Malware
HACKEAR LA CONTRASEÑA DE WPA WIFI / WPA2 USANDO REAVER SIN LISTA DE PALABRAS
Reaver-WPS desempeña un ataque de fuerza bruta contra el número de pin de WiFi de un punto de acceso. Una vez encontrado el pin de WPS, WPA PSK se puede recuperar y alternativamente la configuración inalámbrica de AP puede ser reconfigurada. Con ayuda de profesores de curso de seguridad en redes y ethical hacking describimos los pasos y los comandos que ayudan al cracking las contraseñas WPA Wifi / WPA2 utilizando Reaver-WPS.
Reaver-wps enfoca sobre la funcionalidad de registro externo exigido por la especificación de la configuración de Wi-Fi protegida. Los puntos de acceso proporcionarán registradores autenticados con su configuración inalámbrica actual (incluyendo la WPA PSK), y también aceptan una nueva configuración del registrador.
Con el fin de autenticar como registrador, el registrador debe demostrar su conocimiento del número de PIN de 8 dígitos de la AP. Los registradores podrán autenticarse en un punto de acceso en cualquier momento y sin interacción con el usuario. Dado que el protocolo WPS se lleva a cabo sobre EAP, el registrador sólo tiene que estar asociado con el AP y no necesita ningún conocimiento previo de la encriptación o la configuración inalámbrica explica el profesor de curso de seguridad en redes y ethical hacking.
Reaver-WPS desempeña un ataque de fuerza bruta contra la AP, intentando todas las combinaciones posibles con el fin de adivinar el número PIN de 8 dígitos de la AP. Dado que el número de pines son totalmente numéricos, hay 10 ^ 8 (100.000.000) valores posibles para cualquier número de pin dado. Según experto de ethical hacking, el último dígito del pin es un valor de suma de control que puede ser calculada en base a los 7 dígitos anteriores, que el espacio clave se reduce a 10 ^ 7 (10, 000,000) valores posibles.
Otro factor que afecta la seguridad en redes es la longitud de la clave. Longitud de claves se reduce aún más debido al hecho de que el protocolo de autenticación WPS corta el pin en medio y valida cada medio individual. Eso significa que hay 10 ^ 4 (10.000) valores posibles para la primera mitad del pin y 10 ^ 3 (1000) valores posibles para la segunda mitad del pin, con el último dígito del pin siendo una suma de comprobación.
Reaver-WPS adivina la primera mitad del pin y luego la segunda mitad del pin, lo que significa que todo la longitud de clave para el número PIN WPS puede agotarse en 11.000 intentos. Estadísticamente, sólo tendrá la mitad de ese tiempo con el fin de adivinar el número PIN correcto. Vamos a ver cómo configurar e instalar Reaver-WPS con ayuda de profesores de curso de seguridad en redes y ethical hacking.
INSTALACIÓN:
Instalar Linux Kali, todo construido en él. (Reaver-WPS, libpcap y libsqlite3)
USO:
Generalmente los únicos argumentos necesarios para Reaver-WPS son el nombre de la interfaz y el BSSID del AP objetivo:
# reaver -i mon0 -b 00:01:02:03:04:05
El canal y el SSID del AP objetivo serán identificados automáticamente por Reaver-WPS, salvo que se especifique explícitamente en la línea de comandos:
# reaver -i mon0 -b 00:01:02:03:04:05 -c 11 -e linksys
Por defecto, si el punto de acceso cambia de canal, Reaver-WPS también cambiar su canal en consecuencia. Sin embargo, esta función puede ser desactivada mediante la fijación del canal de la interfaz explica experto de ethical hacking:
# reaver -i mon0 -b 00:01:02:03:04:05 –fixed
La recepción predeterminada del tiempo de espera es de 5 segundos. Este período de tiempo de espera se puede ajustar manualmente si es necesario.
