Archive

Archive for the ‘Fraude’ Category

Como reducir los asaltos express y vivir más seguro.

octubre 12, 2010 Deja un comentario

Los asaltos mediante secuestros express al igual que cualquier delito dependen exclusivamente del factor costo – beneficio para el perpetrador , es decir, la percepción de costo (en este caso riesgo) que tiene el asaltante respecto al beneficio que obtiene al cometer el delito.

En Bolivia, por diferentes factores ajenos a nuestro objetivo en la columna, el riesgo de ser apresado y sentenciado es menor comparativamente al “beneficio” (Cantidad de dinero) que se obtiene en un asalto de este tipo.

Si bien la recomendación de la policía de no portar tarjetas de débito reduce la cantidad de dinero que se puede obtener con un asalto, no es de ninguna manera una solución práctica para los clientes pues el uso de cajeros automáticos y puntos de venta se hace cada vez más necesario.

La solución real está en los límites que todo usuario puede poner al retiro máximo por día de un cajero automático. Tú puedes hacerlo, y todos los bancos en Bolivia te brindan la posibilidad de reducir este límite de retiro máximo diario a uno que se adecue a tus necesidades mínimas. De esta manera habrá reducido el factor “beneficio” (el tamaño del botín) de la ecuación y los asaltos de este tipo se verán mermados, y por consiguiente tu propia seguridad mejorará drásticamente.

ACS

(Articulo publicado en el Periodico ZonaSur, 1 Octubre, 2010)

El primer “virus” diseñado para destruir físicamente una planta nuclear

octubre 4, 2010 Deja un comentario

Expertos en seguridad han identificado la primera súper arma cibernética diseñada específicamente para destruir un y objetivo del mundo real, una fábrica, refinería planta nuclear.
El gusano cibernético llamado Stuxnet, es algo completamente nuevo dentro del mundo de la guerra cibernética pues ha sido creado específicamente para destruir algo físico. La aparición de Stuxnet ha causado altísimo revuelo en la comunidad de seguridad de sistemas pues es extremadamente complejo y utiliza solamente el acceso por lo que conocemos como memoria flash, para instalarse y tomar control de sistemas de control industrial.
A la fecha, y en menos de tres meses el virus ha infectado al menos 45,000 sistemas de control industrial en todo el mundo, siendo los principales afectados centrales de distribución de energía.
En estos días la noticia se torna aún más alarmante dado que expertos en seguridad confirman que el virus es esencialmente un misil cibernético de altísima precisión de búsqueda y destrucción de un objetivo del mundo real . El objetivo todavía es desconocido, sin embargo ya existen varias teorías respecto a que este sería la nueva planta nuclear de Irán llamada Bushehr.

Roban 9.5 Millones de dólares usando el gusano Zeus

septiembre 30, 2010 Deja un comentario

 

Así es, la policía en Gran Bretaña ha restado 19 individuos que son parte de una organización criminal que usó el troyano Zeus para robar 6 millones de libras esterlinas de cuentas bancarias en Gran Bretaña.

 

La unidad central de la policía contra el crimen electrónico considera que este monto subirá considerablemente mientras vayan avanzando las investigaciones. Esto es sólo la punta del iceberg.

Le recuerdo que Zeus, también conocido como Zbot es el malware más diseminado en Internet hoy en día, este troyano típicamente es diseñado para robar información de cuentas bancarias de sus víctimas.

 

Identificado ya el 2007, CEU sigue activo y durante esta semana ha sido intensamente utilizado para robar usuarios y claves para acceso a cuentas bancarias , con la novedad de hacerlo específicamente para cuentas accesadas vía teléfonos celulares.

 

La ingeniería social utilizada para este delito viene a través del correo electrónico con un invitación para unirse a la red Linkedln de algún amigo, si uno abre el correo y hace clic en el enlace que éste ofrece, el seleccionado hace una página que te da el mensaje “por favor espere……………. en proceso de acceso” , es en este punto en que Zeus es instalado en la computadora del usuario y se prepara acá para capturar la información de las cuentas, luego envía al usuario una página Google y reporta un error la configuración del navegador que impide el acceso a la página Linkedln

 

Este tipo de delito es particularmente dañino, porque diferencia de la banca de consumo en cajeros automáticos no existe un seguro que proteja las cuentas.

