sábado, 29 de septiembre de 2018

Hack a Facebook: 50 millones cuentas - lo que debes saber



El día de ayer muchos usuarios sin darse cuenta que sucedía simplemente tuvieron que ingresar nuevamente sus usuarios y contraseña porque Facebook había cerrado su sesión. ¿Pero que hubo detrás de esto?

Una Brecha de seguridad fue la la razón. Facebook forzó el cierre de sesión de mas de 90 millones de usuarios como medida de seguridad ante tal situación.


Facebook Hacked.

En un comunicado de seguridad publicado el día viernes 28 de septiembre, Facebook reveló que su equipo de seguridad había descubierto el ataque hace 3 días atrás, y que se mantienen investigando el incidente.

El hacker o grupo de hackers explotó un vulnerabilidad de día zero ( Zero Day Exploit) en la red social que permitió a los atacantes la obtener y robar las tokens de acceso secretas  (secret access tokens) de mas de 50 millones de cuentas. Por esta misma razón y como precaución el gigante de la red social realizó un reset de las "access tokens" de más de 90 millones de usuarios.


Algunos detalles de la Brecha de Seguridad.


Se explotaron 3 vulnerabilidades en Facebook en conjunto. 

El primer bug ofreció de forma incorrecta a los usuarios, la opción de subir un video dentro de ciertas publicaciones que permite a las personas desear "Feliz Cumpleaños" a sus amigos cuando acceden a la página "Ver Como / View As".

Al mismo tiempo el segundo error se encontraba en el gestor de subida de video, el cual generó incorrectamente un token de acceso que tenia permiso para iniciar sesión en la aplicación móvil de Facebook.

Finalmente el tercer bug fue que el token generado no era para ti como espectador, sino que fue generado para el usuario al cual estabas buscando. Así los atacantes podían obtener los Tokens de los usuarios a los cuales estaban simulando gracias a la característica "Ver Como".


Access Tokens y lo que debemos saber del Ataque.

Para comprender de que se trata y como afecta esta brecha de seguridad a los usuarios de Facebook, es que primero debemos hablar del "Access Tokens".

Los "Access Tokens" son equivalentes a credenciales de acceso, es decir una llave digital que una vez que inicias sesión con tu usuario y contraseña, se genera esta Access Token que es el responsable de mantener en Facebook la sesión iniciada y que no sea necesario estar ingresando el usuario y contraseña cada vez que utilizas la aplicación.

Ya teniendo claro el concepto de Access Token de forma básica. En el ataque a Facebook el atacante pudo obtener 50 millones de estas llaves digitales, las cuales le permitirían obtener acceso a información sensible de cada cuenta comprometida sin necesidad de saber la contraseña de inicio de tu cuenta o saber tu código de autenticación de dos factores.


"Tu contraseña no fue revelada, con el "Access Tokens" robado, no era necesaria.

Finalmente el día de ayer, Facebook realizó un reset de alrededor de 50 millones de Access Tokens afectadas y al mismo tiempo de forma preventiva de otras 40 millones mas. Como resultado de lo anterior es que alrededor de 90 millones de usuarios tendrán que volver a iniciar su sesión en Facebook o en cualquiera de sus aplicaciones que usen el Login de Facebook. Después de haber hecho dicho inicio de sesión los usuarios recibiran una notificación en la parte superior de sus Feed News explicando lo sucedido.



Fuente tomada desde: https://newsroom.fb.com/news/2018/09/security-update/


jueves, 27 de septiembre de 2018

"Sextorsión" en Chile, envío de correos falsos solicitando dinero en Bitcoins


"Sextorsión"


Sextorsión o extorsión sexual es una forma de explotación sexual en la cual  una persona es chantajeada con una imagen o vídeo de si misma desnuda o realizando actos sexuales que generalmente es compartida con fines de que se haga viral. La víctima es obligada a mantener el abuso, ya sea: mantener relaciones sexuales, entregar más material erótico o pornográfico, dinero o algún otro beneficio, bajo la continua amenaza de difundir las imágenes originales sino accede al chantaje.