# reaver -i mon0 -b 00:01:02:03:04:05 -t 2
El período de demora predeterminado entre los intentos del pin es de 1 segundo. Este valor puede ser aumentado o disminuido a cualquier valor entero no negativo. Un valor de cero significa que no hay retraso:
# reaver -i mon0 -b 00:01:02:03:04:05 -d 0
Algunas APs bloquearán temporalmente su estado WPS, por lo general durante cinco minutos o menos, cuando se detecte actividad “sospechosa”. De forma predeterminada cuando se detecte un estado bloqueado, Reaver-WPS comprobara el estado cada 315 segundos y no continuara ataques de fuerza bruta al pin hasta que el estado WPS este desbloqueado. Según profesores de curso de seguridad en redes y ethical hacking, esta comprobación puede ser aumentada o disminuida a cualquier valor no negativo:
# reaver -i mon0 -b 00:01:02:03:04:05 –lock-delay=250
Para un resultado adicional, la opción verbose puede ser proporcionada. Proporcionando la verbose dos veces aumentará la verbosidad y mostrará cada número del pin, ya que se intenta:
# reaver -i mon0 -b 00:01:02:03:04:05 -vv
El período de tiempo de espera predeterminado para la recepción de los mensajes de respuesta M5 y M7 WPS es .1 segundo. Este período de tiempo de espera se puede ajustar manualmente si es necesario (tiempo de espera máximo es de 1 segundo):
# reaver -i mon0 -b 00:01:02:03:04:05 -T .5
Aunque la mayoría de AP no les importa, el envío de un mensaje de EAP FAIL para cerrar una sesión WPS. Por defecto esta función está desactivada, pero se puede habilitar para aquellas AP que lo necesitan:
# reaver -i mon0 -b 00:01:02:03:04:05 –eap-terminate
En primer lugar, asegúrese de que su tarjeta inalámbrica está en modo monitor:
# airmon-ng start wlan0
Para ejecutar Reaver, debe especificar el BSSID del AP objetivo y el nombre de la interfaz en modo monitor (por lo general ‘mon0’, no ‘wlan0’, aunque esto puede variar en función de la tarjeta inalámbrica / controladores):
# reaver -i mon0 -b 00:01:02:03:04:05
Es probable que también desee utilizar -vv para obtener información verbose sobre progreso de Reaver:
# reaver -i mon0 -b 00:01:02:03:04:05 -vv
ACELERANDO EL ATAQUE
De forma predeterminada, Reaver-WPS tiene un retardo de 1 segundo entre los intentos del pin. Puede deshabilitar este retraso añadiendo ‘-d 0’ en la línea de comandos, pero a algunas AP podría no gustarle menciona el profesor de curso de seguridad en redes y ethical hacking:
# reaver -i mon0 -b 00:01:02:03:04:05 -vv -d 0
Otra opción que puede acelerar un ataque es -dh-small. Esta opción indica a Reaver para utilizar un pequeño número secreto diffie-Hellman con el fin de reducir la carga computacional en la AP objetivo:
# reaver -i mon0 -b 00:01:02:03:04:05 -vv –dh-small
SUPLANTACIÓN DE MAC
En algunos casos es posible que se desee / necesite suplantar tu dirección MAC. Reaver es compatible con Suplantación de MAC con la opción -mac, pero hay que asegurarse de que ha falsificado su MAC correctamente con el fin de que funcione.
# ifconfig wlan0 down
# ifconfig wlan0 hw ether 00:BA:AD:BE:EF:69
# ifconfig wlan0 up
# airmon-ng start wlan0
# reaver -i mon0 -b 00:01:02:03:04:05 -vv –mac=00:BA:AD:BE:EF:69
Controladores inalámbricos compatibles
Los siguientes controladores inalámbricos han sido probados o reportados para trabajar con éxito con Reaver-WPS:
ath9k
rtl8187
carl19170
ipw2000
rt2800pci
rt73usb
SÓLO DE FORMA PARCIAL
Los siguientes controladores inalámbricos han tenido un éxito relativo, y pueden o no pueden trabajar en función de su tarjeta inalámbrica
ath5k
iwlagn
rtl2800usb
b43
CONCLUSIÓN
Si desea Pentest o Hackear sus contraseñas Wifi, entonces lo primero que se necesita es una tarjeta Wi-Fi compatible. Durante el curso de seguridad en redes y ethical hacking, tu tendrás la oportunidad de aprender a PenTest o hackear contraseñas Wifi, cómo inyectar, falsificar, configurar una AP falsa o Honeypot.