 

Alvaro

 

 

 

 

 

Categorías:Fraude

Te espian a traves de tu celular

septiembre 30, 2010 Deja un comentario

Así es, tú puedes estar entre las ya muchas personas que tienen instalado un software espía en celulares tipo Smartphone (BlackBerry, Android, IPhone, WM, Symbian), pues se encuentran disponibles, piezas de software que al ser instalados en estos dispositivos pueden:
Registrar cada mensaje, incluido contenido, tipo SMS enviado o recibido, el 100% de las llamadas salientes y entrantes, los sitios web que visitaste desde tu teléfono. Y si lo tienes habilitado también puede informar de tu posición geográfica en todo momento.
Luego de que el software está instalado en el celular a espiar este grabará todas las actividades arriba citadas y luego enviará esta información de forma totalmente silenciosa a un sitio de Internet donde la persona que configuró el software podrá ver todos los detalles luego de colocar su usuario y password.
Si bien este software ha sido creado con la finalidad de controlar y evitar la fuga de información de empresas, está siendo utilizado ampliamente para fines menos “de negocio” pues tiene bastante éxito entre quienes espían a su conyugue o quienes quieren asegurarse que sus hijos solo usan el teléfono en horarios y para fines permitidos.
Como puedes evitar ser espiado con este software? y, tal vez aún más importante, como darte cuenta si ya lo eres? . Lo veremos en nuestra siguiente columna

Alvaro Cuadros

Vishing y Smishing

septiembre 7, 2010 Deja un comentario

Conceptos:

Vishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utiliza la voz (por ello la V de Voice en la palabra)

Smishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utilizan los mensajes cortos de texto vía celular SMS.

El modus operandi es el siguiente, el cliente de la entidad financiera (banco, mutual, cooperativa, etc), recibe una llamada (en el caso de vishing) o un mensaje de texto en su celular (en el caso de smishing), pidiendo se contacte a u numero especifico para regularizar los datos que se tienen registrados.

Si el cliente llama o mensajea al numero entregado con intenciones fraudulentas, una maquina contestadora, luego de identificarse como un servicio de voz o SMS,  le pedirá ingrese sus datos de acceso ya sea a banca por internet o banca móvil.

Listo, el delincuente tiene los datos con los que puede realizar transferencias entre cuentas y vaciar la cuenta del cliente.

Tendencias y enfoques de contención de ataques:

Lo complicado en este caso, es que algunos bancos, realmente utilizan contestadores que llaman para promociones, o envían SMS’s instándote a llamar para algún tema (en un intento precisamente de evitar el pishing).

En todo caso, las recomendaciones son las habituales para este tipo de cosas:

  • Desconfía en todo caso si en el correo te piden alguna información, o si el mensaje no es claro.
  • Colgemos y llamemos nosotros. Utilizar siempre números de teléfono de nuestra confianza, los habituales en nuestra relación con la compañía. Si el banco dispone de un teléfono de atención, llamemos nosotros siempre a ese número y confirmemos la llamada recibida. En la web del banco o de la compañía (por supuesto, la web que conocemos, no la que ponga el correo) suele aparecer un número de teléfono de atención al cliente.

En estos casos la educación del cliente sigue siendo el mejor remedio. Sin embargo nuestra responsabilidad como profesionales de seguridad esta en la adecuada protección de las bases de datos de clientes, pues estos ataques son mucho menos efectivos si son genéricos.

Alvaro Cuadros

Certified Information Systems  Security Professional

5 consejos para evitar la clonación de tarjetas (Skimming)

septiembre 3, 2010 Deja un comentario

1. Definir estándares para toda terminal

Incluya siempre estándares visuales en los ATMs y terminales de punto de venta (POS), y mantenga los mismos en todas las sucursales. Tome fotografias del equipo, por dentro y fuera. Muestre a todos los empleados como deben verse los equipos que no han sido violados, de tal manera que cuando se examine un ATM o POS sea para el empleado una tarea muy fácil y rápida el detectar problemas.

2. Use un enfoque de seguridad por capas.

Los bancos deben instalar una serie de capas de seguridad para proteger la información de las tarjetas, si esta debe ser almacenada esta debe estar encriptada, tanto en su almacenamiento como en transito. Una segmentación adecuada de la red también ayuda de manera importante en la reducción del riesgo.

3. Responda RÁPIDAMENTE a incidentes de skimming

El skimming en ATMs es cada vez mas comun en Bolivia, por lo que los bancos deben estar listos para enfrentar este delito. En primer lugar los bancos deben diseñar esquemas de respuesta ante incidentes para reaccionar rapidamente. Estos esquemas deben incluir desde los contactos que deben tomar acciones al respecto, hasta las tareas especificas que deben realizarse. Si se encuentra un dispositivo de skimming TODOS los emplados deben saber que hacer y como reaccionar, Educar a lso empleados de agencias y sucursales es fundamental.

Asegurese que lso empleados monitoreen los ATMs en busca de dispositivos o residuos de estos. Usualmente encontraran al menos la goma que fue utilizada en la boca del tarjetero.

4. Use CCTV

En Bolivia el uso de camaras es un requerimiento de la Autoridad de Supervision (ASFI), sin embargo, la tarea para el personal de seguridad no termina en la instalacion de estos equipos. Debe asegurarse en todo momento la calidad de las imagenes asi como el resguardo adecuado de los respaldos de las imagenes que estas camaras entregan.

5. Asegurese de cumplir con el estandar PCI.

Lea el estandar en detalle, y asegurese que su institución cumpla con el mismo en su totalidad. Ahorrara mas dinero y tiempo del que invierte en lograrlo.

Saludos,

Alvaro Cuadros
Certified Information Security Professional