"Esta sucediendo en Chile"


El día de ayer se comunicaron con nuestro soporte, una empresa de abogados a los cuales prestamos servicios. El caso era que habían recibido un correo desde una de sus propias "cuentas de correo", en el cual estaban solicitando dinero, afirmando que habían accedido por completo a los dispositivos y que por esa razón eran capaces mandar un correo desde su propia cuenta. Por otro lado, agregan que instalaron malware en cierta página de videos para adultos y explican que por haber visitado dicho sitio se infectaron del malware y ahora mediante esta infección lograron hacer registro de sus teclas -Keylogger- lo cual proporcionó acceso a su pantalla y cámara web. Además explican que obtuvieron acceso de todos sus contactos de Messenger, redes sociales y correo electrónico.

"Registro de vídeo, chantaje y Bitcoins"

Como parte de la extorsión indican que realizaron un video doble pantalla. Una parte del de esta material mostraría el video que supuestamente estabas viendo en tu pantalla ( Sitio Video para adultos) y la otra parte mostraría una captura de imagen realizada mediante la propia cámara web de la víctima. 

La víctima debe hacer un pago de $250 mediante Bitcoins (BTC)  e indican que la víctima debe buscar en google como comprar bitcoins, entregando la dirección BTC donde quieren que sea enviado el dinero con el fin de no enviar la grabación del supuesto video a todos sus contactos, compañeros de trabajo y otros.

El correo:



Análisis del Caso:

    • El hecho que el remitente de correo sea la dirección de la víctima en NINGÚN caso confirma que el atacante tenga acceso del correo. Existen formas bastante sencillas de falsear el remitente -email spoofing- .
    • Utilizan temas comunes y de uso tan frecuente por el público como el visitar páginas de adultos, para así crear un ambiente de realidad e incertidumbre hacia la víctima.
    • Utilizan términos informáticos, para confundir y establecer una posición de "conocimiento técnico" que permita obtener una posición privilegiada y superior sobre la víctima para llevar a cabo la extorsión.
    • Apelan al miedo del estigma social, sobre la navegación por sitios de adultos, aprovechando la alta probabilidad de que alguna de sus víctimas haya visitado un sitio de adultos en el último tiempo. Al mismo tiempo de verse expuesto en Internet en una grabación en torno a un momento íntimo.

  • Aclaraciones Finales:

    • Parte fundamental del ataque es mantener con temor a la víctima haciendo creer que todo lo dicho en ese correo es real y no solo parte de un engaño totalmente ficticio.
    • El atacante NO tiene acceso a tus dispositivos.
    • El atacante NO tiene acceso a tus correos, solo falseó el remitente.
    • El atacante NO tiene grabaciones de tu webcam o pantalla.
    • El atacante NO sabe si tu visitaste o no un sitio para adultos, solo juega con las probabilidades.
    • Por último, no debes pagar el dinero solicitado porque los atacantes solo están jugando con las probabilidades y tu mente. Basado en el hecho de "el que nada hace, nada teme". 
    • Y si así fuera que visitaste un sitio de adultos e hiciste cosas por las cuales podrías sentir pudor frente a la cámara, recuerda que ellos no tienen acceso a tu equipo. Y si alguna vez sucede que por otro tipo de ataque tuvieran acceso a tu cámara web, nadie puede asegurarte que el pago de dinero logré que se detengan en cuanto a la extorsión, es mas, lo más probable es que sigan solicitando dinero sin fin.


Al cierre de esta publicación

Al cierre de esta publicación ya se han recibido 5 transacciones de dinero hacia esta dirección de Bitcoins. Lo cual explica que 5 personas han realizado el pago mediante esta técnica de engaño. El monto al cierre de esta publicación por las 5 transacciones de Bitcoins asciende a 0.13293496 Bitcoins, lo que es equivalente a 569.277 pesos chilenos


viernes, 21 de septiembre de 2018

Estafa a través de WhatsApp y Facebook relacionada con "Foto de Menores" en Chile




Esta nueva metodología - Cuento del tío 2.0 - consiste en contactar usuarios mediante Facebook para luego vía WhatsApp enviar fotos de supuestas menores de edad a la víctima, posteriormente comienzan a extorsionarlos por posesión de pornografía infantil.


