Ejemplo de tienda online falsa, fraudulenta, engañosa…
Cómo saber si una tienda online es un fraude.
Muchas veces compramos por internet en alguna tienda online de dudosa reputación sin tener en cuenta la seguridad, y claro, luego pasa lo que pasa.
Aquí te enseño una serie de cuestiones que debes tener en cuenta antes de comprar en una tienda online.
Se trata de un caso real de una web creada para engañar al usuario y que se replica continuamente. Es una falsa tienda online de Ray-ban, una marca muy conocida de gafas de sol. El autor o autores de este sitio utilizan diferentes dominios para alojar la tienda. Al cabo de un tiempo de actividad de un dominio, lo dan de baja y alojan la tienda en otro, sin embargo, la tienda sigue siendo la misma. En este caso el link a la tienda falsa es rbaef.com (puede que ya ni funcione o que lo hayan borrado) pero en el video verás como no todo es lo que parece.
El link a la tienda suele llegar desde las redes sociales Facebook, twitter, instagram, etc., así nos pensaremos que se trata de una verdadera oferta. En mi caso me llegó a través de un amigo de Facebook al que le habían hackeado la cuenta y los ciberdelincuentes me etiquetaron en una foto como la que puedes ver a continuación:
Se trata de una imagen que he sacado de Google, pero utilizan muchas. Lo bueno es que todas tienen un formato parecido, con el gancho del 90% de descuento y el logo de Ray-ban bien visibles.
Otras versiones de esta misma estafa son:
rbbqf.com donde se puede ver una página idéntica a la anterior. Lo cual demuestra (aún más) el fraude y cómo los responsables de la web utilizan distintos dominios para el timo.
forshady.com otra página similar, cortada por el mismo patrón.
Esta es la captura de la publicidad engañosa que me apareció en el timeline de Instagram
Recuerda que la única página oficial de ray-ban (la auténtica) es www.ray-ban.com, con todas las demás… ¡desconfía!.
Indicadores para saber si una tienda online es falsa.
Recuerda estas sencillas normas para saber si una tienda online es falsa:
No tiene certificado de seguridad SSL por lo que la tienda no se muestra bajo el protocolo https. (el candado verde junto a la url).
Ofrecen altos descuentos y todos o casi todos los artículos (¡No! no es una oferta por cierre o liquidación).
No hay información concreta sobre la empresa o, si existe, es confusa.
Las secciones (Política de privacidad, aviso legal, etc.) están mal traducidas, con un lenguaje inadecuado y fallos ortográficos.
Escasa información sobre los métodos de pago. Por lo general ofrecen muchos métodos de pago pero en realidad solo aceptan tarjeta de crédito.
No existe política de devoluciones.
No existe la opción de dejar comentarios sobre los productos.
No hay valoraciones de los clientes. Al comprar por internet es muy importante la reputación online de un sitio. Cuantas más valoraciones de los clientes tenga una tienda, mejor. Ya sean buenas, malas o regulares.
Todas estas reglas tan solo son indicadores, no significa que todos deban cumplirse para saber que una tienda online es falsa. Existen muchos fraudes en internet, unos están mejor trabajados que otros.
Videotutorial para aprender a diferenciar una tienda online falsa
Aquí te dejo el videotutorial para que pongas atención a pequeños detalles que te indicarán si la tienda online en la que estás es o no un fraude.
¡NO PIQUES! y comparte esta información para que nadie caiga en el engaño.
Puedes ver más videos de ejemplos de tiendas falsas en este link.
Ya sabes, si te gustó, y quieres ver más videotutoriales como este, comparte este contenido y valora este artículo [kkstarratings]
Conoce los tipos de vulnerabilidades que nos podemos encontrar en una aplicación web.
Si aún te preguntas si debes o no actualizar tus plugins, temas o core de WordPress, te animo a que veas este artículo hasta el final y compruebes por ti mismo lo que te puede ocurrir si no lo haces.
En este post iré recopilando los diferentes tipos de vulnerabilidades que nos podemos encontrar en las aplicaciones web. Os dejo una pequeña descripción de cada una de ellas para que se entienda y algunos ejemplos de explotaciones. Para los ejemplos hemos creado unos videos explicativos usando WordPress como gestor de contenidos web.
