¿Por qué recibe la gente correos que tú no has enviado? E-mail spoofing.

  • Un cliente está recibiendo e-mails supuestamente desde mi dirección ¿tengo un virus?
  • Estoy recibiendo correos de spam desde contactos amigos. ¿Tengo un virus? ¿Lo tienen ellos?

Estas son preguntas habituales que nos hacen los clientes. Y, como pensamos que el conocimiento es la mayor medida de seguridad, hoy os explicamos qué es el e-mail spoofing.

Qué es el e-mail spoofing y cómo lo usan los virus y hackers.

Spoofing es el término inglés de suplantación. En informática existen muchos tipos de «spoofing» (IP spoofing, DNS spoofing…). Pero seguramente el que más ven la mayoría de los usuarios es el e-mail spoofing.

Básicamente consiste en suplantar la identidad de alguna parte del correo electrónico (normalmente el remitente) para poder enviar correos con contenido malicioso (vamos virus) a tus contactos. Al recibirlo de una «fuente segura», la idea es que los filtros de correo lo dejen pasar y tú lo abras. Es decir, que la puerta se abra, es el primer paso para el ataque.

Lo que siempre explicamos a los clientes es que:

  • Si estás recibiendo tu los correos basura, lo más seguro es que el virus no lo tengas tú. Que lo tenga alguno de tus contactos o gente que tenga tu dirección.
  • Son habituales los virus que se ponen a realizar combinaciones con la lista de contactos del infectado para ponerlos (de nuevo combinando) en los campos De (remitente) y Para (destinatarios) del correo. Es decir que Paco, infectado, puede estar enviando como cualquiera de sus contactos a cualquiera de sus contactos.
  • También es muy sencillo emular un servidor de correo electrónico, configurarlo para cualquier dominio (cualquiera) y crear las cuentas que quieras en él. Desde ahí puedes enviar (no recibir) correos aparentemente lícitos.
  • Sólo tienes que cambiar el campo (también spoofing) «Reply to» a una cuenta que quieras y también recibes.

Como veis, es MUY fácil hacer esta suplantación de correo. Técnicamente la industria está implementando funcionalidades técnicas para evitarlo (en varias capas y a varios niveles), pero todo se puede saltar. Así que es importante conocer qué está pasando.

En el vídeo os lo explicamos de manera más detallada.

En los próximos días os explicamos cosas como phishing, pharming, man in the middle, para que veáis que otras cosas añaden en los ataques, por ejemplo en el cuerpo del correo.

Cómo evitar y eliminar los virus de Facebook o del Messenger de Facebook

Ayer una serie de conocidos sufrió un virus por Messenger de Facebook. Todos los contactos de un usuario recibían un mensaje del mismo con una foto del perfil del destinatario y un enlace a un vídeo. Al pinchar en enlace, dependiendo del navegador te puede pedir que instales una extensión, aceptes unos permisos o des tu contraseña (¿¿?!!!) para poder ver dicho vídeo.

En este artículo voy a intentar explicar cómo evitar caer en estos virus de manera genérica, entendiendo como funcionan (porque hay muchas variantes) y cómo eliminarlos si has caído (de nuevo de manera genérica. No sólo para los de Messenger sino también para enlaces de Facebook.  Recordad que vuestros móviles deberían tener antivirus, pero no hay antivirus que bloquee algo que vosotros aceptáis. La primera medida de seguridad es el usuario (y el primer foco de riesgo). Por eso el primer apartado de información, para intentar formar al que quiera leerlo (muchos no lo harán).

Cómo identificar mensajes con virus.

Os vamos a dar unas pautas generales para reconocer la amenaza. El proceso de infección es simple:

-te llega un mensaje o una publicación con un reclamo o personal o adictivo (sexo, fotos tuyas, etc) que te haga que pinches en un enlace.
– Al pinchar, te llevará a una página que es la que te infectará. Esta página puede parecer una página real como Youtube o una página de artículos, vídeos etc. Todavía no estás infectado por lo más serio (aunque puede que entre malware menor como adware).
– Ahora te pedirá que aceptes la instalación de una aplicación/extensión o similar para poder ver el contenido. Otra vertiente directamente te pedirá la contraseña. Ahí está la infección seria.