¿CÓMO HACER UN ANÁLISIS FORENSE DIGITAL DEL INCIDENTE DE HACKING?
Cuando una organización es una víctima de la infección por malware avanzado, se requiere una acción de respuesta rápida para identificar los indicadores asociados al malware para remediarlo, establecer mejores controles de seguridad para evitar que se presenten en el futuro. Con la ayuda de maestro de escuela de informática forense, en este artículo usted aprenderá a detectar la infección de malware avanzado en la memoria utilizando una técnica llamada “Memory Forensics” y también aprenderá a utilizar los kits de herramientas de forense, como la Volatility para detectar malware avanzado en escenario de caso real.
Según expertos de servicios de ciberseguridad de International institute of cyber security, el análisis forense de memoria es el análisis de la imagen de memoria tomada desde el ordenador en funcionamiento. La memoria forense juega un papel importante en las investigaciones y respuestas a incidentes. Puede ayudar en la extracción de artefactos de análisis forenses desde la memoria de la computadora como en un proceso en ejecución, conexiones de red, los módulos cargados, etc. También puede ayudar en el desembalaje, la detección de rootkits y la ingeniería inversa.
PASOS EN EL ANÁLISIS FORENSE DE MEMORIA
A continuación se muestra la lista de los pasos involucrados en el análisis forense de memoria según cursos de escuela de informática forense.
- Adquisición de memoria – Este paso consiste en el descargando de la memoria de la máquina de destino. En la máquina física se pueden utilizar herramientas como Win32dd / Win64dd, Memoryze, Dumpit, FastDump. Mientras que en la máquina virtual es más fácil adquirir la imagen de memoria, lo puedes hacer mediante la suspensión del VM agarrando el archivo “.vmem”
- Análisis de la memoria – una vez que una imagen de memoria es adquirida, el siguiente paso es analizar la imagen de la memoria. Herramientas para análisis forense como Volatility y otros como Memoryze puede ser utilizado para analizar la memoria según expertos de servicios de ciberseguridad.
Volatility es un framework de análisis forense de memoria escrita en Python. Una vez que la imagen de la memoria ha sido adquirida, podemos utilizar Volatility para realizar el análisis forense de memoria de la imagen adquirida. Según curso de escuela de informática forense, Volatility se puede instalar en varios sistemas operativos (Windows, Linux, Mac OS X).
ESCENARIO POSIBLE
Tu dispositivo de seguridad te alerta de una conexión maliciosa http con el dominio “web3inst.com” que resuelve a 192.168.1.2, se detecta una conexión de origen ip 192.168.1.100. Un experto servicios de ciberseguridad, se te pide que investigues y realices análisis forense de la memoria en la máquina de 192.168.1.100.
ADQUISICIÓN DE MEMORIA
Para empezar, la adquisición de la imagen de memoria desde 192.168.1.100, utilizando herramientas de adquisición de la memoria. El archivo de imagen de memoria se denomina como “infected.vmem”.
ANÁLISIS
Ahora que hemos adquirido “infected.vmem”, vamos a comenzar nuestro análisis utilizando Volatility avanzado esquema de análisis memoria.
Volatility, muestra la conexión a la IP maliciosa hecha por el proceso (con pid 888).
La búsqueda en Google muestra que este dominio (web3inst.com) es conocido por esta asociado con malware, (web3inst.com).Esto indica que el origen ip 192.168.1.100 podría estar infectado por cualquiera de estos malwares; necesitamos confirmar eso con un análisis más detallado.
Dado que la conexión de red a la ip 192.168.1.2 fue hecha por pid 888, tenemos que determinar qué proceso está asociado con pid 888. “psscan” muestra que pid 888 pertenece a svchost.exe.
La ejecución del escaneo de YARA sobre imagen de memoria para el texto “web3inst” confirma que el dominio (web3inst.com) está presente en la memoria de svchost.exe (pid 888). Esto confirma que svchost.exe estaba haciendo conexiones con el dominio malicioso “web3inst.com”
Ahora sabemos que el proceso svchost.exe estaba haciendo conexiones al dominio “web3inst.com”, vamos a centrarnos en este proceso. Comprobando el mutex creado por svchost.exe muestra un mutex sospechoso “TdlStartMutex”
Examinando controladores de los archivos en svchost.exe muestra que controla dos archivos sospechosos.
