Qué es el Pharming. Cómo identificarlo y cómo evitarlo.

Dentro de nuestra serie de artículos sobre «los peligros que tienen los usuarios en Internet» (en anteriores el Phishing y el E-mail spoofing), hoy os explicamos el Pharming.

Pharming es una mezcla de los términos Phishing (ya explicado) y Farming («cultivar«). Precisamente porque para realizarlo necesitan un «anzuelo» ( como el phishing), que lleve a los usuarios a una página web falsa. En esta web es donde «recolectan» los nombres de usuario y contraseña de los usuarios que caen en la trampa.

Es decir, se trata de crear un sitio o servicio que sea una copia exacta de uno real, donde los usuarios introduzcan sus datos y los podamos guardar.

Cómo me pueden llevar a las páginas falsas.

Este método se basa en que nosotros usamos palabras al ir a un servicio en Internet, pero estos se identifican con números (IPs) a través del servicio de DNS.
Si esta transformación de palabras a direcciones IP se ve manipulado, me pueden redirigir a un sitio falso.
Se puede hacer de varias maneras.

  • DNS Spoofing.
  • Virus que afecte a mi ordenador (y me modifique los DNS).
  • Ataque y modificación de los servidores DNS que uso en Internet.
  • Modificación de mi fichero hosts del ordenador.
  • Ataques tipo man in the middle en mi red local (otro día hablamos de este tipo de ataque).

Cómo identificar el Pharming.

Un phishing bien realizado es difícil de identificar. Antes decían que se podía ver si tenía https, si tenía «candado», pero todo esto es fácil de falsificar. Y los usuarios no se van a poner a mirar a nombre de quién está expedido el certificado de cada página.

Así que os dejamos unos consejos:

  • La mejor manera de evitar el Pharming es en la parte del anzuelo, del phishing. Ya os hicimos las recomendaciones pero en resumen sospechar de mensajes extraños, no ir a sitios enlazados por mensajes, sospechar de enlaces acortados.
  • En la parte de la web, tenemos que ver si hay cosas «extrañas». Fallos en el dominio (no es el habitual, está mal escrito…), fallos en la web (fallos de ortografía, cosas que no cuadran…. Obviamente si no hay certificado o sale alguna alerta nunca poner datos.
  • Ante algo sospechoso no introducir datos personales.

Pero si aún así hemos caído, lo que nos protege más es tener activada la doble autenticación (y mayor). Porque si caigo en uno de estas trampas, sólo pueden sacar mi nombre de usuario y contraseña. No tendrían mi segundo factor de autenticación. Al no recibir petición de doble factor puedo sospechar que es falso y cambiar mi contraseña.
Y los hackers con sólo el primero factor no podrían acceder a mi servicio. Así que activar el doble factor en todos los servicios importantes.

En este vídeo os lo explicamos.

Qué es el Phishing y cómo evitarlo.

Dentro de nuestros vídeos intentando formar a los clientes sobre las amenazas a las que se pueden enfrentar en Internet, hoy os queremos hablar de una muy común: el Phishing.

En el vídeo anterior os comentábamos cómo consiguen los creadores de virus y malware que os sintáis «confiados» y abráis los correos con el e-mail spoofing.

Pero dentro de esos correos (y ahora también por SMS, WhatsApp, Facebook Messenger etc), tienen que conseguir que pongas tus datos. Para ello usan, entre otras, este método: Phishing.

Qué es el Phising.

Phishing es «pescando» en inglés. Y el nombre «le viene al pelo».
Porque el método básicamente consiste en que te llegue un mensaje que te incite a abrirlo. Dicho mensaje tendrá un anzuelo, que será el que te haga picar e introducir los datos.

El mensaje puede llegar por e-mail, por sms (smishing), por WhatsApp, por Facebook messenger, por teléfono (vishing)….

El anzuelo es variado, desde un mensaje de correos, Amazon o similar sobre un paquete (porque suele coincidir que has pedido uno), un mensaje sobre fotos con desnudos tuyos o de familiares, un mensaje sobre accesos indebidos en tu cuenta…hay muchísimos.