____________________________________________________________________________________________


Este nueva técnica esta siendo utilizada en Chile. Mediante el uso de redes sociales, específicamente Facebook y WhatsApp es que los estafadores toman contacto con sus víctimas, envían fotos de mujeres desnudas supuestamente menores de edad para luego extorsionarlos con el fin de obtener dinero.

Un estudiante universitario de 27 años realizó la denuncia tras percatarse que estaba siendo víctima de una estafa.

Según lo denunciado por el estudiante a la Policía de Investigaciones de Chile (PDI), una mujer lo habría contactado por Facebook y tras una breve conversación compartieron sus números telefónicos para continuar comunicándose por WhatsApp, donde el joven recibe fotos de índole sexual supuestamente de ella.

Posterior a eso, el joven recibe un llamado de un supuesto oficial de la PDI quien le informó que las fotografías recibidas corresponden en realidad a una menor de 14 años de edad y que el padre lo iba a denunciar, para evitar la denuncia debía realizar un depósito en una cuenta bancaria por la suma de 500.000

EL joven universitario depositó 200.000 y acudió a la Brigada de Investigación Criminal, donde confirmo lo que sospechaba: Había sido víctima de un nuevo cuento del tío.

Detienen a los Responsables

A partir de la denuncia es que la PDI logró dar con el paradero de los responsables. Se trataba de un reo de la cárcel de Valparaíso y su primo quien estaba libre con residencia en Santiago, dueño de la cuenta bancaria donde fue enviado el dinero.


lunes, 7 de mayo de 2018

Detienen por almacenamiento de pornografía infantil a abogado en Antofagasta




Fue en la Feria Internacional del Libro Zicosur (Filzic) que se desarrolla en el patio de la empresa FCAB que el sujeto fue sorprendido infraganti por los guardias del lugar tras percatarse que tenía un dispositivo que ocultaba una micro cámara con la cual grababa ropa íntima de menores y mujeres que estaban en el lugar, por lo que se llamo a Policía de Investigaciones de Chile (PDI) para que procediera con la detención.

MATERIAL DE ABUSO DE MENORES -Pornografía Infantil- 

El sujeto identificado con las siglas S.A.A.Z es Abogado en Antofagasta y trabaja como procurador en la Fundación Tierra Esperanza, organismo que trabaja directamente con el Servicio Nacional de Menores (SENAME) en Antofagasta, atendiendo casos de maltratos, abuso sexual infantil, explotación de niños y niñas.

Este sábado se realizó el control de detención en el Juzgado de Garantía de la ciudad. Ahí, la Fiscalía solicitó dos días para realizar pericias al computador del imputado, quien se presume tendría cerca de 15 mil archivos de menores.


Fue en esa instancia donde el fiscal Patricio Martínez explicó que en un disco duro encontrado en poder del imputado, existían más de 15 mil archivos (fotografías y videos) con menores de edad desnudos.


En otro soporte se encontraron más de 16 mil archivos de este mismo tipo.
Esto significa que la Brisexme debe periciar más de 400 gigabytes de información relacionada con el delito investigado.

Sobre este aspecto, el fiscal dijo que resulta vital establecer si el material era sólo acopiado por el abogado, o también lo producía, ya que ello cambiaría la calificación jurídica y las eventuales medidas que pudieran pedirse en su contra.



La formalización es hoy lunes 7 de mayo, y se esta llevando a cabo en estos instantes, estaremos actualizando....




# Gobierno Regional hoy presenta querella por este caso, mientras se espera la formalización en algunos minutos.



Fuente: Soychile.cl - Emol.com

domingo, 30 de abril de 2017

"Ballena Azul": Macabro Juego de Internet que pone en peligro vida de niños



El juego "Blue Whale" o Ballena azul es un macabro "desafío" que invita a niños y adolescentes a enfrentar 50 pruebas diariamente hasta llegar al suicidio

Este fenómeno esta presente en distintas Redes sociales como: Facebook, Twitter y Whatsapp, consiste en una serie de "retos" que son informados en un grupo cerrado donde se le solicita a jóvenes que realicen una prueba diaria por 50 días.