En el paso anterior se detectó DLL oculto. Este DLL oculto puede ser descargado desde la memoria al disco utilizando el módulo Volatility dlldump como se muestra a continuación
Al presentar el vaciado del DLL con VirusTotal confirma que eso es malicioso.
Buscando el archivo controlador usando volatility plugin no se podría encontrar el controlador que empiece con “TDSS” mientras que Volatility’s driver scan plugin consiguió encontrarlo. Esto confirma que el controlador del kernel (TDSSserv.sys) estaba oculto.
Vertiendo el controlador de kernel y enviándolo a VirusTotal confirmara que se trata de TDSS (Alureon) rootkit confirman expertos de servicios de ciberseguridad.
Conclusión
El análisis forense de memoria es una técnica de investigación de gran alcance y con una herramienta como Volatility es posible encontrar malwares avanzados y sus artefactos forenses de memoria lo que ayuda a la respuesta ante incidentes en el análisis de malware e ingeniería inversa. Como se vio, comenzando con poca información hemos sido capaces de detectar el malware avanzado y sus componentes. Podrían aprender más sobre forense con el curso de escuela de informática forense.
¿CÓMO DEFINIR UN PLAN DE SEGURIDAD INFORMÁTICA?
El plan de seguridad informática se describe cómo se implementan la seguridad, las políticas definidas, las medidas y los procedimientos. El plan de seguridad informática se desarrolla sobre la base de los recursos informáticos en dependencia de los niveles de seguridad alcanzados y de los aspectos que queden por cubrir. Un plan de seguridad informática debe enfocar sobre las acciones a realizar para lograr niveles superiores de seguridad. Es muy importante a definir el alcance de un plan de seguridad informática. Acuerdo con los especialistas de los servicios de seguridad lógica para empresas, el alcance ayuda en definir las prioridades y acciones dependiendo de los recursos informáticos.
La seguridad física y la seguridad lógica son dos aspectos del plan de seguridad informática y son necesarios para la seguridad de una empresa. A continuación son los detalles de cada aspecto.
SEGURIDAD LOGICA
Una parte importante de un plan de seguridad informática es seguridad lógica. Medidas y procedimientos de seguridad lógica junto con políticas de seguridad lógica forman una ruta para implementar seguridad lógica.
MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD LÓGICA
Las soluciones y servicios de seguridad lógica para empresas son partes de las medidas y procedimientos. Sistemas de seguridad lógica para empresas se establecen las medidas y procedimientos que se requieran para la prevención, detección y recuperación de la información empresarial. Según expertos de empresa de seguridad lógica, las políticas de seguridad lógica y sistemas de seguridad perimetral son partes integrales de los servicios de seguridad lógica. Las soluciones y servicios de seguridad lógica para empresas evitan accesos no autorizados a la información empresarial. Los servicios de seguridad lógica para empresas crean barreras lógicas que protejan el acceso a la información.
Los consultores de los servicios de seguridad lógica para empresas mencionan que tradicionalmente las empresas dependieron sobre los sistemas de seguridad perimetral para defenderse de las amenazas de redes y sobre los programas de antivirus para defenderse de las amenazas del contenido. Sin embargo, estos sistemas no dan una protección completa contra ataques avanzados. Los consultores de servicios de seguridad lógica para empresas aseguran que la defensa contra ataques avanzados está más allá de la capacidad de las soluciones convencionales de seguridad lógica. Esto ha acelerado la necesidad de los servicios de seguridad lógica y las soluciones avanzadas.
SISTEMA DE SEGURIDAD PERIMETRAL
Una parte importante de las soluciones y servicios de seguridad lógica para empresas es un sistema de seguridad perimetral. Todas las empresas, con independencia de su tamaño y del sector al que se dediquen, actualmente tienen algún tipo de sistema de seguridad perimetral para ciberdefensa contra ciberataques. Los sistemas de seguridad perimetral por redes están responsable de la seguridad del sistema informático de una empresa contra amenazas externas, como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, etcétera.