Como decimos todos incluyen o un formulario para añadir datos, o un enlace (normalmente acortado) para que pinches y te lleve a un sitio donde te piden datos (y te los roban).

Cómo evitarlo.

Os dejamos unos consejos básicos.

  • Desconfiar y, preferiblemente borrar, mensajes (por cualquier medio) de remitentes no conocidos o que nos hagan sospechar.
  • Sospechar de faltas de ortografía, expresiones incorrectas o frases mal formadas.
  • Sospechad de correos urgentes, alarmistas o apremiantes.
  • Desconfiad de los enlaces acortados. Recordad que podéis pasar por encima sin pinchar para ver el destino.
  • No pongáis datos nunca ni en estos correos ni en las páginas a los que llevan.
  • Podéis comprobar enlaces con servicios como Virustotal.
  • Si recibís un mensaje sobre acceso indebido, o pedidos pendientes, no pinchéis en esos enlaces, id al servicio por Internet y comprobadlo.

Os dejamos un vídeo explicando esto.

¿Por qué recibe la gente correos que tú no has enviado? E-mail spoofing.

  • Un cliente está recibiendo e-mails supuestamente desde mi dirección ¿tengo un virus?
  • Estoy recibiendo correos de spam desde contactos amigos. ¿Tengo un virus? ¿Lo tienen ellos?

Estas son preguntas habituales que nos hacen los clientes. Y, como pensamos que el conocimiento es la mayor medida de seguridad, hoy os explicamos qué es el e-mail spoofing.

Qué es el e-mail spoofing y cómo lo usan los virus y hackers.

Spoofing es el término inglés de suplantación. En informática existen muchos tipos de «spoofing» (IP spoofing, DNS spoofing…). Pero seguramente el que más ven la mayoría de los usuarios es el e-mail spoofing.

Básicamente consiste en suplantar la identidad de alguna parte del correo electrónico (normalmente el remitente) para poder enviar correos con contenido malicioso (vamos virus) a tus contactos. Al recibirlo de una «fuente segura», la idea es que los filtros de correo lo dejen pasar y tú lo abras. Es decir, que la puerta se abra, es el primer paso para el ataque.

Lo que siempre explicamos a los clientes es que:

  • Si estás recibiendo tu los correos basura, lo más seguro es que el virus no lo tengas tú. Que lo tenga alguno de tus contactos o gente que tenga tu dirección.
  • Son habituales los virus que se ponen a realizar combinaciones con la lista de contactos del infectado para ponerlos (de nuevo combinando) en los campos De (remitente) y Para (destinatarios) del correo. Es decir que Paco, infectado, puede estar enviando como cualquiera de sus contactos a cualquiera de sus contactos.
  • También es muy sencillo emular un servidor de correo electrónico, configurarlo para cualquier dominio (cualquiera) y crear las cuentas que quieras en él. Desde ahí puedes enviar (no recibir) correos aparentemente lícitos.
  • Sólo tienes que cambiar el campo (también spoofing) «Reply to» a una cuenta que quieras y también recibes.

Como veis, es MUY fácil hacer esta suplantación de correo. Técnicamente la industria está implementando funcionalidades técnicas para evitarlo (en varias capas y a varios niveles), pero todo se puede saltar. Así que es importante conocer qué está pasando.

En el vídeo os lo explicamos de manera más detallada.

En los próximos días os explicamos cosas como phishing, pharming, man in the middle, para que veáis que otras cosas añaden en los ataques, por ejemplo en el cuerpo del correo.

WPScan: base de datos de vulnerabilidades de WordPress con plugin y API para escanear tu web (y otras).

Para aquellos que os preocupa la seguridad de vuestros sitios en WordPress, hoy os dejamos una gran herramienta.

WPScan es una base de datos de vulnerabilidades de WordPress (página oficial aquí). Es decir, van almacenando todos los fallos tanto de core como de temas y plugin de este gestor de contenidos. En cada fallo puedes ver su severidad, referencias, guía de tiempos e información adicional.
También permite informar de vulnerabilidades.

