios que iniciaron el tema puede ser el origen de todo, además, es posible que dicha aplicación no tenga ningún indicio de ser fraudulenta, pero el origen de todo el asunto sólo se puede determinar accediendo a los datos de Facebook, cosa que sólo se puede hacer desde la propia empresa y eso suponiendo que están guardando todos los datos correctamente, ya que si todo funciona como las API's que se están remodelando constantemente y que ya tiene grandes incongruencias dentro de una misma versión, no creo que sean capaces de llegar a ninguna conclusión.

Compártelo con tus amigos

lunes, 14 de noviembre de 2011

Alerta: Ramson.AN, es un virus que secuestra Windows

Los usuarios que utilizan el sistema operativo Windows de Microsoft, deben tener mucho cuidado con un nuevo virus, descubierto por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y conocido como Ramson.AN (Trojan.Multi/Ransom.AN@ P2P+MM), que está circulando en estos momentos por Internet. Este nuevo virus ataca al sistema operativo de Microsoft y le pide al usuario infectado un rescate de cien euros o le eliminará toda la información del ordenador pasada 48 horas desde que se produce la alerta. El virus se ejecuta automáticamente cada vez que se reinicia el equipo, pero es incapaz de auto propagarse por la red una vez que ha infectado un ordenador.

Mecanismos de infección del virus Ramson.AN 
Los mecanismos por los que puede llegar al sistema son:
  • A través de archivos compartidos en redes P2P (peer to peer).
  • Recibido por correo SPAM (que podría proceder de un conocido).
  • Se envía masivamente a todas las direcciones de correo electrónico encontradas en el sistema infectado.
  • Descargado, sin el conocimiento del usuario, al visitar una página Web infectada.

¿Cómo funciona?
Cuando el virus Ramson.AN infecta el ordenador, se instala en el disco duro y hace que se reinicie el equipo, poniéndose en funcionamiento cada una vez que el usuario enciende el equipo. Al entrar en funcionamiento el equipo se bloquea y aparece una pantalla negra con un mensaje como el siguiente (puedes pinchar en la imagen para ampliar):


El texto está en alemán, pero el mensaje indica que la autenticidad de Microsoft Windows no ha podido ser verificada, así que hay que solucionarlo mediante el pago de 100€. Se hace saber que en caso de que no se pague se perderá acceso a la información que hay en el ordenador y que la oficina fiscal tiene su dirección IP para tomar medidas en caso de que no se pague en las próximas 48 horas.
Para realizar el pago se nos enviará a la página siguiente:


Una vez insertado el código que aparece en el primer mensaje, lleva a la página donde solicitan los detalles de pago (via tarjeta de crédito) para cobrar los 100€. Una vez enviada esta información nos informan de que en las próximas 24 horas nos enviarán el código de activación, tan pronto como comprueben que los datos que les hemos facilitado son reales.
¿Cómo se desinfecta?
Según el INTECO, el troyano se desactiva introduciendo el código:

QRT5T5FJQE53BGXT9HHJW53YT

Al hacerlo se reiniciará el ordenador y la clave del registro que ha creado el malware será eliminada, así como el propio malware.

Compártelo con tus amigos


Un virus te envía a páginas de publicidad

En muchísimas ocasiones, me he encontrado con ordenadores en los que, con solo abrir el navegador se abren unas cuantas páginas webs con publicidad, cuando intentas navegar a una página te envía a otra o, simplemente, al abrir una página se abre otra con publicidad por detrás.

Si te pasa esto, no es que los administradores de las páginas que visitas se hayan pasado poniendo publicidad, ya que hay unos ciertos límites en este sentido, además de la circunstancia de que, la persona que se ha encargado de publicar la página, lo que quiere es que se vea el contenido publicado y no una cantidad de publicidad desproporcionado que no te permita ver el contenido que ha motivado la creación de la página.

¿Por qué no lo detecta mi antivirus?
Hay infinidad de aplicaciones, barras de navegación para los navegadores, etc... que utilizan distintas técnicas para conseguir este tipo de cosas, pero esto no es nada nuevo y ya se ha comentado en alguna ocasión. El problema añadido que presenta este tipo de actividades es que, en muchos casos, no son detectados por los antivirus o sí, son detectados, pero no son clasificados como virus. Y, es que, dependiendo de lo puristas que sean en la empresa que mantiene el antivirus estos si son clasificados como malware, pero no como un virus en toda regla.

