Phishing, el lado oscuro de la RGPD

Phishing, el lado oscuro de la RGPD

Phishing, el lado oscuro de la RGPD. Aprovechando que la RGPD está de moda, los ciberdelincuentes agudizan su ingenio y crean nuevas campañas de phishing.

Hace muy poco tiempo que la RGPD es de obligado cumplimiento y los “malos” se han puesto manos a la obra. En los últimos días todos hemos recibido una gran cantidad de emails de empresas, aplicaciones, newsletters, etc. a las que estamos suscritos, informándonos de un cambio en sus condiciones y políticas de privacidad. Para continuar con sus servicios y/o envío de emails, necesitan de nuestra aceptación, nuestro consentimiento expreso. De eso trata la RGPD, de protegernos, de la transparencia a la hora de tratar los datos de los usuarios del mundo internet.

 

Phishing, el lado oscuro de la RGPD

Muchos de estos correos que recibimos son reales, sin embargo, otros no tanto. Os voy a poner un ejemplo. Se trata de un correo “simulando” (por decir algo) ser del Banco Santander y nos indica que tenemos una actualización nueva. Además (¡cómo no!) incluye un link para que revisemos nuestra cuenta. Podéis ver el cuerpo del mensaje aquí.

Phishing, el lado oscuro de la RGPD

Analicémoslo. Fíjate que el email del supuesto remitente tiene el dominio KE.LEO.COM el cual no se parece en nada al del banco Santander.

El texto es erroneo:

Gracias a no responder a este mensaje, usted no tendrá que responder.
Por favor, use nuestra secció “Conacto” en nuestra página web

 

y hay continuas faltas de ortografía

secció“, “Conacto

 

 

Phishing, el lado oscuro de la RGPD

Si ponemos el puntero del ratón en el link “Revisa tu cuenta” podemos ver, en la barra de estado” de nuestro navegador o de nuestro cliente de email, un link del tipo:

https://t.co/YhQ1ue……

 

Si hacemos clic en el link (NO LO HAGAS) nos redirige a una página que para nada es del Banco de Santander. He utilizado una herramienta online unshorten.it para “decodificar” el link corto y este fue el resultado

Phishing, el lado oscuro de la RGPD

 

 

Como puedes ver, el link dirige a una página árabe, la cual no sabemos si tiene algún script malicioso o simplemente se trata de un simple SPAM. No nos la jugamos ¿verdad?

 

Ten cuidado, sobre todo estos días que los ciberdelincuentes aprovecharán la RGPD y la aceptación de los términos y condiciones de los servicios de internet para intEntar engañarnos.

Consejos:

  • Mucho cuidado con hacer clic en correos en los que dudemos de su procedencia.
  • Observa bien todo el contenido del email en busca de faltas de ortografía, emails “raros” o lenguaje poco apropiado para nuestro idioma.
  • Como ves, si te fijas un poco y estudias el correo, te salvas.

 

Valórame, es gratis, solo te cuesta un click  [kkstarratings]

¿Quieres recibir avisos como éste en tu email en tiempo real?

Suscríbete gratis en el siguiente formulario

 

Tipos de vulnerabilidades en aplicaciones web

Tipos de vulnerabilidades en aplicaciones web

Conoce los tipos de vulnerabilidades que nos podemos encontrar en una aplicación web.

Si aún te preguntas si debes o no actualizar tus plugins, temas o core de WordPress, te animo a que veas este artículo hasta el final y compruebes por ti mismo lo que te puede ocurrir si no lo haces.

En este post iré recopilando los diferentes tipos de vulnerabilidades que nos podemos encontrar en las aplicaciones web. Os dejo una pequeña descripción de cada una de ellas para que se entienda y algunos ejemplos de explotaciones. Para los ejemplos hemos creado unos videos explicativos usando WordPress como gestor de contenidos web.

 

Tipos de vulnerabilidades

Cross-Site Scripting (XSS) 

XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

Un atacante puede realizar una petición post inyectando un string.

Para entender mejor cómo se explota mira este video explicativo

 

Multiple Cross-Site Scripting (XSS)

Se realizan múltiples ataques de XSS lo cual permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

 

Stored XSS (inyección de código almacenado)

Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.

Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, registro de visitantes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada. Stored XSS también se conoce como Persistent o Type-I XSS.

 

Unauthenticated Stored XSS

Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la páginas web a través del navegador.

¿Quieres ver una Prueba de Concepto de cómo explotar esta vulnerabilidad? Pues mira este vídeo donde un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps y la víctima será cualquier usuario que visite la web y vea el mapa.

 

SQL Injection

Aprovechando un fallo en la programación de la aplicación, un usuario puede ejecutar consultas en el navegador de la víctima. Estas consulta sirven para ver o recopilar información sobre la aplicación atacada y todos sus datos.

 

CSRF

Authenticated Stored XSS & CSRF

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.

 

Server Side Request Forgery (SSRF)

Se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback (127.0.0.1)

 

¿Viste los videos? Fácil ¿verdad? con esto queda demostrado que un usuario sin muchos conocimientos puede crear un grave problema en tu WordPress.

