Conceptos y tendencias de las últimas amenazas en Internet hacia los usuarios Luis Fernando Garzón Product Sales Specialist lugarzon@cisco.

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Conceptos y tendencias de las últimas amenazas en Internet hacia los usuarios Luis Fernando Garzón Product Sales Specialist lugarzon@cisco."

Samuel Mendoza Toledo
hace 8 años
Vistas:

1 Conceptos y tendencias de las últimas amenazas en Internet hacia los usuarios Luis Fernando Garzón Product Sales Specialist lugarzon@cisco.com

2 Agenda El nuevo ambiente Los Botnets estan cambiando Amenazas en la web Típico ataque de phishing Sitios legales envenenados Tecnicas de Ingeniería Social

3 El nuevo ambiente Nuevas motivaciones generan nuevas amenazas

4 Ataques dirigidos Ataque Global - Dinero Ganado Ataque Dirigido + Dinero Ganado

5 Ataque dirigido + Ataque secuencial Antes Ahora Damage Damage Worm Downloader 1 Downloader 2 Variant A, B, C Trojan Spyware Worm Time Time Threats

6 Borg Queen Botnet Típica Borg Drones Envía ordenes Bot Herder IRC Server O WebServer DNS Server BotNet

7 Botnets estan cambiando La primera nueva generación de botnet 1000 PCs arrendados a $220 la hora en Alemania 1000 PCs arrendados en USA $110 la hora Soporte disponible Auto-expanción: Spam Coordinado: Sincroniza con URLs Peer-to-Peer: Usa P2P para comunicarse Spam Engines (SMTP) Landing pages (HTTP)

hora Soporte disponible Auto-expanción: Spam Coordinado: Sincroniza email

8 Amenazas en la web

9 Incremento en la amenazas web El panorama general del mercado de malware se desplaza cada vez más hacia los ataques que utilizan http o hhtps como medio de infección en colaboración con los resursos ya existentes. Vector Web Vector Malware & Spyware are the hidden enemy

o hhtps como medio de infección en colaboración con los resursos ya

10 Hechos sobre comunidades virtuales y redes sociales 57% de los usuarios de sitios de redes sociales revelan información crítica que no revelarían de ninguna otra forma. 83% de los usuarios descargan archivos de otros perfiles aún sin estar seguros de su contenido 51% de los padres que saben que sus hijos utilizan redes sociales no restringen los perfiles de sus hijos a posibles atacantes 36% de esos padres, ni siquiera monitorean la actividad de sus hijos en estas redes National Cyber Security Alliance (NCSA) Second social networking study, Oct 2010

83% de los usuarios descargan archivos de otros perfiles aún sin estar seguros de su contenido 51% de los padres que saben que sus hijos

11 Los adolescentes y las redes sociales 55% de los adolescentes en línea han creado un perfil personal en línea y 55% de ellos ha usado sitios como MySpace o Facebook 66% de los que han creado un perfil dicen que su perfil no es público 48% de los adolescentes visitan su perfil una o más veces al día, 22% lo visitan varias veces al día Las adolescentes de entre 15 y 17 años son mucho más activas que el resto de los adolescentes. La mayoría de los adolescentes utilizan estas redes para estar en contacto con amigos. Solo el 17% de los adolescentes utilizan estas redes para obtener una cita o una relación amorosa.

visitan varias veces al día Las adolescentes de entre 15 y 17 años son mucho más activas que el resto de los adolescentes.

12 Tipico ataque de phishing 1 Obtener una lista de mails (hackeada/comprada) 2 Construir el website & registrar el dominio 3 Enviar millones de phish mails a la lista Bot-net SMTP Port 25 MAIL FROM Onlineservice@alert.bankofamerica.com RCPT TO ugpl@hotmail.com SMTP Port 25 MAIL FROM Onlineservice@alert.bankofamerica.com RCPT TO hgtw@yahoo.com 4 Esperar por cuentas/passwords y retirar el dinero

Onlineservice@alert.bankofamerica.com RCPT TO ugpl@hotmail.

13 Nuevos Cambios Envenamiento Ingenieria Fortune 500 DNS Cache Social Phishing Nuevo record alcanzado en /3 de sitios de pishing infecta al host Promedio del tiempo de vida: 3 días Source : Anti-Phishing Working Group

2/3 de sitios de pishing infecta al host Promedio del

14 Spear Phishing en Supervalu Supervalu Food - Fortune 117 Supervalu transfiere fondos a los proveedores diariamente por los items vendidos en las tiendas El criminal obtiene las instrucciones de la transferencia electronica para American Greetings y Frito-Lay, proveedores de Supervalu Criminal envia s con nueva documentación para nuevas transferencias electrónicas $10M transferidos por Supervalu al criminal sobre cuatro días ticlebasic&articleid= &source=nlt_am&nlid=1

proveedores de Supervalu Criminal envia emails con nueva documentación para nuevas transferencias electrónicas $10M transferidos por

15 Los expertos dicen Waves of targeted attacks, often called spear phishing, are exploiting client-side vulnerabilities in commonly used programs such as Adobe PDF Reader, QuickTime, Adobe Flash and Microsoft Office. This is currently the primary initial infection vector used to compromise computers that have Internet access. SANS Top Cyber Security Risks

QuickTime, Adobe Flash and Microsoft Office.