Esta funcionalidad ya lo haría un gran recurso, pero es que además tiene dos otras muy útiles.

  • Plugin de WordPress para poder escanear tu página web basándose en esta base de datos. Obviamente útil para usuarios de WordPress y diseñadores web.
  • API para poder usar la base de datos externamente. Esto te permite usarla desde tu ordenador o desde un servidor y escanear cualquier página.
    Muy útil para desarrolladores y expertos en seguridad. Y también para los «hackers».

Con todo está claro que es una herramienta de seguridad muy potente (forma parte de la mayoría de las distribuciones de seguridad y pentesting), y que en malas manos puede ser el mejor aliado del hacker. De hecho si buscas «WPScan WordPress» en Google, obtendrás muchos resultados sobre cómo «hackear WordPress con WPScan».

Porque con esta herramienta podemos analizar cualquier web hecha en WP, y nos dirá todas la información sobre sus versiones, plugins, usuarios (si puede), temas. Con esa información, probará las vulnerabilidades conocidas de cada una y te dirá cuales ha encontrado.

Para un hacker es como un amigo que te dice «los agujeros están aquí y aquí».
Para un desarrollador (nosotros) una manera de reforzar la seguridad de su sitio en WordPress.

Vosotros decidís cómo usarlo.

Cómo afecta PSD2, y ASC (SCA) si tienes una tienda online.

Muchos clientes nos están preguntando cómo afecta la nueva Directiva de Servicios de Pago (PSD2) y el ASC (Autenticación Segura de Cliente) a los que tenéis una tienda online.

Os dejamos un vídeo explicando todo esto, pero en resumen (en términos generales, cada caso es un mundo y conviene que lo repaséis):

  • La directiva europea afecta sólo al pago online.
  • Va a dar más seguridad a tiendas, proveedores y clientes al hacer obligatorio la autenticación de doble factor (2FA).
  • La mayoría de las tiendas de PYMES online en España usan proveedores externos (Paypal, Redsys, Servired) para realizar estos pagos por tarjeta. De no ser así, te toca revisar que tu medio de pago cumpla con el ASC. conviene que revises uno por uno y puedes contactarles para asegurarte.
  • Como no los cobra la tienda, sino el proveedor, son los proveedores los que tienen que adecuarse a la norma.
  • En muchos casos tendréis que actualizar los módulos o plugins (os avisarán en vuestro CMS o vuestro proveedor) para ajustarse a este cambio (sobre todo porque están implementando 3DS2).
  • No está de más reflejar estos cambios en vuestra política de privacidad y de contratación o pagos.
  • El 14 de Septiembre 2019 es la fecha límite.

Cómo afecta PSD2 y ASC a tu tienda online.

Solución cuando Chrome no pide guardar usuario y contraseña.

Hace unos días tuvimos una incidencia de un cliente que quería guardar el usuario y contraseña de una página web en Chrome. No es muy seguro (otro día mostraremos por qué), pero es cómodo y lo usa mucha gente.
Hoy os damos la dos soluciones más comunes cuando ocurre esto.

En ambos casos tenéis que ir, en Chrome, a la Configuración>Contraseñas.

  1. No está activado Preguntar si quiero guardar contraseñas .
    Lo primero a mirar. La opción de Preguntar si quiero guardar contraseñas debe estar activa, y no lo está siempre. Comprobad esto primero.
  2. La página está en el listado de Contraseñas que nunca se guardan.
    En esa misma sección, hay un listado de páginas para las que no guarda nunca la contraseña. Si está ahí, no lo va a solicitar. Eliminadla de esta lista…y volverá a pedir recordar los datos de acceso.

Lo explicamos en este vídeo.

Cuidado con las aplicaciones chorras que instaláis. En Internet si algo es gratis el precio ERES TÚ.

Ya lo hemos explicado en otras ocasiones, en algún artículo. Y sabemos que estamos predicando en el desierto, que la gente no hará caso.
Pero nos cansamos de intentar advertirlo.