Como ya comenté, iremos añadiendo más vulnerabilidades y más videos explicativos. Manteneos atentos 😉

 

Si te gustó, valora este artículo [kkstarratings]

 

Qué datos guarda Google sobre mi

Qué datos guarda Google sobre mi

Si quieres saber qué datos guarda Google sobre mi, este es tu post

Ahora, con la puesta en marcha de la nueva RGPD, muchas aplicaciones y páginas web que recogen datos de los usuarios, han de darte la posibilidad de descargar la información que han recopilado sobre ti a lo largo del tiempo. Las redes sociales más importantes no están exentas de ello y lo saben, por este motivo han añadido una opción para que un usuario pueda descargar sus datos.

 

Qué datos guarda Google sobre mi

Vamos a ver todas las aplicaciones de Google. ¡Si! como ya sabes, Google no es simplemente una aplicación, es mucho más que eso. Se trata de una serie de aplicaciones de diferentes ámbitos con las que Google puede saberlo todo sobre ti: tus hábitos, prioridades, gustos, viajes, ocio, etc. Todo está al alcance de este gigante y, lo peor, es que somos los usuarios los que se le entregamos esa información.

¿Aún no te lo crees? mira el listado de aplicaciones que Google pone a nuestra disposición (¿o a la suya?):

Mi primer consejo es que te cuides muy mucho de compartir excesiva información por internet porque, nada, repito ¡nada! de lo que ahí haces queda en el olvido. Todo queda registrado en enormes bases de datos para diferentes usos. Cada click, cada búsqueda… ¿aún no estas asustado/a? Vivimos en la era de la información y manejar esa información es el verdadero poder de nuestro tiempo.

 

Descarga los datos que tiene Google sobre ti.

Para demostrarte esto, si quieres, vamos a aprender a descargar la información que Google tiene sobre nosotros. Para ello he creado un sencillo videotutorial. Espero que viendo toda esa información descargada en tu ordenador, te haga pensar si merece la pena regalarla como lo estamos haciendo.

 

[kkstarratings]

 

Campaña de phising de Eroski

Campaña de phising de Eroski

Nueva campaña de phising de Eroski que simula falsos vales de descuento

Ha aparecido una nueva campaña de Phising de Eroski, esta vez, el email simula ser de dicha empresa y dice ofrecer falsos vales de descuento. El correo contiene una url falsa que te lleva a una web que no pertenece al dominio de Eroski. Si haces clic en esa URL te redirige a una landing Page con un formulario. No te preocupes si accedes a esta web, aún no ha pasado nada malo. El problema viene si rellenas el formulario con el email y la contraseña y lo envías, ya que enviarás el formulario a los ciberdelincuentes y capturarán tus datos.

 

Solución

No introduzcas ningún dato en el formulario y no hagas clic en el botón “ENTRA”.

 

Si recibes este tipo de correos, cerciórate bien antes de hacer clic en ningún enlace. Sitúate en el enlace y comprueba en la barra de estado de tu navegador si la url a la que dirige el link pertenece al dominio del supuesto remitente. Ante la duda, no hagas clic en ningún enlace y te ahorrarás muchos quebraderos de cabeza. Infórmate de este tipo de problemas y vulnerabilidades en la página web de la Oficina de Seguridad del Internauta.

 

Valora este artículo [kkstarratings]

 

Herramientas para limpiar WordPress Hackeado

Herramientas para limpiar WordPress Hackeado

En este post quiero mostrarte una serie de herramientas para limpiar WordPress, que suelo utilizar a menudo. Te las enumeraré sin entrar en mucho detalle sobre su utilización, pero estate atento a este blog, pues crearé videotutoriales de cada una, para que aprendas a manejarlas.

Además veremos algunas otras para comprobar si nos han hackeado. En el primer momento que sospeches que tu sitio WordPress puede estar hackeado, te recomiendo realizar una seria de acciones para comprobarlo y, en el peor de los casos, para desinfectarlo.

Tengo que decir que esto no es una guía de desinfección (si quieres, más adelante crearé una con los pasos que yo sigo para limpiar un WordPress infectado), sino que lo que se pretende es que conozcas una serie de herramientas que puedes utilizar para dejar limpito limpito tu WordPress). Comencemos.

 

Check list de herramientas de limpieza

Paso 1: Realiza un escaneo de tu sitio.

Para ello vamos a diferenciar dos niveles:

– Un nivel más general, que nos servirá simplemente para comprobar si nuestro sitio tiene código malicioso o simplemente está catalogado como “peligroso” por los principales servicios de seguridad de la red. Para ello vamos a utilizar varios sitios online:

– Sucuri Sitecheck: El escáner de Sucuri que me parece bastante bueno para nuestro objetivo.

Herramientas para limpiar WordPress - Sucuri Sitecheck

Nos indicará si ha encontrado malware y si nuestra web está en alguna lista negra. A continuación te dejo un video explicativo sobre cómo usar esta herramienta o puedes ver el artículo completo.

 

– Virustotal.com: Otro sitio fantástico para escanear tu web completa o algún archivo concreto que sospeches que puede tener código malicioso.