Para estos casos es necesario revisar el ordenador con algún otro producto para la detección de malware, yo generalmente utilizo la versión gratuita del Anti-Malware de Emsisoft (anteriormente se llamaba "a-squared"). El problema que presenta la versión gratuita es que solamente analiza el ordenador cuando es arrancado manualmente. Yo empecé a utilizar este cuando empezaban a aparecer este tipo de aplicaciones maliciosas, pero es probable que ya exista otras aplicaciones del mismo tipo, si conoces alguna déjanosla en los comentarios para el beneficio de todos.

Otra consideración a tener en cuenta es que, si utilizas un antivirus comercial o muy extendido, los virus y malware suelen identificarlos y modificar el sistema, desactivar el antivirus, etc... para no ser detectados, de modo que es conveniente ejecutar de vez en cuando otro antivirus, pero como suele dar problemas tener más de un antivirus, lo mejor puede ser utilizar un antivirus on-line (analiza el ordenador desde la página web). Si el antivirus on-line ha detectado algún virus que tu antivirus no detecta puede ser que debas plantearte cambiar de antivirus.

A pesar de todo esto puede ser que el ordenador tenga algún malware pues, como ya se ha comentado en alguna otra ocasión, los antivirus amplían su base de datos de virus en base a las actividades sospechosas que encuentran en algunos sistemas, pero en ocasiones no son visibles o se pasan por alto y no se informa, de modo que puede existir infinidad de virus que aún no engrosas las listas de virus de nuestro antivirus.

Y, antes de ejecutar cualquier aplicación que descargues de Internet, puedes enviarlo a alguna página como la de VirusTotal que comprueba el archivo con más de 40 antivirus y te indica si alguno de ellos ha detectado algún malware.

¿Las empresas de publicidad consienten esto?
Pues sí, como comentamos hace una semana en el artículo "El timo de las Alertas SMS y los SMS Premium" las empresas de publicidad pagan una cierta cantidad por cada persona a la que mostremos su publicidad o visite una página y, hay algunas empresas de publicidad sin escrúpulos que, consienten actuaciones como la descrita (aunque suelen pagar menos), pero eso da igual, ya que a un usuario infectado se le mostrará tanta publicidad como desee la persona que controla el malware hasta alcanzar los ingresos que este estime oportuno.

En ocasiones, eliminar el malware no termina de solucionar el problema
La gran mayoría del malware de este tipo que he visto empezaba por cambiar la página de inicio o el motor de búsqueda, de modo que, cuando se arrancaba mostraba un buscador que no era el que teníamos seleccionado anteriormente y cuando se realizaban búsquedas utilizaba un motor de búsquedas que no estaba configurado con anterioridad. Sí vuelves a poner tu página de inicio y al arrancar el navegador vuelve a cambiar es debido a que el malware aún está en el sistema. Una vez eliminado, la página de inicio y el motor de búsqueda debe ser configurado de nuevo, ya que esta operación no se realiza al eliminarlo.

Hace unos días se ha detenido a los responsables de una red que en lugar de cambiar esto, cambiaba la dirección del DNS, redireccionándolo a sus propios servidores. El DNS es el Domain Name System o (en castellano: Sistema de Nombres de Dominio) y se encarga de traducir las direcciones de los sitios Web en su dirección IP correspondiente que es el que realmente identifica el sistema al que queremos acceder. Al cambiar el DNS a otro equipo, se consigue cada vez que se quiera acceder a un nombre de dominio, se pueda manipular la página a la que se envía al usuario. Este es otro caso, en el que hay que volver a reconfigurar algunos parámetros del sistema, bastante más complejos para el usuario inexperto que el motor de búsqueda del sistema.

Podéis leer más sobre la red "DNSChanger Malware" desmantelada en:

Compártelo

viernes, 4 de noviembre de 2011

El timo de las Alertas SMS y los SMS Premium

Este tipo de timos existen desde hace bastante tiempo, pero el uso de las redes sociales y la facilidad de suplantar a un usuario en redes como Facebook hacen que se propaguen con extrema rapidez, más aún cuando el mensaje que reciben los usuarios proceden de un amigo o conocido en el que confían.