16 Sitios legales envenenados Sobre el 87% de todas las amenazas web hoy estan usando sites envenenados* 9 de 10 web sites vulnerables son** Tecnicas usadas: iframe attacks No puede ser asegurado con una solución de URL Filtering *Source: Cisco TOC **Source: White Hat Security, Website Sec Statistics Report 10/2007

iframe attacks No puede ser asegurado con una solución de URL Filtering

17 Qué son los iframes? Los iframes ayudan a insertar una pagina web dentro de otra con mayor control que usando los "frames" tradicionales. Ya no se necesita tener una pagina que defina los frames.

18 Surprise Valley, Idaho 18

19 19

20 Que esta sucediendo en BrookeSeidl.com brookeseidl.com registrado en Nom hosted en Seattle s ZipCon con 52 subdominios Script injectado dentro de laweb page Ingrediente extra!!

21 Que hace Tejary.net/h.js? Browser entrega h.js javascript de tejary.net Tejary.net registered 2003 en GoDaddy and hosted on in Arizona Registrado por Aljuraid, Mr Nassir A en Arabia Saudita Tejary.net/h.js llama a dos objetos de iframe remotos

22 Que hace said7.com? Browser entrega /Bb/faq.htm de Said7.com Registrado en 2006 en NAMESECURE.COM Hosteado en en ThePlanet, Houston, TX Hace un llamado web de 51yes.com Llama a v3i9.cn/c.htm como iframe <script language="javascript" src=" /script> <iframe src= width=100 height=0></iframe>

23 V3i9.cn Información del Dominio V3i9.cn registrado en por el día 3/25/09. DNS por mysuperdns.com Hosted en en Limestone Networks en Dallas, TX Entrega los objetos ipp.htm, real.html, real.js 14.htm, 14.Js flash.htm, igg.htm

24 Cual es nuestro malware? Despues de instalar el archivo proveniente de v3i9.cn y ejecutarlo, explota vulnerabilidades en MDAC, RDS.dataspacectiveX que controla el modelo de seguridad de activex y RDS.dataspace puede crear archivos locales sin asunto para verificación de seguridad Descarga ce.exe, Gh0st malware GhostNet establece conexiones persistentes con un host en China vobe.3322.org

25 Anti-Virus no nos protege Ce.exe analizado en Virus Total 31% de detección en dia 1 y 2 48% detección dia 3

26 Tecnicas de Ingenieria Social 1. Spam con URL 2. Search Engines 3. Instant Messaging 4. Ataques a redes sociales

27 1. Spam con URL Contenido actual con interes publico enviado a usuarios con un link a sitios web maliciosos Web-site descarga un malware al usuario del PC

28 Ejemplo: Victoria de Barack Obama Usuarios reciven un invitandolos a ver el discurso de victoria de Barack Obama Usuarios son enlazados a un botsite Ejemplos de Asuntos: - Election Results Winner - The New President s Cabinet? FY=0AHBgl9ixN7rvXm ZeuroEwTLO&VERIFY=C5Rcwjj7qjsuVeb Y=KkiwFDDIWZhvVNJ Malicious URLs

29 Ejemplo: Victoria de Barack Obama BOTSITE REAL SITE Usuarios se les pregunta para instalar un Flash Player update, el cual esy data-stealing malware Roba screen shots, passwords and envia a un web server localizado en Kiev, Ukraine

30 2. Uso de motores de busqueda Anti-spyware engine noadware is a spyware agent

31 3. Instant Messaging Ejemplo: Mi propio amigo en MSN

32 4. Social Networking Exploits La herramienta más importante de la decada en comunicaciones. Basado en , IM. Grandes Grupos = Grandes Objetivos. Facebook alcanzó 350M usuarios en y los cibercriminales han automatizado el como penetrar estas redes confiables

34 Entregando todo juntos Koobface Links son enviados desde una cuenta hackeada El link dirige al usuario final al un sitios para descargar un Flash update o codec

35 Koobface Worm robando datos.. Usuarios se les pregunta para instalar un Adobe Flash Player update, el cual es data-stealing malware Una vez que el malware es instalado, este graba datos sensibles de los PC de los usuarios como números de tarjeta de crédito.

36 Estafa en redes sociales

39 Mejores prácticas antes de hacer click en un link Utilizar un sistema de reputación de web en tiempo real que nos ayude a determinar la peligrosidad de cada link Si un link es sospechoso, no haga click, abra su navegador y escriba el link directamente No haga clicks en links en correos recibidos de una institución financiera aunque parezcan reales. Siempre verifique la autenticidad del sitio antes de hacer click Utilice un software de protección que pueda detectar proactivamente las variantes del malware Actualice sus parches de sistema operativo y aplicaciones Manténgase informado

Documentos relacionados

Kaspersky Internet Security - multidispositivos 2015 PROTECCION PARA MULTIDISPOSITIVOS

Kaspersky Internet Security - multidispositivos 2015 PROTECCION PARA MULTIDISPOSITIVOS Su vida digital ha cambiado de 1 a 4.5 dispositivos personales en promedio Fuente: Kaspersky Lab Tenemos el mismo