Ejecutar ficheros MHT en Internet Explorer podría permitir el robo de archivos y de información en equipos Windows

publicado en: Noticias | 0

Gravedad: MEDIA.

Recursos afectados: Están afectados todos aquellos equipos con el sistema operativo Windows y que tengan instalado Internet Explorer, incluida la última versión, y abran archivos MHT por defecto.

Descripción: Abrir ficheros MHT en el navegador Internet Explorer podría permitir a un atacante robar archivos de los sistemas Windows así como obtener información relevante sobre otros programas instalados en el equipo.

La vulnerabilidad reside en la forma en que Internet Explorer procesa los archivos MHT. Este tipo de archivo es el estándar usado por defecto por Internet Explorer para guardar páginas web al usar el comando «CTRL + S (Guardar página web)».

Mediante un archivo MHT especialmente diseñado, un atacante puede aprovechar esta vulnerabilidad para exfiltrar archivos locales, así como obtener información relevante sobre los programas instalados en el equipo y las versiones de los mismos.

Solución: Se aconseja al usuario hacer uso de otro navegador hasta que Microsoft corrija el fallo y publique una actualización de seguridad.

En cualquier caso, se recomienda navegar por páginas seguras y no abrir nunca ficheros de origen desconocido, incluso si provienen de contactos conocidos, especialmente si cuentan con la extensión MHT.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

¿Microsoft te ha llamado sin haberlo solicitado?

publicado en: Noticias | 0

Gravedad: MEDIA.

La conocida estafa del supuesto servicio técnico de Microsoft ha vuelto, registrándose en los últimos meses un repunte de posibles víctimas que han sido engañadas recibiendo estos avisos y llamadas.
Cada vez son más los casos detectados en los que los ciberdelincuentes se hacen pasar por supuestos técnicos de Microsoft, ofreciendo falsos servicios de soporte técnico en nombre de esta compañía.

¿En qué consiste el fraude?

Se trata de un engaño bien estructurado. El primer objetivo de los ciberdelincuentes es lograr el contacto telefónico con su víctima potencial. Esta será la vía utilizada para solicitar y obtener acceso a nuestra información y dispositivo. Típicamente, la comunicación se iniciará por uno de los siguientes métodos:

  1. Recibimos una llamada directamente en nuestro teléfono. Al contestarla, los estafadores se identifican, en inglés o español, como un servicio de soporte técnico. Nos informan que nuestros dispositivos están es riesgo y es necesario realizar acciones urgentemente.
  2. Nos aparece un error en el navegador web, un aparente aviso del sistema u otra ventana emergente. Junto con el texto del aviso, se facilita un número de teléfono de ayuda para solucionar el problema.

Para dar mayor verosimilitud, es posible que se dirijan hacia nosotros por nuestro nombre o que ofrezcan alguna información sobre nuestro equipo. Si informamos de que no tenemos ordenador en casa, no cesaran en su empeño e intentarán que sigamos sus órdenes a través del teléfono móvil o tableta.

A partir de este punto, nos proporcionan una serie de instrucciones. Normalmente, comienzan indicando una serie de datos técnicos con la intención de dar mayor peso a la llamada. El siguiente paso es crucial: con la excusa de que se trata de un error muy serio que requiere tomar medidas urgentemente, se solicita la instalación de un programa de acceso remoto.

Estas herramientas permiten el control de un ordenador o un móvil a distancia. Son una solución muy útil para acceder remotamente a otros equipos a través de Internet. También pueden ser utilizados para conceder a una persona de confianza el acceso a nuestros dispositivos, si lo necesitáramos en un momento dado. Sin embargo, es necesario tener en cuenta que a través de estas herramientas se permite a un tercero el control sobre el dispositivo y acceso a toda nuestra información. Por este motivo, no debemos conceder acceso remoto a nadie salvo que estamos completamente seguros de que se trata de una persona conocida y de confianza.

¿Qué consecuencias puede tener?

Si tenemos en cuenta que permitir el acceso remoto es similar a que un desconocido se siente frente a nuestro equipo, son muchos los elementos que pueden verse afectados:

  1. Toda nuestra información almacenada queda expuesta. Nuestros documentos, fotografías, vídeos y el resto de archivos son accesibles y podrían ser sustraídos.
  2. Los servicios que estuvieran asociados también pueden verse afectados. Si almacenamos las contraseñas de acceso a las redes sociales o correo electrónico, el atacante podría acceder y realizar acciones en nuestro nombre sin consentimiento.
  3. La propia integridad del equipo puede verse deteriorada. Son comunes los casos en los que el falso soporte bloquea el equipo instalando un malware para posteriormente solicitar un pago para su desbloqueo.
  4. Daño económico. Si proporcionamos información de pago, como pueden ser las credenciales de la banca online o los datos de la tarjeta de crédito, podrían realizarnos cargos no autorizados.