Algunas de estas pruebas los "obligan" a despertarse en a las 4:20 AM para mirar videos de terror, cortarse con una hoja de afeitar distintos símbolos, no hablar con nadie por un día e incluso ir a edificios y permanecer en el borde por un tiempo. El reto final es "Salta de un edificio muy alto, toma tu vida"

La intensidad de los retos va en aumento a medida que pasan los días. 




Casos en el Mundo

Los primeros casos han sido reportados en Rusia - donde se sospecha nació este macabro reto - y en los últimos días se han presentado muertes atribuibles en países como: México, Brazil y Colombia.

Chile

La situación en CHILE actualmente no es muy distinta pero aun estamos a tiempo de frenarla. El primer caso atribuible al reto de la "Ballena Azul" se registró en la ciudad de Antofagasta, donde una niña de habría iniciado las primeras fases del reto, haciendo cortes en su brazo, pero sabiendo que el reto final era el suicidio se lo habría confesado a su madre. Luego al pasar los días comenzaron a salir a la luz otros casos como una niña del Biobío, quien confesó haber sido parte del desafío y que fue derivada a la ciudad de Chillán por tener heridas importantes en los brazos y resto del cuerpo. Además existe alguno casos en La Araucanía, donde en uno de estos una niña de solo 11 años era parte del macabro reto.



Falso anuncio de "Juego de la Ballena Azul" moviliza a FBI y PDI CHILE en el Biobío

Un menor de 17 años de Coronel -Chile- anunció que transmitiría la última etapa del "juego de la ballena Azul" por su canal de Youtube, lo que encendió las alarmasen las policías.

Una llamada desde Estados Unidos, el FBI se comunicó en la madrugada del día jueves 27 pasado con la Cibercrimen de la PDI de Santiago para advertir que sobre la publicación que había hecho el adolescente y con esto impedir que sucediera dicho desenlace.

Los efectivos de Concepción se movilizaron rápidamente y a eso de las 4:00 horas lograron hablar con el adolescente y su abuela, quedando al descubierto el engaño. El fin de este engaño habría sido solo para "conseguir que más gente lo siguiera en su Canal de Youtube"


Reflexión Final

En la mayoría de los casos en el mundo, las víctimas de estos juegos son niños introvertidos, sin mayor redes de apoyo cercanas que se refugian en este mundo virtual. Es importante mantener una comunicación de confianza con nuestros niños, es un factor común en este tipo de situaciones y en otros tipos de abusos.
El menor una vez contactado y siendo participe de algo oculto, es amenazado de que lastimarán a sus familiares o que contarán -modo de acusación/amenaza- lo que sucede a sus padres. Es aquí donde una red de apoyo cercana es importante para el niño, donde sienta que en cualquier situación - aun cuando no haya hecho caso a sus padres- puede confiar en ellos y ser contenido.



¡ HABLE CON SUS HIJOS SOBRE INTERNET EL APRENDIZAJE SERA MUTUO !



martes, 28 de febrero de 2017

¡De vuelta a clases! Ciberacoso Escolar



Estamos pronto a terminar las vacaciones y con ello la vuelta a clases de los más pequeños. El colegio, un lugar donde nuestros niños pasan la mayor parte del día, aveces puede transformarse en un ambiente para sufrir de CiberAcoso.


¿A que nos referimos con CiberAcoso?


  • Suplantar la Identidad -Hacerse pasar por otro-
  • Crear perfiles falsos sobre una persona
  • Enviar mensajes ofensivos por distintos medios
  • Burlarse de una persona en grupo utilizando imágenes o móviles
  • Crear rumores falsos sobre una persona y viralizarlos
  • Modificar imágenes de una persona con el fin de burlarse
  • Subir datos personales, fotografias o videos de otro sin autorización.
  • Solicitar fotos o información que incomoden a la otra persona Ej: Fotos íntimas o personales.
  • Hostigamiento: Hacer llamadas con insultos y pitanzas.