Tipos de vulnerabilidades
Cross-Site Scripting (XSS)
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Un atacante puede realizar una petición post inyectando un string.
Para entender mejor cómo se explota mira este video explicativo
Multiple Cross-Site Scripting (XSS)
Se realizan múltiples ataques de XSS lo cual permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Stored XSS (inyección de código almacenado)
Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.
Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, registro de visitantes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada. Stored XSS también se conoce como Persistent o Type-I XSS.
Unauthenticated Stored XSS
Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la páginas web a través del navegador.
¿Quieres ver una Prueba de Concepto de cómo explotar esta vulnerabilidad? Pues mira este vídeo donde un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps y la víctima será cualquier usuario que visite la web y vea el mapa.
SQL Injection
Aprovechando un fallo en la programación de la aplicación, un usuario puede ejecutar consultas en el navegador de la víctima. Estas consulta sirven para ver o recopilar información sobre la aplicación atacada y todos sus datos.
CSRF
Authenticated Stored XSS & CSRF
El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.
Server Side Request Forgery (SSRF)
Se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback (127.0.0.1)
¿Viste los videos? Fácil ¿verdad? con esto queda demostrado que un usuario sin muchos conocimientos puede crear un grave problema en tu WordPress.
Como ya comenté, iremos añadiendo más vulnerabilidades y más videos explicativos. Manteneos atentos 😉
Si quieres saber qué datos guarda Google sobre mi, este es tu post
Ahora, con la puesta en marcha de la nueva RGPD, muchas aplicaciones y páginas web que recogen datos de los usuarios, han de darte la posibilidad de descargar la información que han recopilado sobre ti a lo largo del tiempo. Las redes sociales más importantes no están exentas de ello y lo saben, por este motivo han añadido una opción para que un usuario pueda descargar sus datos.
Qué datos guarda Google sobre mi
Vamos a ver todas las aplicaciones de Google. ¡Si! como ya sabes, Google no es simplemente una aplicación, es mucho más que eso. Se trata de una serie de aplicaciones de diferentes ámbitos con las que Google puede saberlo todo sobre ti: tus hábitos, prioridades, gustos, viajes, ocio, etc. Todo está al alcance de este gigante y, lo peor, es que somos los usuarios los que se le entregamos esa información.
¿Aún no te lo crees? mira el listado de aplicaciones que Google pone a nuestra disposición (¿o a la suya?):
Mi primer consejo es que te cuides muy mucho de compartir excesiva información por internet porque, nada, repito ¡nada! de lo que ahí haces queda en el olvido. Todo queda registrado en enormes bases de datos para diferentes usos. Cada click, cada búsqueda… ¿aún no estas asustado/a? Vivimos en la era de la información y manejar esa información es el verdadero poder de nuestro tiempo.
Descarga los datos que tiene Google sobre ti.
Para demostrarte esto, si quieres, vamos a aprender a descargar la información que Google tiene sobre nosotros. Para ello he creado un sencillo videotutorial. Espero que viendo toda esa información descargada en tu ordenador, te haga pensar si merece la pena regalarla como lo estamos haciendo.
Informe sobre últimas vulnerabilidades encontradas en WordPress
Estas son las últimas vulnerabilidades encontradas en WordPress.
Si tienes alguno de estos plugins te recomiendo actualizar a su última versión inmediatamente. Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.
Vulnerabilidades en PLUGINS
Vulnerabilidad –> Unauthenticated Stored XSS
Plugins afectados:
Events Manager v5.8.1.1
Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps.
La brecha de seguridad se ha arreglado en la version 5.8.1.2 del plugin
¿Quieres ver una POC de cómo explotar esta vulnerabilidad? Pues mira este vídeo
Vulnerabilidad –> Cross-Site Scripting (XSS)
Plugins afectados:
Duplicator v1.2.32
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
Un atacante puede realizar una petición post inyectando un string.
Conoce los detalles y aprende cómo pueden explotar esta vulnerabilidad en el siguiente video
XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.
