Captación de mulas para phishing

Los delincuentes del phishing están especializados y trabajan con una organización sistematizada.

Unos trabajan hackeando sitios web y poniéndolos a disposición de la organización.
Los siguientes utilizan sitios web hackeados para poner las páginas web que simulan ser las de una entidad financiera, y en la que se instalan los programas que recogen las passwords y los códigos de tarjetas de barcos.
Mientras, otros van obteniendo direcciones e-mail con técnicas de spammer, en ocasiones a través de virus especializados que husmean en los ordenadores de sus víctimas.
Los expertos en e-mail usan sus conocimientos para hacer llegar diferentes tipos de mensajes a diferentes tipos de víctimas-incautos, sin que los bloqueen los filtros antispam ni los filtros antiphishing.
Uno de los mensajes tipo es el destinado a engañar a los clientes de una entidad financiera en cuyo nombre se emiten los mensajes. El tono de la redacción de los mensajes no suele ser el que utilizaría una entidad financiera, y muchas veces las frases no están correctamente redactadas en la lengua en la que opera la entidad financiera y eso hace que frecuentemente sea relativamente fácil detectar el phishing a quien sabe de qué va eso. Sin embargo cada vez las técnicas de suplantación son más perfectas y los diseños de los email más profesionales.
Los responsables de los webs-zombie (los que van captando las passwords en webs hackeados) hacen llegar los datos de acceso a las cuentas bancarias a otros miembros de la organización.
Estos acceden a las cuentas con los datos obtenidos y envían transferencias a cuentas bancarias de las "mulas".
Las mulas envían el dinero (menos la comisión que se quedan por su "trabajo") a otro destinatario a través de entidades remesadoras de envío de dinero en efectivo en las que se deja relativamente poco rastro.
La captación de mulas se hace por otra modalidad de mensajes tipo. En estos mensajes, el remitente dice trabajar para una multinacional "prestigiosa" y señala que has sido "seleccionado" para desempeñar un trabajo honrado y sencillo, recoger la recaudación de las facturas de los productos que exportan a tu país y enviársela a su organización. Algo, desde mi punto de vista, tan sospechoso, que sorprende que gente formada se lo haya creido y se haya prestado a ello. Y, por supuesto, haya sido detenida por la policía, al ser el primer elemento de la cadena de movimiento de dinero de la organización, con la identificación de la cuenta proporcianada por el defraudado.

Para que veais el ingenio de estos tipos, os adjunto un mensaje que envían en modo gráfico, de forma que puedan soslayar la técnica de análisis de palabras de los filtros antispam.

Captacion de mulas

IBSN: Internet Blog Serial Number

Deja un comentario

Ya tengo mi ptopio IBSN, Internet Blog Serial Number.

Es el 1424-61-08-31. Lo del 1424 es INZA pasando las letras a números.

He aquí el mensaje obtenido con los enlaces para ello:

El IBSN solicitado se ha registrado con éxito. Por favor, incluye una reseña en tu blog al respecto, con un enlace a este sitio para que otras personas conozcan la iniciativa.
Se ha guardado la información siguiente:

Nombre del blog: Todo es electrónico
URL: https://inza.wordpress.com
IBSN: 1424-61-08-31

Gracias a Jarfil's Blog puedes poner el siguiente código de barras en tu blog.
Recuerda que debes guardar la imagen (presiona con el botón derecho del ratón) y subirla a tu blog. Puedes incluir un enlace junto con la imagen con el siguiente código:

<a href="http://www.hewop.com/~ibsn"><img src="Lugar donde guardes la imagen" alt="IBSN: Internet Blog Serial Number 1424-61-08-31" /></a>

Si deseas el código de barras en otro formato, puedes conseguirlo en http://jarfil.info/ibsn.php?ibsn=1424-61-08-31

Los proveedores de organismos públicos deberán facturar telemáticamente

Deja un comentario

Aunque era un rumor que circulaba estos meses, especialmente tras plantearse la transposición al ordenamiento jurídico español de las Directivas sobre contratación pública del año 2004, hoy hemos tenido la confirmación por boca de D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información .

Noticia 5 dias

La noticia adjunta ha sido obtenida del periódico económico Cinco Días de 14 de junio de 2006, aunque ha tenido eco en casi toda la prensa.