El virus además es «inteligente» y personaliza el mensaje y el destino dependiendo del usuario y del navegador que usa.

Sigue estas pautas:

  1. Estos virus intentan que pinches en enlaces externos que te llevan a páginas con el malware (phishing). El enlace para que muerdas el anzuelo. Si un amigo quiere enviarte un enlace, es raro que lo haga por privado, ¿no?. Por privado se mandan fotos o mensajes, no enlaces y menos enlaces sospechosos.
  2. Desconfía de cualquier mensaje que tenga tu nombre, o tu foto de perfil. Los virus lo usan para hacerlos más creíbles. Del estilo «David mira esto». Pensad si vuestro contacto os enviaría algo así. En general, desconfía.
  3. Los vídeos o imágenes, o el uso de estas palabras, suelen ser un gran reclamo. Cuidado con ellos.
  4. Obviamente enlaces de sexo, o de «han pillado a esta chica» , «te han infectado con un virus» o  «mira esto es alucinante» son reclamos. Desconfía.
  5. No cuesta nada preguntar a vuestro contacto si ha mandado algo antes de abrir un enlace. Y, si no contesta, o en caso de duda, bórralo. No hay nada tan importante que no pueda ser borrado si hay riesgo de infección. Si era lícito, que lo envíe de nuevo.
  6. Muchos de estos virus ponen enlaces acortados para que no veas dónde te llevan. Sospecha siempre de enlaces acortados en Facebook (donde no hay límite de caracteres para hacer que tengan sentido).
  7. No tiene ningún sentido instalar NADA para ver contenido. Rechaza cualquier instalación.
  8. Y obviamente no des tu contraseña bajo ningún concepto.
  9. Las contraseñas no son seguras, olvídate, ninguna. Da igual lo largas que sean. Y al final usáis siempre la misma. Acostumbraos a usar un doble factor de autenticación. Así nadie puede usar tu Facebook (o Gmail o lo que sea) si no lo apruebas con el segundo factor. Aquí os dejo como activarlo en Facebook, iremos mostrando más en nuestro canal.
  10. Dejad de pinchar en aplicaciones chorras de Facebook…son cebos para incautos.
  11. Puedes seguir los consejos de Facebook de seguridad para comprobar si tu cuenta es segura.
  12. Si ves spam en Facebook, repórtalo, si todos lo hacemos reducimos el peligro a otros usuarios.

¿Para qué hacen esto?

Dinero. Hay dos maneras que tienen de ganar dinero. Por un lado pueden instalar software de anuncios (adware) en tu ordenador. Cada vez que pinchas les da dinero. Por otro lado ahora pueden instalarte extensiones de minado para ganar dinero minando criptomonedas. Y claro…en el peor de los casos pueden buscar contraseñas o instalar keyloggers para entrar en tu correo, cuentas de banco etc.

Has caído, ¿cómo puedes limpiar tu equipo?

Ok, has caído. ¿Ahora qué haces? ¿Cómo limpias tu equipo? Y digo tu equipo porque puede ser el ordenador, o el móvil

Ordenador.

Si es el ordenador puede haber pasado lo siguiente:

