Con el aumento de la popularidad de servicios de streaming ha surgido una nueva economía dentro de los ciberdelincuentes: la venta de lotes de cuentas “robadas” a través de phishing con acceso a esos servicios. Este aumento es debido tanto al crecimiento de su uso durante la pandemia, y a los precios. El coste de estos servicios , dependiendo de la situación económica de los países, puede llegar a ser considerados un lujo. El adquirir un acceso a los mismo a costes mucho más bajos, aunque sea de forma ilegal y en perjuicio de un tercero,…

(...)cuando una persona observa a simple vista un código QR no puede saber qué información está almacenada en él, o si la acción que podría realizarse automáticamente podría ser maliciosa: si una URL nos puede poner en la duda en muchas ocasiones, este sistema es aún mas opaco. Esto se traduce en que a día de hoy esto se ha convertido en otro posible vector más para phishing: alguien podría cambiar el código de la mesa de un bar para ver la carta por un código que busque las credenciales de una cuenta de algún servicio web en tu móvil...

Un estudio del Observatorio de la Seguridad Web recopiló datos sobre la seguridad de los emails de las instituciones públicas españolas, y recientemente ha publicado los resultados de su análisis. Y sus conclusiones resultan descorazonadoras: de los 772 dominios estudiados, sólo uno (¡1!) cuenta con medidas de seguridad que los protegen de las suplantaciones de identidad.

A principios de julio, el propio Instituto Nacional de Ciberseguridad (INCIBE) alertaba de los SMS que suplantan al BBVA para capturar nuestros datos, dándole una alta importancia de 4 sobre 5. Los afectados son aquellos clientes de las entidades por las que se hacen pasar los atacantes, en este caso el BBVA. Intentan suplantar al banco enviando SMS que llegan al mismo hilo donde están los mensajes originales. La recomendación como siempre es clara: nunca acceder desde un enlace recibido vía SMS.

Microsoft ha desvelado las técnicas de unos ataques de phishing que consiguen esconderse con formas poco conocidas como guiones y puntos en código Morse y cambiando sus técnicas de ataque cada 36 días. Tras un año de investigaciones, la división Security Intelligence ha publicado características de estos ataques dirigidos que se muestran normalmente bajo la temática facturas XLS.HTML en correos electrónicos.

Cuando enseñamos a la gente cómo evitar ser víctima de sitios de phishing, solemos aconsejar que se inspeccione de cerca la barra de direcciones para asegurarse de que contiene HTTPS y que no contiene dominios sospechosos como google.evildomain.com o letras sustitutivas como g00gle.com. Pero, ¿qué pasaría si alguien encontrara una forma de suplantar contraseñas utilizando un sitio malicioso que no contuviera estos signos reveladores? Un investigador ha ideado una técnica para hacerlo. La llama BitB, abreviatura de "navegador en el navegador".

Yuga Labs, el creador de Bored Ape Yacht Club o BAYC, está investigando un ataque de phishing después de que un hacker robara casi 2,5 millones de dólares en NFTs a través de la cuenta oficial de Instagram de Bored Ape. La compañía reveló el hackeo mientras advertía a sus seguidores que no hicieran clic en enlaces a nombre de BAYC ni acuñaran nuevos tokens.

2021 fue el año del phishing por SMS y en 2022 la cosa no ha amainado. Flubot fue el ejemplo más devastador de lo que los atacantes podían llegar a conseguir al hacerse pasar por compañías de mensajería: en meses consiguieron 60.000 teléfonos infectados, que contribuyeron, como veremos, a un daño mucho mayor. Después de la mensajería, llegaron los SMS de entidades bancarias, supermercados y muchas otras variantes. Con todo ello, siempre surgía la misma pregunta: sabemos cómo nos atacan y por qué, pero ¿cómo tienen nuestros números?