Como se puede observar, la magnitud del daño que puede causar este tipo de fraude depende de la información que proporcionemos y los recursos accesibles desde nuestro equipo.

¿Cómo podemos saber que se trata de una estafa?

Bastaría con conocer que desde Microsoft, no se pondrían en contacto con nosotros salvo que expresamente hayamos solicitado que lo hagan.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

Detectada nueva campaña de phishing a ING

publicado en: Noticias | 0

Gravedad: MEDIA.

Recursos afectados: Todos los usuarios clientes de ING que reciban el correo electrónico, y hagan clic en el enlace y faciliten los datos de acceso a su banca online.

Descripción: Se ha detectado una campaña de envío de correos electrónicos fraudulentos de tipo phishing que suplantan a la entidad bancaria ING, con el objetivo de robar las credenciales de acceso de los usuarios que pinchen en el enlace. Para ello, utilizan como excusa que el usuario debe actualizar sus datos personales para poder continuar usando la banca electrónica.

En esta ocasión, los correos electrónicos detectados que suplantan a ING se identifican porque llevan el siguiente asunto: “Verificación de datos personales”. Es posible que se puedan estar utilizando otros asuntos de características similares.

El contenido del correo informa al usuario de que es necesario que actualice los datos personales asociados a su cuenta. Para ello, debe hacer clic en «Área de clientes» que le redigirá a una página web.

Solución: Si has recibido un correo de estas características, accedido al enlace y facilitado tus datos de sesión, así como información personal y bancaria, debes contactar lo antes posible con ING para informarles de lo sucedido.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

Intento de extorsión suplantando la identidad de la CIA por supuesta posesión de contenido pedófilo

publicado en: Noticias | 0

Gravedad: MEDIA.

Recursos afectados: Cualquier usuario que haya recibido el correo electrónico.

Descripción: Se ha detectado un envío masivo de correos suplantando la identidad de la CIA cuyo objetivo es engañar y extorsionar a la persona que lo recibe, acusándole de un supuesto almacenamiento y posesión de pornografía infantil. Los estafadores demandan una cantidad de dinero en bitcoins y si no se realiza el pago, amenazan al usuario con ser arrestado en un determinado plazo de tiempo.

Solución: Si has recibido un correo de estas características, ignóralo. Se trata de un intento de estafa y en realidad, no estás involucrado en ninguna investigación.

Si has accedido al chantaje y realizado el pago, recopila todas las pruebas de las que dispongas (capturas de pantalla, correo electrónico, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia. Para ello, puedes hacer uso de algún testigo online.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

Más de 200 apps infectadas en Google Play

publicado en: Noticias | 0

Gravedad: ALTA.

Recursos afectados: Se ven afectados aquellos usuarios que tengan instaladas, en su dispositivo, alguna de las aplicaciones incluidas en este enlace, entre las que se encuentran:

com.heavy.excavator.simulator.driveandtransport Snow Heavy Excavator Simulator 10,000,000
com.hoverboard.racing.speed.simulator Hoverboard Racing 5,000,000
com.zg.real.tractor.farming.simulator.game Real Tractor Farming Simulator 5,000,000
com.ambulancerescue.driving.simulator Ambulance Rescue Driving 5,000,000
com.heavymountain.bus2018simulator Heavy Mountain Bus Simulator 2018 5,000,000
com.firetruckemergency.driver Fire Truck Emergency Driver 5,000,000
com.farming.tractor.realharvest.simulator Farming Tractor Real Harvest Simulator 5,000,000
com.carparking.challenge.parksimulator Car Parking Challenge 5,000,000
com.speedboat.jetski.racing.simulator Speed Boat Jet Ski Racing 5,000,000
com.watersurfing.carstunt.racing.simulator Water Surfing Car Stunt 5,000,000
com.offroad.woodtransport.truckdriver Offroad Wood Transport Truck Driver 2018 5,000,000
com.volumen.booster.equalizer Volumen Booster and Equalizer 5,000,000
com.ks.prado.Car.parking.race.drive.apps Prado Parking Adventure 5,000,000
com.zg.offroad.Oil.tanker.transporter.truck.cargo.simulator Oil Tanker Transport Truck Driver 5,000,000

Descripción: Detectadas más de 200 aplicaciones infectadas por un código malicioso apodado como “Simbad”, que estuvieron disponibles en la tienda oficial Google Play. La funcionalidad principal del malware es mostrar publicidad y aunque las aplicaciones ya han sido eliminadas de Google Play, los usuarios que instalaron alguna de ellas, deberán eliminarlas manualmente.