Entre los medios internet, pueden mencionarse:

http://derecho.vlex.com/actualidad/doc_313191,c_01,00.html

http://www.netydea.com/nweb/web-v2/spinformacion/index_informacion.asp?idinformacion=14689

http://www.abc.es/20060614/tecnologia-tecnologia/factura-electronica-sera-obligatoria_200606140328.html

http://www.laflecha.net/canales/e-administracion/noticias/200606141/

http://www.elmundo.es/navegante/2006/06/14/empresas/1150273622.html

http://www.consumer.es/web/es/tecnologia/2006/06/14/152972.php

http://www.finanzas.com/id.9082295/noticias/noticia.htm

http://www.plus.es/codigo/noticias/ficha_noticia.asp?id=550773

http://www.20minutos.es/noticia/130866/0/factura/electronica/telecomunicaciones/

Moción del PSOE en el Senado para que el Gobierno impulse la digitalización y la factura electrónica

Deja un comentario

El Pleno del Senado debatió el martes 23 de mayo de 2006 una moción del Grupo Socialista por la que instó al Gobierno a tomar «las medidas necesarias para el impulso y aplicación de las Tecnologías de la Información y las Comunicaciones (TIC) en las Pymes», más en concreto, la digitalización y promoción de la factura electrónica.

El portavoz socialista en la Comisión de la Sociedad de la Información y del Conocimiento y autor de la moción, Félix Lavilla, destacó que los objetivos principales de la línea de pymes del Plan Avanza son la mejora de la productividad y el aumento de la competitividad del tejido formado por las pequeñas y medianas empresas españolas, aproximándolo a niveles europeos mediante la incorporación de las TIC.

Con la redacción de esta propuesta, el PSOE «subraya la necesidad de impulsar el desarrollo del negocio electrónico y mejora de la competitividad, apoyando a la innovación y la incorporación de tecnologías de la información y las comunicaciones específicamente diseñadas para cada sector».

El parlamentario socialista subrayó la importancia de llevar a cabo la implantación efectiva de la facturación electrónica, «especialmente en la pequeña y mediana empresa». En este sentido, añadió Lavilla, uno de los grandes objetivos del Plan Avanza es alcanzar la cifra de 800.000 empresas que incorporen la facturación electrónica entre sus procesos habituales en 2009.

A su juicio, la implantación de la facturación electrónica tendrá un triple efecto beneficioso. «Por una parte, contribuirá a la correspondiente mejora, simplificación y racionalización de los procesos empresariales; representará un ahorro en costes para la empresa y para la sociedad, y actuará como gran proyecto tractor impulsor del concepto de «apagón analógico» en los procesos empresariales», resumió.

«España se sitúa entre los países con un menor grado de adopción de las TIC por parte de las Pymes», recordó Lavilla, para quien esta situación de retraso tecnológico del tejido de las pequeñas empresas «viene motivada principalmente por la falta de formación e información acerca de las nuevas tecnologías, generándose una escasa percepción de su utilidad en la aplicación a los diferentes procesos productivos».

El algoritmo de hash del DNI electrónico

7 respuestas

Estos días he leido muchas tonterías (a mí me lo parecen) sobre si el SHA-1 es malo y lo único bueno es el SHA-256 y sobre lo que esto implica en el nuevo DNI electrónico.

Lo cierto es que desde hace unos pocos años, algunas personas afirman de oidas que se ha roto el MD-5 o el SHA-1.

Lo que ha sucedido es que se ha demostrado que la probabilidad de encontrar dos documentos distintos con el mismo hash, siendo muy pequeña, es menos pequeña de lo que se sospechaba cuando se diseñó el algoritmo.

Con esto en mente, podemos afirmar que no es cierto que unos algoritmos de hash sean buenos y otros malos, así sin más.

En todo caso, no hay algoritmos buenos, sino más o menos vulnerables a determinados tipos de ataque.

Y, desde luego, la mejor opción es utilizar 2 algoritmos de hash simultáneamente.

Lo que esto quiere decir es que si, sumando casualidades, somos capaces de generar un documento que tiene una información que nos interesa y con el que queremos sustituir a otro para el que se ha calculado el Hash, habremos conseguido que el hash firmado para el documento sustituido ampare al documento con el que lo sustituimos.

En general, en documentos estructurados esto es imposible incluso con mecanismos de hash "·malos" porque es importante preservar la legibilidad y consistencia del documento. No es lo mismo con ficheros gráficos o con ficheros que tengan áras de "pad" (de manipulación) porque es posible manipular esas áreas o los bits menos significativos del gráfico hasta que el fichero entre por el aro (lo que tampoco es nada fácil).

De todas formas, cuando existen dos algoritmos de hash simultáneos, lo que podamos hacer para "arreglar" el fichero de cara a un Hash, nos lo "descojona" de cara al otro.

En definitiva, el certificado incluido en el DNI electrónico es lo suficientemente seguro ya que el hash generado con SHA-1 implica que no es posible generar otro certificado con el mismo aspecto y cambiando algunos datos según nos interese. Pero ya es la releche al volver a firmar por la CA el SHA-256 del mismo contenido. Aunque no podamos utilizarlo ni con Internet Explorer, ni con Opera, ni con Firefox. Es, desde luego, INFALSIFICABLE.