Herramientas para limpiar WordPress - VirusTotal

Para comprender cómo utilizarlo tienes este artículo o puedes ver el video a continuación.

 

Otro nivel más específico, se trata de un escáner más detallado de nuestra instalación.

– Para este paso te recomiendo usar el plugin Wordfence. En su versión gratuita tenemos muchísimas cosas esenciales para la seguridad de tu WordPress. Su escaner de malware me parece completísimo. Suelo utilizarlo para escanear sitios en los que sospecho que están hackeados. Te informa de cadenas de código malicioso en archivos de tu instalación y te da la posibilidad de borrarlos directamente, ponerlos en cuarentena o restaurarlos por otros limpios del core original de WorPress. Hablo de todo esto en este video de mi ponencia en la WordCamp Santander 2017.

Wordfence logo

 

Herramientas para limpiar WordPress

Paso 2: Limpia tus archivos con código malicioso a través de un plugin.

 

Como dije anteriormente, te recomiendo Wordfence, ya que tiene un escaner muy bueno con la posibilidad de eliminar los archivos infectados.

Sin embargo, hay veces que el código malicioso está inyectado en la misma base de datos. Aquí ya tenemos un problema más gordo y además, más costoso de solucionar.

 

Paso 3: Para estar seguro, descarga y escanea

Lo último que nos falta por hacer sería asegurarnos que no hay virus en nuestra instalación, por lo tanto, descarga todos tus archivos y carpetas a tu ordenador y pásales uno o varios antivirus de los que usas habitualmente: Panda, Norton, Avira, Microsoft Security, Avast, etc.

Además, como consejo, pásale una aplicación antimalware como Malwarebytes. Un software gratuito que te escaneará los archivos de manera maás profunda.

 

Más vale prevenir…

Utiliza un plugin de seguridad para evitar todo esto. Vamos a ver unos pocos muy buenos que son los más descargados del repositorio de WordPress.

 

Wordfence

Wordfence logo

Acabamos de hablar de él. Muy bueno y fácil de configurar. Próximamente videotutorial de configuración 😉

 

All in One WP Security & Firewall

All in One WP Security & Firewall

Es el que yo suelo utilizar, fácil de configurar y con muchas opciones. Dispone de un pequeño Firewall que te encantará. En este post te hablo de cómo configurarlo o, si lo prefieres, importes una configuración por defecto que puede servirte en un principio (te aconsejo que revises esas opciones y las adaptes a tu propia instalación). Te dejo un videotutorial para que aprendas a configurar todas sus opciones y tu WordPress esté más seguro.

 

 

IThemes Security

iThemes Security

Otro pedazo de plugin de seguridad muy muy bueno. Próximamente realizaré un videotutorial para que aprendas a configurarlo.

 

Sucuri

logo Sucuri

Otro gran plugin de seguridad que utilicé durante mucho tiempo. Y dirás ¿por que ya no lo utilizas? pues la respuesta está en el video que te dejo a continuación.  Para que tu mismo escojas el plugin que más te convenga, te dejo el video del webinar que hice para Siteground junto a Fernando Tellado, en el que enumero los parámetros básicos y esenciales de seguridad en WordPress y además incluyo una tabla comparativa de los plugins más utilizados del repositorio, que son precisamente los que he enumerado en este artículo.

 

Siempre realiza un Backups de tus datos

Para terminar, te aconsejo que realices una copia de seguridad de tu instalación antes de realizar cualquier modificación (instalación de plugins, actualizaciones, configuraciones, etc.) y después de realizarlas. Puedes utilizar plugins gratuitos como:

Duplicator: buenísimo, uno de los que yo utilizo. (Ver videotutorial de uso)

All in one WP migration: otro de mis favoritos, backups en un clik. (Ver videotutorial)

Updraftplus: Backups de base de datos y archivos por separado.

 

 

O premium como:

BackupBuddy (puedes ver una revisión completa de este plugin en este post).

 

 

Espero que te haya gustado este post. SI tienes alguna duda ponte en contacto conmigo y te ayudaré.

Valórame, es gratis, y solo te cuesta un click [kkstarratings]

 

Escanea tu web en busca de malware con Sucuri Sitecheck

Escanea tu web en busca de malware con Sucuri Sitecheck

Escanea tu web en busca de malware con Sucuri Sitecheck y comprueba de forma rápida si tu página web contiene virus, archivos con código malicioso, está incluida en listas negras de envío de spam, etc.

 

Escanea tu web en busca de malware con Sucuri Sitecheck

¿Quieres comprobar si tu página web ha sido hackeada? Pues aquí te dejo un sencillo videotutorial para comprobarlo.

Más los consejos y trucos de seguridad en la red. Hoy te traigo otra de las herremientas online para mejorar la seguridad de tu página web que incluye un sencillo y rápido videotutorial de Sucuri Sitecheck, una página web desde la que podrás comprobar el estado de seguridad de tu web desde el punto de vista de las plataformas antivirus más interesantes

Te dejo con el video.

 

Valórame, es gratis, solo te cuesta un click [kkstarratings]