  • Navegador infectado. Se puede haber instalado una extensión en el navegador. Podrías ir a extensiones y quitar la que no conoces, pero algunas se ocultan. Recomiendo ejecutar Adwcleaner porque limpia cualquier navegador. Si tienes Chrome también puedes probar con la herramienta contra malware de Chrome.
  • Software que envía Adware. Puedes haber instalado software que produce anuncios o tipo falsos antivirus. De nuevo puedes desinstalarlos a mano, pero es mejor usar Malwarebytes, Hitman Pro o SpyBot Search and Destroy.
  • Facebook infectado. Puedes haber instalado una aplicación maliciosa en Facebook.
    Ve al menú de Aplicaciones (http://www.facebook.com/settings/?tab=applications) en las “Opciones de configuración de tu perfil, y elimina cualquier aplicación sospechosa.
  • Elimina cualquier chat de Messenger o publicación que hayas hecho que contenga el virus para que otros no se infecten.
  • Avisa a tus amigos que no abran nada sospechoso enviado por tí.
  • Cambia tu contraseña de Facebook, y los servicios que tengas con la misma contraseña. Puedes haberla facilitado conscientemente, o te la pueden haber sacado con programas espías (keyloggers). Cambia la contraseña. Daño no hace, es sano hacerlo cada cierto tiempo.
    Como muchos usáis la misma contraseña en varios servicios, los hackers es lo primero que prueban. Así que cambiadla en esos servicios también.
  • Para las contraseñas recomiendo usar Keepass.
  • Recomiendo activar el doble factor de autenticación que mencionamos arriba. En los ordenadores o móviles donde lo actives no te vuelve a pedir el doble factor, es cómodo. Y añades otra capa de seguridad. Si no tienen tu móvil, nadie puede entrar. Si además tienes páginas de empresa o similares…no seas loco y hazlo.
  • Obviamente el antivirus, sistema operativo y tus programas deben estar actualizados.
  • Hay una sección en Facebook donde puedes ver las sesiones abiertas. Si alguna te parece sospechosa, puede ser que te hayan hackeado y puedes cerrarla desde ahí.
  • En la sección del apartado anterior, te recomendamos activar Recibir alertas sobre inicios de sesión no reconocidos. Así si otro ordenador inicia sesión con tu cuenta, lo sabrás.
  • Contacta con un profesional si no estás seguro. Una limpieza de equipo no es cara (la nuestra son alrededor de 40€) y te quitas problemas.

En el móvil.

Aquí se aplican las mismas pautas anteriores, pero además:

  • Se pueden instalar aplicaciones de Adware. La mayoría de los antivirus ahora te permiten escanear las aplicaciones que tienes para ver si «son legales». Hazlo. También tienes Malwarebytes para móvil.
  • Si te sale un aviso de virus navegando, la mayoría de las veces es un web. Simplemente cierrala. Si salen más, se ha instalado una aplicación. En unos días explicamos cómo evitar los pop-ups en móviles (aquí no cabe todo).
  • De nuevo insisto es necesario instalar antivirus para los móviles.

Con esto creo que hemos tocado todos los temas…iremos actualizando si se nos ocurren más.

 

Scareware en móviles. Falsos antivirus y optimizadores. ¿Qué hacer?

Puede que hayas tenido la mala suerte de ver en tu móvil uno de estos scareware. El scareware es software malicioso que intenta asustar al usuario para que pinche en un enlace que le llevará a una página infectada por malware.

En los móviles suelen salir avisos del tipo «Tu dispositivo está infectado por X virus», «Tu dispositivo puede ser optimizado, pincha aquí para resolverlo», «Se puede mejorar la velocidad de tu dispositivo..», «se han detectado errores..». Todos son mensajes para que pinches en un enlace.
Falsos antivirus, falsos optimizadores, incluso falsas aplicaciones. Algunos ponen tu móvil a vibrar intermitentemente.

El objetivo de este scareware es o infectarte con malware, o suscribirte sin que lo sepas a servicios de mensajería premium, generar ganancias con publicidad o recopilar información.

Tranquilo, suelen ser inofensivos.

¿Cómo puedo limpiar mi móvil si me salen estos mensajes?

Depende del tipo de malware que tengas pero os damos algunos consejos:

  • La causa suele ser una app que provoca estos mensajes. Así que si hemos instalado una aplicación recientemente desinstálala y notifica a Google Apps o a iTunes que esa aplicación no es de fiar.
    En Google se puede hacer desde la página de Google Play de la aplicación. En iTunes desde aquí.
  • Instala un antivirus. Si, es necesario en el móvil y muchos tienen una opción para analizar y bloquear aplicaciones.
  • Puedes instalar Malwarebytes para tu móvil
  • Borra los datos del navegador desde Ajustes > Aplicaciones >busca la app o tu navegador > Borrar datos.
  • Si aún así no se resuelve, tendrás que restaurar el móvil a como venía de fábrica.
  • Algunos móviles chinos vienen con adware o malware en el firmware. Te tocará instalar otro firmaware o un programa que bloquee estas aplicaciones (antivirus o antimalware).
  •  Si crees que estás enviando sms o lo ves en tu factura, llama a la compañía y que desactiven los SMS a números premium.