Anteriormente sistemas de seguridad perimetral por redes, solo incorporaba cortafuego, pero el mercado de sistema de seguridad perimetral está cambiando mucho y ahorita un sistema de seguridad perimetral por redes también incorpora los sistemas de IDS (Intrusión Detection Systems) e IPS (Intrusión Prevention Systems). Los especialistas de seguridad perimetral mencionan que un sistema de seguridad perimetral por redes debe inspeccionar los protocolos de aplicación, contenido y debe utilizar técnicas avanzadas para identificar las amenazas no conocidas. Los sistemas de seguridad perimetral proporcionan protección a dos diferentes nivel. El primer nivel es de la red, el sistema de seguridad perimetral para redes proporciona protección contra amenazas como ataques de hackers, las intrusiones o el robo de información en las conexiones remotas. El segundo nivel es del contenido, el sistema de seguridad perimetral para contenido proporciona protección contra amenazas como malware, phishing, el spam y los contenidos web no apropiados para las empresas. Esta clara división unida al modo de evolución de las amenazas en los últimos años ha propiciado que las empresas del sistema de seguridad perimetral se enfoquen en el desarrollo de equipos dedicados a uno u otro fin.
IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS USUARIOS
Identificación y autenticación de los usuarios son partes importantes de medidas y procedimientos. Los controles de acceso para seguridad informática son las medidas de identificación y autenticación de los usuarios. La asignación de derechos y privilegios en un sistema de controles de acceso es controlada a través de proceso de autorización que determina el perfil de cada usuario. Las soluciones de controles de acceso para seguridad informática garantizan el acceso de usuarios autorizados e impidiendo el acceso no autorizado a los sistemas informáticos. Acuerdo con la experiencia de los expertos de los controles de acceso para seguridad informática, durante la implantación de los controles de acceso las empresas deben considerar los siguientes aspectos:
- Las políticas de seguridad lógica para la clasificación, autorización y distribución de la información.
- Las normas y obligaciones empresariales con respecto a la protección del acceso a la información.
- Auditoría de seguridad informática para verificar los procesos de los controles de acceso.
- Mantener los registros de acceso por cada servicio o sistema informático.
- Los procedimientos para identificación de usuarios y verificación del acceso de cada usuario.
- Los controles de acceso para seguridad informática deberán cubrir todas las fases del ciclo de vida del acceso del usuario, desde el registro inicial de nuevos usuarios hasta la anulación del registro de usuarios que no requieren más acceso a los sistemas informáticos.
- Sistema y método de autenticación empleado por los controles de acceso para seguridad informática.
- Por mayor seguridad, considerar las soluciones avanzadas de controles de acceso de seguridad informática, tales como biometría, tarjetas inteligentes etc.
- Definir los recursos, cual deben ser protegidos con las soluciones de control de acceso.
- Procesos y metodología de autorización utilizados por los controles de acceso.
Según expertos de controles de acceso para seguridad informática, el proceso de revisión de los derechos de acceso de usuarios después de cualquier cambio es muy importante. Las empresas deben implementar los sistemas de seguridad perimetral por redes con el fin de evitar la modificación no autorizada, destrucción y pérdida de los datos de sistema de control de acceso.
POLÍTICAS DE SEGURIDAD LÓGICA
El objetivo primordial de las políticas de seguridad lógica es suministrar orientación y ayudar la dirección, de acuerdo con los requisitos empresariales y con las normas de seguridad. Las políticas de seguridad lógica representan los objetivos empresariales y compromiso a la seguridad informática. Las políticas de seguridad lógica deben ser publicadas adentro de la empresa y ser comunicadas a todos los empleados de la empresa.
Las políticas de seguridad lógica definen los recursos, cual deben ser protegidos y cual son los procedimientos de seguridad lógica. Las políticas de seguridad lógica en sí mismas no dicen como los recursos son protegidos. Esto es función de las medidas y procedimientos de seguridad lógica. Por cada política de seguridad lógica existen varias medidas y procedimientos que le correspondan. Desde que las políticas de seguridad lógica pueden afectar a todos los empleados es importante asegurar a tener el nivel de autoridad requerido para implementación y desarrollo del misma. Las políticas de seguridad lógica debe ser avaladas por los expertos con experiencia en implementación de políticas de seguridad lógica y por la dirección de la empresa que tiene el poder de hacerlas cumplir. Políticas como de gestión de los incidentes, de respaldo de datos, de protección de datos personales forman una parte integral de las políticas de seguridad lógica.
