• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / ONU, Cruz Roja y UNICEF afectadas por una campaña de phishing móvil

ONU, Cruz Roja y UNICEF afectadas por una campaña de phishing móvil

30 octubre, 2019 Por manualensan 1 comentario

Una campaña de phishing que utilizaba certificados SSL para suplantar webs de Office 365 y capturar pulsaciones de teclado, ha afectado a varias organizaciones de ayuda humanitaria.

La campaña estaría utilizando certificados SSL para firmar páginas de phishing dirigidas contra las Naciones Unidas, Cruz Roja estadounidense, UNICEF, Programa Mundial de Alimentos y diversas organizaciones de ayuda humanitaria. Las páginas de phishing simulaban ser páginas de login de Microsoft Office 365.

¿Dónde está la novedad? Que esta vez la campaña detectaba los teléfonos móviles y una vez que los detectaba, se activaba la función de registrar y capturar lo que el usuario escribía en su teclado. A este ataque se le denomina Keylogger.

Esto ha sido posible gracias a código JavaScript que permitía identificar si se estaba utilizando un teléfono móvil para visualizar el contenido y si así era, mostraba un contenido específico en cada caso. Además, los investigadores también se dieron cuenta que los navegadores web móviles, también ayudan involuntariamente a ofuscar las URL de phishing al truncarlas, lo que dificulta a las víctimas verificar la legitimidad de las páginas.

Los propios investigadores de Lookout hicieron mención a que este ataque demuestra cómo los teléfonos móviles se han convertido en un objetivo cada vez más emergente. Los investigadores alegan a que, en parte, puede deberse a las políticas de «Trae tu propio dispositivo» (Bring Your Own Device: BYOD), pues hace difusa la delgada línea entre «lo personal y lo profesional».

La función de registrar lo que se introduce por teclado residía en el campo de la contraseña de las páginas de login, de tal forma que con un simple JavaScript, se podría guardar lo que el usuario ha introducido, en este caso su contraseña.

El simple hecho de que ataques de este tipo hayan conseguido afectar a UNICEF, ONU o la Cruz Roja estadounidense demuestra cómo ha evolucionado el phishing y cómo se está sofisticando. Para este caso, el phishing era efectivo gracias a que el propio código de la página detectaba si se trataba o no de un smartphone y en la confianza que los usuarios tienen hacia el «candado verde» que solemos ver en las webs que visitamos.

No obstante, que una web tenga el «candado verde», no implica que sea segura, sino que los datos viajan (en tránsito) cifrados. Para ejemplificarlo mejor, hemos desarrollado una pequeña demo que puede ser muy similar al ataque que estamos exponiendo.

Para este caso, se ha creado una web de login muy simple a la que se le ha añadido un certificado SSL de Let’s Encrypt. Let’s Encrypt es un tipo de certificado SSL gratuito que cualquiera pued einstalar en su servidor utilizando el certbot y especificando su dominio. Su instalación es sencilla, rápida y totalmente gratuita, lo que demuestra que, no por tener un candado verde en la web, implica que la web sea segura «per se».

Al introducir los datos, registra todo lo que escribimos (incluida la tecla de Enter) en un archivo que se ha especificado previamente. Este ejemplo es una evidencia más de cómo de fácil lo pueden tener los cibercriminales a la hora de elaborar sus ataques para obtener información personal o confidencial.

Por otro lado, gran parte de los certificados emitidos por el creador de esta campaña de Phishing contra organizaciones de ayuda humanitaria ya han están caducados.

Desde Hispasec recomendamos que no se introduzcan datos personales tales como contraseñas o tarjetas de crédito en webs sospechosas o de las que no nos fiemos. Para garantizar que estamos ante una web benévola, podemos comprobar que el certificado emitido sea realmente de la entidad o de alguna entidad certificadora de fiar. En caso de seguir teniendo dudas, siempre se puede consultar con la empresa u organización para cerciorarnos de la validez de una determinada URL y además, alertar a la empresa afectada de una posible campaña de phishing contra ellos.

Más información
U.N., UNICEF, Red Cross Under Ongoing Mobile Attack
https://threatpost.com/un-unicef-red-cross-mobile-attack/149556/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Pentesting con FOCA

Hacking Windows

Arduino para Hackers

Publicado en: General Etiquetado como: Phishing, ssl

Interacciones con los lectores

Comentarios

  1. HelenaLaProfe dice

    5 noviembre, 2019 a las 1:02 pm

    CONCLUSIÓN ALUMNOS 2º SMR COLEGIO LA SALLE SAGRADO CORAZÓN:
    El simple hecho de que ataques de este tipo hayan conseguido afectar a UNICEF, ONU o la Cruz Roja estadounidense demuestra cómo ha evolucionado el phishing y cómo se está sofisticando. Nos ha sorprendido que se puedan utilizar fraudulentamente certificados SSl que nos daban cierta seguridad.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco afectada por ransomware Yanluowang

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...