¿Cómo evitar malware en mi móvil?

Os dejamos, como cada vez que tocamos este asunto, recomendaciones básicas.

  • SENTIDO COMÚN. Tanto en dónde pinchas navegando como con la aplicaciones que instalas.
  • Instala sólo aplicaciones de los sitios oficiales (iTunes, Google Play). Se puede colar algo, pero tienen cierto seguimiento y ciertas medidas de seguridad.
  • Instala un antivirus y/o antimalware.
  • Ten copia de tus aplicaciones y de tus contactos y datos en la nube por si tienes que restaurar.
  • Aplicaciones como CONAN Mobile te permiten saber cómo de seguro es tu dispositivo.

 

 

 

Bitdefender Adware Removal Tool. Alternativa a Adwcleaner

Supongo que todos estaréis familiarizados con las ventanitas de anuncios (muchos subidos de tono) que salen en el navegador, con estas redirecciones al ir a una página, el ordenador lento o incluso con el navegador estropeado.

Esos y  muchos otros síntomas (muchos que no veis) son causados por Adware. En sí mismo el adware no es malo, si acaso molesto. Pero es fácil que se convierta en una entrada o puerta para dejar pasar «bichos» más serios como malware, spyware, troyanos y demás.

Una de las mejores herramientas para quitar adware es Adwcleaner, de la que ya os hemos hablado. Hoy os dejamos otra opción: Bitdefender Adware Removal Tool.
Está disponible para Windows y para Mac.

No tiene mucho más que explicar, descargas la aplicación, la instalas, detecta y limpia. En caso de tener aplicaciones adware te pedirá si quieres desinstalarlas.

Otra buena herramienta gratis que debes tener a mano para realizar limpiezas periódicas en tu ordenador. Sobre todo si visitas páginas poco fiables o ves series online.

bitdefenderadw

Secuestro de la página de inicio de Chrome con el buscador de Yahoo

A principios de esta semana nos llamó una clienta con el Chrome infectado. Había bajado un programa de Internet y se le había infectado el ordenador.

Limpiamos la infección pero quedaba la página de inicio de Chrome, que se autoredirigía a Yahoo Search. Parece ser que por un malware llamado akamaihd. Y ni Adwcleaner, ni Malwarebytes, ni Spybot lo limpiaban. Tampoco era ningún programa raro instalado (borramos todos) ni extensión en Chrome.

No parecía haber manera de limpiarlo. Aquí os dejamos la solución.

  1. Desinstalar Chrome.
  2. Ahora pensaréis que pondremos «Instalar Chrome». NO. Primero hay que ir a C:\Users\%USERNAME%\AppData\Local\Google  y borrar la carpeta de Chrome.
    Obviamente puedes hacer una copia antes de borrarla o moverla a algún lado.
  3. Ahora reinstala Chrome.

Veréis como la redirección a Yahoo Search Engine se ha ido.

 

MCShield Anti Malware tool

Ayer uno de nuestros clientes tuvo problemas con USBs infectados. Dentro de las varias herramientas de limpieza que usamos, una de las que probamos y dio buen resultado fue MCShield Anti Malware tool.

MCShield es una herramienta anti malware que además tiene, dentro de sus opciones, la de analizar toda unidad que se conecte. Por lo tanto si tienes activa esta herramienta, cualquier USB que conectes te lo analizará y limpiará.

Recomiendo herramientas de este tipo para equipos donde se vayan a conectar muchos USBs, o incluso usarlo para conectar primero los USBs en ese equipo y luego en el resto.

El único fallo que veo es que los últimos cambios parecen ser de Febrero del 2014. Espero que siga en desarrollo.

 

Limpiar el virus de la policía y similares (widebrowdroid etc) en Android

El famoso virus de la policía que tantos quebraderos de cabeza dio en los PC ha llegado a los móviles Android. Afortunadamente no es tan agresivo todavía como su hermano mayor, y suele ser más parecido a los otros que estamos viendo mucho, el spyware en los iphone.