CUIDADO con las aplicaciones CHORRAS (lo siento, la mayoría lo son) que instaláis en Facebook, los móviles, ordenadores, tablets etc. Lo estáis haciendo sin comprobar las condiciones de uso ni los permisos que piden. Y de hecho aceptáis todos los permisos que piden.

En Internet si algo es gratis el precio ERES TÚ.

«Bua…a mi me da igual lo que cojan de mis datos». Dice alguno.

Si…hasta que empezáis a ver para qué lo pueden usar. Os damos una de miles ideas.

  • Tus fotos pueden usarse para perfiles falsos de redes sociales para insultar, amenazar o compartir contenido pornográfico o pedófilo.
  • Tus fotos pueden usarse para crear perfiles falsos copia de tu perfil. Y engañar, amenazar o timar a tu familia y amigos.
  • Los contactos se pueden compartir/vender para acciones de spam/spoofing y scams.
  • Pueden recoger tu geolocalización y saber qué haces cada día, dónde estás hoy, dónde estás cada día…
  • Pueden ver tus hábitos de comportamiento e interacción con otros usuarios para luego usarlos en aplicaciones de Big Data y realizar campañas que afecten a usuarios.
  • Pueden vender tus datos y sacar beneficio económico.
  • Pueden usar tus datos y fotos para mejorar su software (estás haciendo el trabajo por ellos.
  • Etc…

¿¿De verdad merece la pena por ver tu cara más vieja, o ponerte máscaras estúpidas???

EaseUS Data Recovery Wizard. Programa para recuperar datos borrados y particiones perdidas.

EaseUS Data Recovery Wizard es uno de los programas de recuperación de datos más completos del mercado. Con la suerte que dispone de una versión gratuita cuya única limitación parece ser el límite de datos a recuperar. 2Gb en la versión Free (cosa que me parece más que razonable), e ilimitados en las versiones de pago.
Nota: Por defecto la versión Free recupera 500 Mb, pero si compartes el programa en Facebook o Twitter te dan 2Gb.

El programa recupera todo tipo de archivos, y de todo tipo de dispositivos físicos, desde HDD, SSD, USB, RAID, servidores, cámaras, tarjetas SD etc.

Funciona en Windows, tanto 10/8.1/8/7/Vista/XP como en Server 2013-2019, pero luego puede analizar todo tipo de particiones: FAT(FAT12,FAT16,FAT32), exFAT, NTFS, NTFS5, ext2/ext3, HFS+, ReFS

Cómo usarlo.

EaseUS Data Recovery Wizard es también muy intuitivo. Instala el programa, y ejecútalo. Data Recovery analizará las unidades y mostrará las que encuentre, tanto unidades como particiones borradas.

Sólo tenemos que seleccionar la unidad o partición que queremos, y pinchar en Escanear. Data Recovery realizará un escaneo (de dos disponibles: rápido o profundo).
Tras un tiempo ,que depende del tamaño del disco y de los ficheros que contenía, muestra el árbol de directorios (algo muy útil para recuperar en orden) y los ficheros borrados que encuentra.

Selecciona los ficheros o directorios a recuperar, pinchar en recuperar, selecciona el destino (siempre es mejor que sea otra unidad para no perder datos) y ya está.

Esto es otra de las ventajas de este programa: está muy bien pensado a efectos de usabilidad. No hace falta saber nada ni ser técnicos, es muy intuitivo y se puede usar sin tener conocimientos de informática.

Conclusión.

Decidídamente uno de los primeros programas a usar cuando queremos recuperar datos perdidos. Tanto por ser gratuito, como por su facilidad de uso y su potencia.
Y si necesitas recuperar más de 2Gb, el coste de la versión Pro puede ser muy razonable si los datos a recuperar son importantes para tí.