¿Qué son los SMS Premium y las Alertas SMS?
Los SMS Premium son mensajes de texto por los que el usuario paga un precio superior al de la tarifa normal, a cambio de recibir un servicio añadido (un tono, un juego o la participación en un concurso). En cambio, las Alertas de SMS son servicios de suscripción por los que el usuario paga por cada mensaje que recibe en su terminal.

Los SMS Premium se han convertido en una forma habitual de pagar servicios u obtener ingresos extraordinarios a través del “sistema de micropagos”; mientras que, desafortunadamente, las Alertas SMS han degenerado en su mayoría en sistemas fraudulentos de obtener dinero de usuarios inexpertos de telefonía móvil.

En el caso de los SMS Premium, el negocio consiste en ofrecer al usuario de telefonía móvil una serie de servicios y contenidos digitales (juegos, tonos, fondos de pantalla) para su terminal, que se pagan mediante el envío de uno o una serie de mensajes de texto. El precio de éstos se incluye en la factura del mes y tienen un coste muy superior al habitual: un sms tradicional cuesta unos 0,12€ - 0,15€ (aprox.); en cambio, un sólo SMS Premium puede llegar a alcanzar 1,20 - 1,50 euros.

La recepción de mensajes con coste (Alertas SMS):
Una de las modalidades más lucrativas de servicios SMS consiste en las Alertas SMS, es decir, en la recepción por parte del cliente de mensajes con coste. El usuario, animado por el sorteo de un coche o un premio en metálico, envía la palabra ALTA a un número de 4 ó 5 cifras. Inmediatamente, el número de móvil de este usuario pasa a formar parte de una lista de distribución, a la que la empresa de turno enviará una cantidad indeterminada de mensajes por los que cobrará entre 0,15 y 0,50€ por cada SMS recibido por los usuarios, hasta un máximo de 18 - 34€/mes dependiendo de la compañía.

El engaño reside en que al cliente nunca se le avisa de que va a suscribirse o se ha suscrito a un boletín de pago por el que va a recibir 30 mensajes por semana, al coste de 0,15 euros por SMS recibido. En otras ocasiones, sí se le advierte pero por medio de una frase en scroll horizontal al pie de la pantalla, una ventana emergente o similares métodos de difícil lectura. Asimismo, aunque resulta habitual que la compañía responsable del envío de los SMS remita al usuario en una primera comunicación, tras el alta de éste, las instrucciones para gestionar la baja del servicio, los usuarios suelen eliminar siempre este mensaje a su recepción, por lo que a partir de ese momento no tendrán ni podrán conseguir información sobre cómo darse de baja.

Al no conciencia de haberse dado de alta y con la sensación general de que el que envía los mensajes es el que los paga, el usuario se despreocupa y pasa un poco de los mensajes recibidos, lo que hace que el primer mes llegue la sorpresa. Cuando se intenta reclamar, la desinformación general es la principal baza con la que juegan estos servicios de Alerta SMS. Y la mejor forma de lograrla es mediante el empleo de datos falsos de contacto, oficinas de información sin personal que hable el idioma del cliente y una larga lista de intermediarios nacionales y extranjeros que hacen prácticamente imposible al usuario encontrar la fuente de los mensajes.

Proliferación de los timos telefónicos


La publicidad, en general
En general, cualquier usuario que disponga de una web, un blog y, en general, cualquier medio en Internet (incluidos vídeos, juegos, etc...), puede añadir publicidad a su contenido. Esto genera algunos ingresos por cada persona que pinche en la publicidad generalmente son pocos los usuarios que pinchan en la publicidad (del orden del 0,5%) y el ingreso por cada clic puede variar entre 0,01€ y 0,35€ dependiendo del anuncio en el que han pinchado.