Los síntomas son sencillos, intentas abrir el navegador y te sale un aviso sobre pornografía o virusandroidpederastia y te pide pagar una cantidad con los detalles del pago.

Solución:

Hay dos maneras principales de limpiar esta infección dependiendo del tipo que sea. Dejamos las variantes:

  • Lo primero que tienes que probar es si sólo es del navegador (el de Android normalmente). Para ello ve a Ajustes, Gestor de Aplicaciones, Todo y busca Internet.  Ahí borra los datos (se te pueden ir favoritos y páginas guardadas, y cierra el proceso.
    Vuelve a abrir el navegador, si ya no sale era sencillo.
  • Si no es el navegador prueba a desinstalar aplicaciones que hayas instalado nuevas. También instala un antivirus y/o Malwarebytes para que te escanee las aplicaciones. Seguramente sea una de ellas.
  • Otro modelo de este virus te da sólo 5 segundos entre cada aviso y no te deja tiempo para desinstalar. La solución es arrancar en modo seguro. Si tu versión de Android es «pura» esta opción viene al apagar o al arrancar el teléfono. Si no tienes que mirar en Google cómo arrancar en Modo Seguro en tu teléfono. Por ejemplo en los Samsung es dar volumen abajo cuando aparece la pantalla de Samsung.
    En modo seguro haz los pasos anteriores (limpia los datos de Internet y/o desinstala aplicaciones inseguras). Al reiniciar el teléfono arranca normal y debería estar arreglado.

Prevención: unos consejos para evitar estas infecciones.

  • Cuidado con donde pinchas.
  • NO instales aplicaciones de las que no estés totalmente seguro, incluso si son de Google Play (y más si no lo son).
  • Instala un antivirus para Android.
  • Instala Malwarebytes para Android.
  • No uses el navegador original de Android, no suele actualizarse. Es mejor Chrome, CM Browser, Firefox etc que al actualizarse tienen mejor medidas de seguridad.
  • Ten copia de los contactos o lo más importante en la nube o en tu ordenador.

 

Ransomeware Removal Kit

Dado el daño que está haciendo el ransomware en mucha gente, del que ya hemos hablado antes, un usuario ha decidido hacer una recopilación de los tipos de ransomeware que existen, sus posibles soluciones y sus métodos de recuperación (si los hay). Lo ha hecho en el Ransomeware Removal Kit.

Estos virus siguen activos, ayer mismo OSI sacó otro aviso porque se detectó una nueva oleada (nosotros recibimos varias notificaciones). En líneas generales este usuario recomienda lo mismo que nosotros:Selección_153

  • Eliminar el virus. Recomiendo hacerlo con varios programas antimalware y antivirus para asegurarse. Y obviamente desconectado de tu red.
  • Identificar el tipo de virus que te ha infectado. Para poder saber cómo limpiarlo de manera más rápida. Normalmente en el paso anterior las herramientas te dicen con qué te han infectado.
  • Haz una copia de algún fichero encriptado. Por si lo necesitas luego para desencriptar. Este paso tampoco es tan vital.
  • Recupera con una copia de seguridad. Ja…casi nadie tiene. Pero puedes usar veriones anteriores tipo Shadow Copy o versiones de Windows o de Dropbox. Si tienes XP estás fastidiado….no tienes mucha solución si no existe «decriptor».
  • Usa una herramienta específica para recuperar los datos. Basada en el paso 2. En algunos casos será usar las copias de seguridad, en otras desencriptar (las menos lamentablemente) y en otras será recuperar los archivos dañados.

¿Cómo funciona el Kit? Puedes descargártelo en el apartado Download. Ahí te bajas todo el repositorio con las soluciones o pasos recomendados para cada uno. Si quieres ver el contenido sin descargarlo lo puedes ver aquí.
Coge el virus que te ha infectado y sigue los pasos…si tienes suerte.