Firewall para .htaccess de Apache nG y firewall para WordPress BBQ: Block Bad Queries

Muchos de los ataques a páginas web son por scripts o robots que primero «inspeccionan» la web para ver sus vulnerabilidades. Preguntan cosas como la versión del gestor de contenidos, versión de php etc. Están buscando agujeros de seguridad, y ocurre constántemente.

Por esto nos gusta este firewall que hemos encontrado para .htacess (Apache). El creador ha recopilado una serie de peticiones o queries que son maliciosas y con contenido potencialmente dañino (como  eval(base64_ ..), y ha creado una lista para que podamos bloquearlas.
Lo interesante es que este bloqueo se realiza a nivel de servidor, antes del acceso a la página. Así que, al bloquear estos intentos de acceso, también mejora el rendimiento de la misma.

nG Firewall, como decimos, es una lista de queries maliciosas que, en el momento de escribir el artículo está en su versión 6G.

La manera de implementarlo en cualquier web es sencillo, añade la lista de exclusiones que da a tu fichero .htaccess.
El Apache, al leerlas, se encargará de bloquear estos accesos indebidos.
La lista está dividida en secciones, y puedes añadir todas, o sólo alguna de las secciones (son independientes).
Aunque están muy probadas, mira el artículo de tu nG antes sobre las notas de implementación y su sección de troubleshooting.

# 6G:[QUERY STRING]
# 6G:[REQUEST METHOD]
# 6G:[REFERRER]
# 6G:[REQUEST STRING]
# 6G:[USER AGENT]
# 6G:[IP ADDRESS]

Firewall ligero para WordPress: BBQ: Block Bad Queries

Si tienes WordPress, es más fácil implementar este firewall. Puede servir tanto como capa añadida de seguridad a lo que tengas de firewall, o como solución ligera y sencilla para aquellos a los que el alojamiento o los conocimientos no les deje usar soluciones más complejas.

BBQ: Block Bad Queries implementa el firewall nG, con añadidos que te permite gestionarlo de modo gráfico.

Un plugin muy interesante a tener muy en cuenta.

Proteger la carpeta de administrador de Prestashop con una contraseña adicional por .htaccess y .htpasswd

Prestashop tiene unas medidas básicas de seguridad, como ponerle un nombre aleatorio a la carpeta de administrador (adminXXXX). Pero si quieres asegurar algo más tu tienda, puedes añadir otra capa de seguridad: una contraseña adicional.
Con el método de este artículo, cuando un usuario intente entrar en la dirección https.//tudominio.com/adminXXX el navegador mostrará una ventana emergente pidiendo un usuario y contraseña que es independiente de la web, se configura en el servidor. Así que, aunque te hayan descubierto los datos de usuario y contraseña de la web (de alguna otra manera), no podrían entrar en tu backend.

Cómo proteger la carpeta de administrador.

El proceso es el siguiente:

  • Creamos un fichero llamado .htpasswd en algún lugar de nuestro servidor (fuera de las carpetas de la web es mejor, para que no puedan descubrirlo hackeando la web.
  • El contenido está encriptado, lo podemos crear con una web como esta (o esta). Sólo copiamos el contenido que nos da al fina, tras poner el usuario, la contraseña y dar a Create .htpasswd file.
  • Una vez generado el fichero, vamos a la carpeta de administrador del Prestashop y creamos un fichero llamado .htaccess con el siguiente contenido.
    AuthType Basic AuthName "Acceso restringido con contraseña" AuthUserFile "/home/user/.htpasswds/public_html/wp-admin/.htpasswd"
    require valid-user
  • AuthUserFile tiene la ruta del fichero .htpasswd
  • Ahora cuando intentes entrar te pedirá una contraseña previa. Buen método para mejorar la seguridad de tu Prestashop.
  • Cuando hagas esto puede dejar de funcionar alguna función de tu web dependiendo de si esta requiere un fichero en ese directorio (no debiera pero cada web es diferente). Si es así, sólo hay que excluirlo.
  • También por .htaccess podemos limitar el acceso sólo a una IP (o denegar otras). Por ejemplo:

order deny,allow
allow from XXX.XXX.XXX.XXX (tu ip)
deny from all