El fallo de seguridad se ha arreglado en la version 2.4.1 del plugin
Valórame, es gratis, solo te cuesta un click [kkstarratings]
Explotando la vulnerabilidad del Plugin Site Editor 1.1.1 WordPress – Local File Inclusion
Existe una vulnerabilidad en el Plugin Site Editor en su versión 1.1.1, que permite a un atacante incluir un archivo en la respuesta de una petición realizada por url. La vulnerabilidad fue publicada el 2018-03-16 con identificación [CVE-2018-7422] Local File Inclusion (LFI) vulnerability in WordPress Site Editor Plugin.
El ataque a esta vulnerabilidad puede ser realizado a través de la red, y desde el propio navegador.
Puedes ver el video al final de esta publicación.
Con este post doy comienzo a una nueva sección tanto de la web como de mi canal de Youtube, sobre explotación de vulnerabilidades en WordPress. En ella veremos cómo explotar vulnerabilidades de Plugins, temas y del nucleo de WordPress.
Para ello contaremos con la colaboración de mi amigo y compañero Sergio Saiz (s0nH4cK). Sergio es ingeniero de Sistemas y responsable del departamento de seguridad de Netkia (empresa en la que trabajamos ambos). Además es el fundador y director del congreso de seguridad Sh3llcon, donde tengo la suerte de compartir organización con él y con otros compañeros.
Os animo a estar atentos y atentas a esta web y a mis redes sociales, pues se acercan novedades muy importantes respecto a nuevas secciones de videotutoriales sobre seguridad en WordPress.
Puedes saber más acerca de esta vulnerabilidad en exploit-db.com
Aquí te dejo el video, espero que te guste
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
«Seguridad y uso responsable de la red», este fue el título de mi charla en la sede de la Asociación de Ingenieros Industriales de Cantabria. El pasado 21 de marzo, tuve la suerte de ser invitado a participar con una charla sobre ciberseguridad, dentro del programa de eventos organizados por la celebración del centenario de la asociación. Dejo el video de la charla al final de este post.
Me tocó meter miedo, sí, un poquito. Los que me conocéis ya sabéis que me gusta mucho meter miedo, creo que es la única manera de concienciar a la gente de la importancia de la seguridad. Cuando a alguien le tocan algo que quiere, se pone alerta y es ahí donde están más atentos y reciben con los brazos abiertos toda la información que les envías.
Centenario de la Asociación de Ingenieros Industriales de Cantabria
Esta vez me tocó en la sede de la Asociación de Ingenieros Industriales de Cantabria. Unas 20 personas asistían en el salón de actos a una charla sobre ciberseguridad. La verdad que fue muy amena. Modificamos un poco la disposición de la charla (unos 50 minutos de charla y 40 para preguntas) y la realizamos de manera que todos pudieran intervenir en cualquier momento, realizando preguntas, temores o simplemente aportaciones de lo que ellos hacen en su día a día. He de decir que fue muy constructiva para todos, incluido yo, y que se nos hizo tan ameno que tuvimos que terminar de manera contundente pues eran las 21:35 y aún estábamos de debate.
Una fantastica tarde de #ciberseguridad con gente maravillosa. Muchas gracias @coiicant por la atención recibida y por vuestra amabilidad. Para cuando otra charla? El vinito lo tomaré a vuestra salud 😉 pic.twitter.com/2QMGHYo8LG
Intenté dar respuestas a preguntas como ¿navego Seguro? ¿hago un uso responsable de la red? ¿qué pasa con mis datos cuando publico en las redes sociales? Estas y muchas otras preguntas tuvieron cabida en esta charla donde creo sinceramente que la gente salió mu contenta.
Tengo que decir que, muchas veces, me gusta bajar el nivel al que estoy acostumbrado en mi día a día, e impartir charlas como esta, para personas que son simplemente usuarios de internet y que no se han parado a pensar en estas cosas cuando navegan. Me siento muy a gusto y me reconforta ver como la mayoría de las personas que me escuchan empiezan a plantearse y a pensar en la seguridad mientras navegan.
Gracias a Ignacio Sola por pensar en mi e invitarme a impartir esta charla y a Luis Vellido y Ángela Royano por tratarme tan bien.
Video – «Seguridad y uso responsable de la red»: Mi charla en la sede de la Asociación de Ingenieros Industriales de Cantabria.