Otro aspecto distinto es la manera en la que firmemos nosotros nuestros documentos con el DNI electrónico. Ahí sí que podemos hacer lo que queramos. Por ejemplo, desarrollar por nuestra cuenta un programa de software que utilice formatos no estándar al cifrar y al descifrar (firmar y comprobar la firma), y que emplee MD-4, MD-5, SHA-1 y SHA-256 simultánemaente.

A ver si vamos a ser muy paranóicos con las gilipoyeces y luego no comprobamos si el certificado está revocado o no.

Más sobre el nuevo tipo de fraude en comercio electrónico

2 respuestas

Como e introducido en el post anterior, asistimos a una nueva modalidad de ataque a tiendas virtuales,que usa las mismas técnicas que el crimen organizado ha creado para el phishing: la contratación de "mulas".

Hasta hace poco tiempo los mails que ofrecían trabajo desde casa se concentraban en ofrecer compensaciones "laborales" por llevar a cabo unas cuantas transacciones económicas: transferencias a determinadas cuentas por empresas remesadoras, y recepción de pagos "de clientes" en cuentas bancarias propias.

Aunque parece increible que haya gente que se crea la historia (sobre todo en aquellos primeros e-mails tan cutres, últimamente el aspecto ha mejorado mucho), lo cierto es que personas de cierto nivel cultural (y usuarios frecuentes de internet) han sido detenidas por su participación "involuntaria " en las redes de fraude "phishing" y en el posterior "blanqueo" de dinero.

Esta técnica se extiende ahora, y las ofertas para "trabajar desde casa" incluyen la gestión de "paquetes enviados por los clientes" de la "empresa" que ofrece el trabajo (no olvidemos que lo normal es enviar paquetes a los clientes, no al revés).

Estos "paquetes" son los que contienen los productos que las empresas de comercio electrónico envían engañadas a destinatarios aparentemente fiables. A las tiendas debería hacerles sospechar la adquisición de pedidos tan grandes y el hecho de que en ellos pidan incluir teléfonos móviles y otros objetos de alto valor y fácil reventa.

En definitiva, el crimen organizado en guerra contra el comercio electrónico, que tiene menos medios para reaccionar que las entidades financieras.

Como muestra, mirad el tipo de e-mail que envían para captar "mulas":

You might have noticed how the recent changes of all kinds influence your life. Constant growth of prices, low wages, employment problems. If you aren't satisfied with your present income or it doesn't comply with your capabilities; If you constantly lack money; If you want to better your financial status or you are just looking for a part-time job, then this job is what you need. Consider the advantages of the work we offer: Extra incomeYou might have noticed how the recent changes of all kinds influence your life. Constant growth of prices, low wages, employment problems. If you aren't satisfied with your present income or it doesn't comply with your capabilities; If you constantly lack money; If you want to better your financial status or you are just looking for a part-time job, then this job is what you need. Consider the advantages of the work we offer: Extra income
Minimal expenses and no expenditures at all (only I-net and e-mail)
The easiness of work. – Possibility to combine this work with your occupations (you just need to check your e-mail several times a day) For this work you don't need a special education possessing some special skills or knowledge possessing storehouse, office, special equipment.
The job we offer is related to mail. It is an easy job which doesn't require leaving your main occupation. You will have to receive to your home address parcels from our clients and ship them out further following our manager's instructions ($30 for each shipped out box). Contact us by e-mail and you will be sent a list of vacancies available at the present time. You work will be paid for without any delays.
You may work with several orders at a time as well as work with each one separately

Nuevo tipo de fraude contra las tiendas virtuales

1 respuesta

Un nuevo tipo de fraude de las mafias del phishing se empieza a ver por España (y, con toda probabilidad, por todo el mundo), esta vez dirigido contra las tiendas virtuales.

Los defraudadores se dirigen por e-mail a la tienda ofreciendo hacer un pedido grande, y, al mismo tiempo pidiendo lotes de otros productos que la tienda no vende, como teléfonos móviles.

La credibilidad que tiene para una tienda el hecho de que se dirijan a ella juega a favor del defraudador.

Lo que nos debe hacer pensar es la petición de objetos que no sean típicos de nuestro negocio.

Este tema lo ampliaré próximamente porque me están llegando detalles de algunos amigos sobre el "modus operandi" de los delincuentes y detalles para reaccionar de la forma correcta.