Un delincuente suplantó la identidad de una tienda en la plataforma y la víctima compró un producto que no existía por 1.650 euros. El defraudador repite su estrategia a menudo

El Juzgado de Primera Instancia número 2 de Badajoz ha condenado al Banco Santander a reintegrar a un cliente pacense los 7.814,48 euros que le fueron sustraídos de su cuenta corriente mediante la técnica conocida como ‘phishing’: suplantaron su identidad, accedieron a sus contraseñas, clonaron su tarjeta y realizaron compras y retiradas de dinero en efectivo en cajeros a su cargo de manera fraudulenta por esa cantidad de dinero.

La Oficina de Seguridad del Internauta alerta de que ese mail es una estafa para instalar un malware.

El pirata informático accedió a las interfaces de llamada de procedimiento remoto (RPC) de Polygon y Fantom a través de la plataforma de infraestructura Web3 Ankr engañando a un proveedor de sistema de nombres de dominio (DNS) de terceros para que le diera acceso al pirata informático a los dominios de Polygon y Fantom. El DNS de Ankr está alojado en un servicio web llamado Gandi, y su atención al cliente tiene una sección para los clientes que desean cambiar el correo electrónico del administrador de un dominio.

Espacio de Tecnología - Me parece un post interesante para conocer sobre dominios maliciosos, http vs https y para prestar más atención en lo que dice la url en los navegadores. El phishing, malware, ransomware entre otras cosas, está cada vez más al auge y hay que prevenir.

El próximo día 7 de septiembre se llevará a cabo la presentación oficial del nuevo iPhone 14. Se trata de una presentación muy esperada, pero también un gancho para ciberatacantes que ven él una forma de robar a los usuarios. Sin ir más lejos, desde Kaspersky, han localizado numerosas páginas web donde se ofrece este nuevo modelo pero que en realidad se trata de una página de phishing que solo busca hacerse con el dinero de las personas.

Una web falsa se ubicaba en los primeros resultados de un buscador imitando a la de un banco. Luego, con SIM swapping la banda pasaba desapercibida ante el banco. Defraudaron casi 600.000 euros a tan solo nueve víctimas en diferentes provincias de España). Hay 45 detenidos en Madrid, Barcelona, Valencia, Murcia y Cartagena. La Policía también ha bloqueado las webs falsas. La Policía no ha detallado ni qué buscador cometió el error de emplazar en sus primeros resultados una web de estafas ni tampoco a qué banco suplantaba.

Tienen un único objetivo: hackear Google desde dentro. El Equipo Rojo es un grupo de hackers de élite especializados en atacar la red propia de Google. Se cuelan en edificios, lanzan campañas de phishing y distribuyen malware dentro de la compañía. Los insistentes ataques a productos de Google por parte del Equipo Rojo han tenido como respuesta incontables protecciones cruciales para su seguridad.

Una mujer que denunciado el robo de 12.000 euros como consecuencia de una estafa de phishing que la mujer se creyó. La estafa data de junio aunque la denuncia es de ahora. De todos modos, la Policía Nacional ya fue informada en su momento (algo clave que debemos hacer cuando sufrimos uno de estos graves percances).

[...] Un solo estafador, con su portatil en cualquier parte del mundo, puede ahora ejecutar cientos o miles de estafas en paralelo, día y noche, con blancos en todo el mundo, en cualquier idioma posible. Los chatbots no necesitan dormir y se adaptarán a sus objetivos continuamente. Y nuevos mecanismos, desde los Plugins de ChatGPT a LangChain, harán posible la unión de IAs con miles de APIs de servicios en la nube y herramientas open source, haciendo posible que las IAs interactúen con internet como hacen los humanos

Las ciberestafas bancarias no cesan, ya que prácticamente cada día surge una nueva. El esquema siempre cumple una especie de requisitos, porque comienzan mandando un SMS a una gran cantidad de usuarios haciéndose pasar por una entidad bancaria, con un enlace. Todo esto precedido de un mensaje de alarma sobre un cobro realmente elevado, el cual nos animan a anular pulsando en ese enlace.

Rara es la semana en la que no hablemos de un caso de estafas a través de SMS o en un email que a priori aparenta ser la factura de la luz. Detrás de estas grandes estafas siempre hay personas que quieren a toda costa tus datos personales o incluso sacar todo el dinero que tienes en la cuenta.