No es la panacea, pero es de agradecer tener  un sitio donde poder ver las soluciones todas juntas y los pasos a seguir. Gracias a su creador por ponerlo y actualizarlo.

Si no encuentras la solución, los pasos generales para el ransomware en resumen suelen ser:

  • Limpia (desconectado)
  • Usa las copias de seguridad de Shadow Copies para recuperar lo que puedas.

 

KillEmAll: elimina todos los procesos excepto los esenciales para Windows

Cuando estamos eliminando malware en un ordenador, a veces no nos deja instalar herramientas de limpieza (antivirus, antimalware etc). El «bicho» está funcionando y corta cualquier programa.

En estos casos lo mejor es o engañar al «bicho» o parar su proceso para poder ejecutar las herramientas de limpieza. Pero no siempre es fácil.

Para estos casos está KillEmAll (mátalos a todos), un programa que lo que hace es parar todos los procesos excepto los esenciales para que Windows siga funcionando.  Evidentemente no es infalible, puede que tampoco pueda ejecutarse (limpiar un malware peleón suele ser una lucha entretenida) pero es algo más que probar.

En la página de descarga: http://www.foolishit.com/vb6-projects/killemall/  tenéis instrucciones de cómo ejecutarlo para que pueda parar procesos (pero con darle permisos de administrador vale).

 

Reglas GPO para evitar los virus ransomware. Cryptoprevent

Ya llevamos unos días hablando de los virus ransomware, porque la verdad es que están aumentando la complejidad en sus formas de acceder a los ordenadores y, una vez dentro, están causando estragos.

Afortunadamente muchos expertos en seguridad están trabajando a marchas forzadas para sacar decrypters para recuperar los archivos encriptados….pero todavía no hay para muchas variantes. Y las variantes mutan y mejoran cada semana.
Aquí podéis ver una entrevista a Chema Alonso al respecto.

La mayoría de los antivirus y antimalware actualizados puede encontrar estos virus e incluso limpiarlos (aunque cuidado porque si pinchas donde no debes pueden entrar y hacer su trabajo antes de que se limpie).

¿Cómo evitar entonces que entren? La respuesta es teniendo cuidado y cierta información sobre cómo usar el ordenador. Si el usuario pincha donde no debe no hay solución…el virus entra. Sin embargo si que se pueden tomar ciertas medidas para disminuir el riesgo. No son 100% efectivas porque según se van desarrollando los virus van tomando medidas para esquivarlas. Pero es bueno hacerlo.

Una de ellas (la de hoy) son las reglas GPO o políticas en el ordenador que prohíben que los programas (.exe o parecidos) se ejecuten desde ciertas rutas «raras». Si la infección se descarga desde internet o correos, suelen meterse en carpetas temporales del ordenador. Podemos hacer que no se puedan ejecutar programas desde ahí mediante estas reglas.

¿Qué reglas hay que poner? La dificultad de esto es que varían, pero las principales rutas a bloquear son:
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)
%Temp%
C:\Windows

Obviamente hay programas legítimos que usan esas rutas, y esos hay que dejarles pasar, por lo que no recomendamos el Método 1: modo manual. Aún así si queréis hacerlo (por ejemplo en un dominio) aquí tenéis más información. Recordad que en las versiones Home de Windows no tenéis el editor de políticas de grupo y tenéis que usar el segundo método que recomendamos.

Método 2:CryptoPrevent.

La gente de Foolish IT ha sacado un programa para automatizar las reglas de restricción de software que además sirve para las versiones Home Edition: CryptoPrevent.Las versiones de pago (os las recomendamos) tienen además la ventaja que se van actualizando cada cierto tiempo para prevenir las mutaciones del virus.
Aún así las versiones gratis del programa son excelentes. Tienes varios modos de instalación (recomendamos el avanzado), permite la desinstalación automática y permite añadir programas al whitelist para que se puedan ejecutar. Además en las sección de Blacklist vemos las reglas que ha puesto.

Este programa, aunque no es una prevención 100% eficaz es algo básico que debería instalarse en todos los ordenadores porque además previene otro tipo de infecciones de malware. Nosotros lo estamos instalando en todos los ordenadores de los clientes.