Conclusiones del III Foro de las Evidencias Electrónicas

4 respuestas

El Foro de las Evidencias Electrónicas surgió hace más de dos años con el objetivo de generar seguridad jurídica en el ámbito de las transacciones electrónicas, el intercambio de documentos y la creación y comercialización de contenidos que se generan diariamente en la Sociedad de la Información. Desde entonces, sus miembros han mantenido una comunicación permanente y numerosos debates a través de un foro electrónico, así como reuniones presenciales que han contado con la participación de expertos de reconocido prestigio en nuevas tecnologías y seguridad jurídica.

Conclusiones1- Es necesario seguir trabajando en la implementación del DNI electrónico, ya que se ha revelado como una herramienta fundamental y eficaz para generar seguridad en la red.

“Actualmente no existe seguridad jurídica en Internet y esta situación afecta cada vez a más personas. El DNI electrónico es una herramienta muy eficaz para garantizarla. En nuestro país, está cobrando una mayor relevancia (actualmente existe 5.000 documentos electrónicos en circulación), pero todavía es necesario un fuerte impulso por parte de todos”.

2- Es importante que todos apoyemos la lucha contra la vulneración de los Derechos de Propiedad Intelectual. Mañana nos puede afectar a nosotros.

“La ciberdelincuencia es un fenómeno cada vez más inquietante. El grado de tolerancia que existe hoy en día en la sociedad sobre algunas formas de ciberdelincuencia, como la descarga de música y vídeo por Internet, es prácticamente absoluto. Es necesario que la sociedad asuma nuevas responsabilidades y ofrezca una respuesta moral y ética a este problema”

3- A pesar de lo mucho que hay que hacer es indiscutible el avance tecnológico, legal y cultural que ha experimentado nuestro país.

“Es incuestionable que en los últimos años, España ha realizado importantes avances tecnológicos. Sin embargo, si nos comparamos con otros países de la Unión Europea y, sobre todo, con EE.UU. todavía queda mucho por hacer. Existe un déficit tecnológico que necesita de un esfuerzo titánico por parte de todos. Si no, corremos el riesgo de que España se quede en un país de segunda y tercera fila”

4- Publicaciones como la ‘Guía para tu seguridad en Internet’, elaborada por el Foro de las Evidencias Electrónicas, contribuyen a paliar los riesgos presentes en la red.

"Esta guía está editada en forma de díptico y tiene un carácter muy divulgativo, siendo una iniciativa novedosa su publicación en España. Incluye recomendaciones y consejos de fácil aplicación y gran utilidad para garantizar la seguridad de los usuarios en Internet que hoy en día superan en nuestro país casi los catorce millones de personas".

El proceso monitorio en el cobro de facturas

10 respuestas

El proceso monitorio, introducido en España con la publicación de la Ley de Enjuiciamiento Civil del año 2000, convierte casi instantáneamente las facturas impagadas en sentencias que obligan al pago de la deuda, sin requerir los servicios de un abogado, y siempre que las cantidades adeudadas no superen los 30.050 euros.

El monitorio comienza con la presentación de una solicitud –que se puede formular rellenando un impreso y sin la intervención de abogado ni de procurador- en la que se reclama, con un apoyo documental, una cantidad concreta y exigible de dinero (a diferencia de otros países, como Alemania o Austria, en los que basta con la simple afirmación del peticionario, sin necesidad de acompañar documento alguno)
Presentada dicha petición, se sitúa al deudor en la necesidad de optar: o paga o se opone a la reclamación.
Si decide no pagar y no se opone en el plazo señalado por la ley (veinte días), se tiene por cierta la petición realizada por el acreedor y se inicia la fase de cobro forzoso de la deuda.
Si, por el contrario, se opone a la reclamación efectuada, finaliza el proceso monitorio y se reconduce al juicio verbal que corresponda.

Por la amplitud de documentos que permiten el acceso al proceso monitorio, de los que casi siempre dispondrá el acreedor, es indudable que un gran número de reclamaciones encontrarán en él un vehículo adecuado.

Estos documentos no tienen por qué ser públicos o auténticos: vale todo documento, cualquiera que sea su forma y clase o el soporte físico en que se encuentren, que aparezcan firmados por el deudor o con su sello, impronta o marca o con cualquier otra señal, física o electrónica, proveniente del deudor, así como las facturas, albaranes de entrega, certificaciones, telegramas, telefax o cualesquiera otros documentos que, aun unilateralmente creados por el acreedor, sean de los que habitualmente documentan los créditos y deudas en relaciones de la clase que aparezca existente entre acreedor y deudor.

_{(Fuente: Ministerio de Justicia)}

30 de mayo. III Foro de las Evidencias Electrónicas

2 respuestas

Hoy se celebra este evento anual. Confío en veros dentro de un rato en el Hotel Ritz.