Nota: Uno de los métodos más comunes de acoso y que además forma parte de una de las etapas del Grooming, es el Sexting. En el Sexting un acosador solicita a la víctima, mediante engaños y ya habiendose ganado su confianza haciéndose pasar como amigo, fotografías con desnudos parciales o totales [Fotos intimas]. 

Una vez ya con las fotografías el acosador logra mantener el control mediante amenazas, ya que si no hace lo que el dice publicara las fotos en Internet y las compartirá con todos nuestros conocidos.

Lo que debes saber sobre el Sexting:

  • NUNCA debes enviar fotos intimas: Estas fotos tarde o temprano serán vistas por otras personas y no saldrán nunca de la red.
  • Si ya estas viviendo algo así PIDE AYUDA: El acosador basa su ataque aislando a la víctima, hablando mal de los mas cercanos y diciendo cuanto se enojarán y castigarán si dices algo.     ESO ES MENTIRA: "SIEMPRE PUEDES CONTAR CON TUS FAMILIA Y CIRCULO MAS CERCANO, ELLOS NO TE CASTIGARÁN, SIEMPRE TE PROTEGERAN"
  • NADIE puede obligarte a enviarles fotos o hacer algo que no quieres, respétate a ti mismo. Si tienes duda, acude a alguien de confianza.





¿COMO PREVENIMOS EL CIBERACOSO?

Lo más importante es respetarte a ti mismo y a los demás. Muchas veces encontraremos gente que se hará pasar por alguien que se preocupa por ti, que poco a poco te querrá alejar de tus más cercanos solo con el afán de hacerte daño. Confía en quienes siempre te han acompañado y se preocupan por ti. Además podemos tomar algunas acciones para evitar ser víctima y proteger a otros:


  • Antes de publicar algo en Internet debes saber que todo es material sufrirá "Replicación Digital". No puedes controlar que otros vean el contenido y jamás podrás eliminarlo de Internet.
  • Apoya y ayuda a quien este siendo víctima de acoso, si tienes duda: Pregunta.
  • No olvides que el Internet en solo una parte del este Mundo. Si miras a tu alrededor verás que tienes mucha gente que se preocupa por ti sin necesidad de utilizar un móvil.
  • No publiques Datos Personales de ningún tipo y no aceptes solicitudes de amistad o mensajes de personas que no conoces. Las nuevas plataformas hacen que los atacantes no tengan que acercarse a sus víctimas para poder generar el vínculo de confianza para así nadie pueda ayudarlos.





NOTA: Si eres víctima de ciberacoso busca ayuda, cuéntale a alguien. Guarda las pruebas necesarias para poder denunciar. 
El acosador no podrá hacerte daño, la única forma de salir de este este circulo de acoso es que le cuentes a alguien lo que sucede.
Si piensas que otro esta siendo víctima: Ofrece tu ayuda y hazle sentir que no esta solo. 

¿Dudas? Comunicate con nosotros en e-Safe4kids estamos felices de ayudar.

domingo, 4 de septiembre de 2016

Fing: Detecta Intrusos en tu Red WiFi



Fing es una aplicación disponible para tanto para iOS como para Android, que te permite escanear tu red WiFi y buscar todos los equipos que estén conectados a la misma.

En ocasiones existen intrusos que logran saltar las medidas de seguridad y abusan de tu WiFi, además de su ancho de banda. Aquí es donde el uso de Fing se vuelve relevante, ya que que nos permite obtener la siguiente información (más útil):

- Equipos conectados a la red ( IP, MAC Address, Detalles ).
- Información del Router.
- Servicios disponibles en cada equipo.

La ventaja que tiene Fing es la portabilidad al ser una app móvil y la comodidad que esto representa, rapidez con la que aporta la información que andamos buscando, simplicidad de su uso y finalmente la información.



Como muestra la imagen, Fing nos permite identificar nuestro propio móvil y router fácilmente, si tienen otros equipos en su red que sean de su hogar también aparecerán en esta lista: podrán identificarlos por la IP o el nombre.

¿Cómo saber la IP de otros equipos de su hogar?