Las aplicaciones fueron descubiertas por investigadores de la empresa de Seguridad Check Point. Se estima que las descargas de todas las aplicaciones han afectado a 150 millones de usuarios.

El malware ha sido apodado como “SimBad” debido a que las aplicaciones afectadas se tratan en su mayoría de juegos de simulación. Al instalarse, las apps están programadas para que se ejecuten automáticamente cuando se encienda el dispositivo o se desbloquee el teléfono. Al ejecutarse, muestran anuncios en los dispositivos afectados.

Además, el código malicioso cuenta con funcionalidades adicionales como, eliminar los iconos de las aplicaciones infectadas para hacer más difícil su desinstalación, mostrar notificaciones, abrir direcciones web, así como promocionar otras aplicaciones, entre otras cosas.

Solución: Desde Google ya se han tomado las acciones necesarias para eliminar las aplicaciones afectadas de Google Play, por lo que no existe riesgo de que se vean infectados nuevos usuarios.

No obstante, aquellos usuarios que ya hubieran instalado alguna de las aplicaciones, deberán desinstalarlas manualmente de su dispositivo. Como una de las funcionalidades del código malicioso es la de eliminar el incono de las aplicaciones del lanzador, para que sea más difícil de eliminar, se aconseja acceder a Ajustes -> Aplicaciones y revisar el listado completo de aplicaciones instaladas en el dispositivo para descartar que no se tenga instalada ninguna app de las afectadas.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

Los clientes del BBVA vuelven a ser posibles víctimas de un phishing

publicado en: Noticias | 0

Gravedad: MEDIA.

Recursos afectados: Cualquier usuario que sea cliente del BBVA y que acceda a las peticiones del correo electrónico malicioso.

Descripción: Se ha detectado una campaña de correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, cuyo objetivo es dirigir a la víctima a una página falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso y los datos de su tarjeta.

Los correos detectados en esta nueva campaña maliciosa que suplantan a la identidad del BBVA se identifican porque llevan el siguiente asunto: “Importante : Tenemos que actualizar tus documentos”. No se descarta que se puedan estar utilizando otros asuntos de características similares.

El contenido del correo informa al usuario que tiene que actualizar sus documentos para cumplir con una ley de prevención de blanqueo de capitales. Por eso, es necesario que realice ese trámite en un plazo de 8 días o de lo contrario suspenderán sus cuentas de acceso, tanto desde la app como, desde la web y no podrá realizar ingresos hasta que no realice la actualización.

Solución: Si has recibido un correo de estas características, accedido al enlace y facilitado tus datos de sesión así como información personal y bancaria, contacta lo antes posible con el BBVA para informarles de lo sucedido.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

Detectado un fallo de seguridad en las suites de ofimática OpenOffice y LibreOffice

publicado en: Noticias | 0

Gravedad: ALTA.

Recursos afectados: Equipos con sistema operativo Windows o Linux y que tengan instalado alguna de las siguientes suites de ofimática:

  • LibreOffice con versión anterior a la 6.0.7 o 6.1.3
  • OpenOffice 4.1.6 (última versión).

Descripción: Se ha descubierto un fallo de seguridad que afecta a los paquetes ofimáticos LibreOffice y OpenOffice que podría permitir a un atacante ejecutar código malicioso de manera remota o acceder a información confidencial de la víctima.

El investigador Alex Inführ ha descubierto una vulnerabilidad que afecta a OpenOffice y LibreOffice, principales suites de ofimática gratuitas alternativas a Microsoft Office.

Ambas suites permiten la ejecución de tareas automatizadas conocidas como macros (programa que se ejecuta al abrir el documento). Un atacante podría crear un fichero malicioso especialmente diseñado que hiciera uso de estas macros con el fin de ejecutar código malicioso o acceder a información confidencial en el dispositivo de la víctima.

Solución: LibreOffice recomienda actualizar a la última versión 6.0.7 o 6.1.4, disponible desde su página web oficial para corregir la vulnerabilidad.

En cuanto a OpenOffice, aun no ha publicado una actualización que corrija la vulnerabilidad, pero puedes aplicar la siguiente recomendación para mitigarla:

  • Renombrar o eliminar el fichero pythonscript.py ubicado en la ruta (\OpenOffice 4\program).

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

La última actualización de Windows Defender podría impedir el inicio de algunos de tus equipos

publicado en: Noticias | 0

Gravedad: MEDIA.

Recursos afectados: Equipos con sistemas operativos Windows 10 (Enterprise, Pro y Home) o Windows Server 2016.

Descripción: Desde Microsoft alertan que Windows 10 podría no iniciar en algunos equipos tras instalar la última de las actualizaciones mensuales de la plataforma antimalware Windows Defender.