Esto hace que muchos webmasters inserten artificios, como el Clickjacking, para que, siempre que, un usuario visite sus páginas se abra también una página con publicidad. Esto está permitido por muchas empresas de publicidad sin escrúpulos o, simplemente, miran para otro lado, ya que ellos también cobran por cada vez que se muestra el sitio publicitado (solamente se reparte un porcentaje de lo que la empresa de publicidad cobra por cada vez que se muestra la página correspondiente).
Nota: Los ingresos que genera una publicación en Internet por cada persona que pinche en la publicidad son prácticamente irrisorios, a no ser que sea un sitio de referencia con gran alcance (en cuyo caso, tampoco creo que sea para retirarse), de modo que, no crees un blog con la idea de hacerte rico, créalo solamente si tienes algo que compartir con el mundo.
AdSense: Un caso de buenas prácticas.
Otras en cambio, como es el caso, por ejemplo, de AdSense de Google, te indican claramente puntos como:
"Los editores no pueden hacer clic en sus propios anuncios ni utilizar medios para inflar de forma artificial las impresiones o los clics, incluido cualquier tipo de método manual."
"Los editores no pueden pedir a otras personas que hagan clic en sus anuncios ni utilizar métodos engañosos para conseguir clics"
Si se incumplen las Políticas del programa Google AdSense, sin autorización de Google, se inhabilita la publicación de anuncios en el sitio web y se inhabilita la cuenta de AdSense, eliminando igualmente la posibilidad de poder participar en el programa AdSense en el futuro. Además, las políticas del programa AdSense, se van actualizando constantemente, tanto para evitar nuevos fraudes como para incorporar las políticas de nuevos productos publicitarios como "AdSense para Juegos" o "AdSense para Vídeos".

A cambio, la empresa es la que se encarga de que los anuncios que aparezcan en el sitio indicado guarden relación con el contenido o sean de interés para el tipo de usuarios que visita la web, siendo este el principal activo para conseguir clics.

¿Como se "ordeña" Internet?
Hasta aquí, se ha discutido sobre la publicidad en general, que aunque nos obligue a ver algún anuncio, en general no genera ningún perjuicio al usuario y, son las empresas que contratan la publicidad las que se ven perjudicadas con un importante coste en visitas que no tienen ningún tipo de interés por lo publicitado.

En el caso de las empresas que se dedican a ofrecer servicios SMS Premium o Alertas SMS, generalmente, se ofrece un anuncio o varios anuncios para insertar en la web, se da la opción de que sea el webmaster el que redacte y/o envíe los SMS, o que sea un sistema automático el que los envíe en función de una serie de categorías (como podría ser chistes, noticias, logos, etc...).

En el momento de introducir el número de teléfono, debe insertarse un texto en el que se indica todas las condiciones, pero... como el webmaster sabe que el usuario no pondrá el número de teléfono si lee el mensaje, generalmente suele ponerlo al final de la página (en una posición que muchas veces queda fuera de la zona visible a simple vista), o en un color tan parecido al color de fondo que cuesta trabajo apreciarlo a simple vista, lo inserta como parte de una serie de pasos para poder acceder a algún contenido, de modo que el usuario a ir buscando el contenido indicado pasa rápidamente por el paso sin prestarle gran atención, etc...


Una vez que se ha introducido el teléfono, te llega un mensaje con un código que al ser insertado te dará acceso al contenido (al menos en teoría), pero que en realidad ha servido para que la empresa que ofrece el servicio SMS Premium o Alerta SMS, confirme que estás de acuerdo en la suscripción al servicio.

De este modo, te habrás dado de alta y confirmado tu consentimiento sin saber exactamente como ni cuando lo has hecho, ya que el ser un paso en el proceso queda algo difuminado en el recuerdo, aunque la próxima vez que lo veas, si que te dará hasta grima.

Como en el caso de la publicidad convencional, la persona que te ha suscrito se lleva un porcentaje de los beneficios, pero en este caso, y mientras los usuarios se dan de baja, o no, son unos ingresos mensuales bastante más importantes que los recibido por publicidad.

Aún, si te das cuenta de inmediato y conoces el mecanismo para darte de baja, te habrán enviado el mensaje de alta, un par de mensajes promocionales y habrás tenido que enviar los mensajes correspondientes para darte de baja y confirmar que te quieres dar de baja, en total la broma te puede salir unos 10€ sin que hayas estado de alta más que unos minutos, de los cuales el timador se llevará su porcentaje.

Este tipo de timos existen desde hace bastante tiempo, pero el uso de las redes sociales y la facilidad de suplantar a un usuario en redes como Facebook hacen que se propaguen con extrema rapidez, más aún cuando el mensaje que reciben los usuarios proceden de un amigo o conocido en el que confían. Esto podría evitarse, desde la propia red social, si se preocuparan un poco por comprobar las aplicaciones que desarrollan los usuarios.

Compártelo con tus amigos