Se trata de un fallo que afectaría a aquellos equipos que tuvieran la función Secure Boot (versión 4.18.1901.7) activa en la BIOS. Adicionalmente, esta actualización podría generar problemas debido a un cambio en la ubicación de la ruta del archivo de actualización, lo que provocaría que muchas descargas quedasen bloqueadas cuando se tiene habilitado el AppLocker, programa de control de ejecución de aplicaciones y archivos.

Solución: Según Microsoft se está trabajando en una solución al problema que publicarán en una actualización futura.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

Detectada nueva oleada de correos que extorsionan a usuarios

publicado en: Noticias | 0

Gravedad: MEDIA.

Recursos afectados: Cualquier usuario que haya recibido el correo electrónico con las características descritas en este aviso de seguridad.

Descripción: Se ha detectado una nueva campaña de correos electrónicos fraudulentos cuyo objetivo es extorsionar a los destinatarios de los mismos con un supuesto vídeo de contenido sexual. El ciberdelincuente amenaza con enviar dicho vídeo a los contactos de la víctima en 48 horas sino realiza el pago de una determinada cantidad de Bitcoins.

En esta nueva versión del fraude, los ciberdelincuentes falsean la dirección del remitente del correo, haciendo que parezca que el correo se ha enviado desde la cuenta del destinatario y además, en el campo asunto se incluyen referencias a la cuenta de la víctima.

En el cuerpo del e-mail, para dotar de mayor credibilidad al fraude, se le indica al usuario cómo se habría infectado su equipo. Supuestamente, habría accedido previamente a páginas de contenido sexual infectándose de esta forma con un malware que se habría descargado en el dispositivo. Dicho malware habría recopilado sus contactos de las redes sociales, cuentas de correo electrónico, así como información de otros servicios online. Además, también habría sido capaz de activar la webcam del ordenador para la grabación de vídeos cuando la víctima accediera a páginas de contenido sexual, generando los supuestos vídeos que se utilizan como extorsión.

Solución: Si has recibido un correo similar, ignóralo. Se trata de un intento de estafa y en realidad tu equipo no ha sido infectado con ningún malware. Tampoco han conseguido tus contactos, ni existe ningún vídeo.

Si has accedido al chantaje y realizado el pago de Bitcoins, recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia. Para ello, puedes hacer uso de algún testigo online.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE

Detectada una nueva campaña de phishing que suplanta a la Agencia Tributaria

publicado en: Noticias | 0

Gravedad: MEDIA.

Recursos afectados: Todos los usuarios que reciban el correo electrónico, accedan a la web maliciosa y faciliten sus datos personales y bancarios para obtener el supuesto reembolso.

Descripción: Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos en los que se suplanta a la Agencia Tributaria. El falso e-mail informa al contribuyente de que le corresponde un supuesto reembolso económico, y le proporciona un enlace a una web con un formulario cuyo fin es obtener su información personal y bancaria.

El correo detectado que suplanta la identidad de la Agencia Tributaria se identifica con el asunto “Nuevo mensaje || [Código Numérico]”. En dicho correo se comunica al destinatario que le corresponde un reembolso de 350.16 €.

Solución: Para evitar este tipo de engaños, la mejor recomendación es no introducir NUNCA datos personales, bancarios, o el número de teléfono móvil en páginas web de dudosa reputación, que no inspiren confianza. Mucho menos, si nosotros no hemos solicitado esta información.

En cualquier caso, si has sido víctima de esta suplantación y has facilitado tus datos personales en la página web maliciosa:

  1. Vigila periódicamente qué información tuya circula por Internet para detectar si tus datos privados están siendo utilizados sin tu consentimiento. Practicar “egosurfing” te permitirá controlar qué información sobre ti hay en la Red.
  2. Si tras realizar una búsqueda en Internet encuentras alguna información indebida o que no te gusta, tienes a tu disposición los derechos de acceso, rectificación, cancelación u oposición (ARCO) al tratamiento de tus datos personales. La Agencia Española de Protección de Datos te proporciona las pautas para que los puedas ejercer.
    Del mismo modo, si has proporcionado datos bancarios, debes contactar directamente con tu banco para tomar junto a ellos, las medidas de seguridad que correspondan, para evitar que te realicen cargos adicionales.

Finalmente, en caso de duda, consulta directamente con el organismo implicado, en este caso, contactando directamente con la Agencia Tributaria o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) a través de la Línea de ayuda en ciberseguridad de INCIBE 900 116 117.

Para leer la noticia completa haz clic en el siguiente enlace

Noticia vía: Oficina de Seguridad del Internauta (OSI) de INCIBE