SEGURIDAD FÍSICA PARA LA EMPRESA
Otra parte importante del plan de seguridad informática es la seguridad física empresarial. Las medidas y procedimientos de seguridad física están dirigidas a lograr una eficiente gestión de la seguridad y deben garantizar el cumplimiento de las regulaciones vigentes, así como las establecidas por la propia entidad. Las soluciones de seguridad física de la información, tienen el objetivo de evitar accesos físicos no autorizados, daños e interferencias contra la infraestructura informática y la información empresarial. Las soluciones de seguridad física de la información, forman una parte de integral de las soluciones de seguridad física. Las soluciones de seguridad física de la información, se aplican a los departamentos de informática, de los soportes de información y otros departamentos donde se encuentran gestión de datos. El plan de seguridad informática, determina las zonas controladas adentro de la empresa y estas zonas tienen requerimientos específicos de seguridad, en base a lo cual se declaran zonas limitadas, restringidas o estratégicas y se describen las soluciones de seguridad física de la información que se aplican en cada una de ellas.
Generalmente las soluciones de seguridad física de la información crean una barrera física alrededor de las áreas de procesamiento de la información. Pero algunas soluciones de seguridad física de la información, utilizan múltiples barreras para brindar protección adicional y estar más seguro. Periódicamente, las empresas deben hacer la revisión de rendimiento de las soluciones y determinar las acciones a realizar para lograr el ciclo de mejora continua.
La protección de la infraestructura informática y dispositivos empresarial forma una parte integral de las soluciones de seguridad física de la información y son necesarias para reducir las amenazas físicas de accesos no autorizados a la información y riegos de robos o daños. Las soluciones deben tomar en cuenta las acciones necesarias para cubrir las brechas de seguridad y la corrección de los errores de los sistemas. Las soluciones de seguridad física de la información garantizan la protección contra fallas eléctricas, intercepción de la información y la protección de los cables. Según los expertos de soluciones de seguridad física de la información, las amenazas físicas como daños que puedan ser ocasionados por incendios, inundaciones, terremotos, explosiones, y otras formas de desastre natural o artificial deben ser consideradas durante la implantación de las soluciones de seguridad física de la información.
La implementación de un plan de seguridad es un paso importante en el ámbito de seguridad. Deben tomar ayuda de una organización con especialización en los servicios de seguridad lógica para empresas. El plan de seguridad informática debe ajustar al sistema de seguridad implementado y utilizándolo como una herramienta de la gestión de la seguridad. El plan de seguridad informática debe ser muy comprensible y eso asegura su cumplimiento. Los expertos en plan de seguridad informática podrían asegurar que el plan está actualizado sobre la base de los cambios como nuevas políticas de seguridad lógica y soluciones de seguridad física de la información.
¿Cómo piratear (Hackear) Microsoft Outlook?
En las pruebas de seguridad en aplicaciones web algunas veces puede ser difícil adquirir más privilegios en el (Microsoft Outlook) sistema objetivo. En esta situación, puede ser útil para obtener acceso a los recursos con información confidencial, como contraseñas.
Según expertos de curso de seguridad web; ‘Metasploit’ no tiene ningún módulo para leer mensajes de correo electrónico desde una instalación local de Outlook. Sin embargo Outlook puede contener una gran cantidad de información confidencial y útil en pruebas de seguridad en aplicaciones web, tales como credenciales de red. Para crear un módulo de ‘Metasploit’ que puede leer y / o buscar en los mensajes de correo electrónico de Outlook locales podrían seguir los siguientes paso acuerdo con el curso de seguridad web.
¿Cómo hacerlo?
Con el fin de hacer esto, el módulo está utilizando ‘PowerShell’. La siguiente secuencia de comandos ‘PowerShell’ es utilizada por el módulo ‘Metasploit’ explica experto de curso de seguridad web.
La función de ‘List-Folder’ muestra todos los buzones y carpetas disponibles asociados en una instalación local de Outlook.La función ‘Get-Emails “se utiliza para mostrar los mensajes en una carpeta específica, estos mensajes también pueden ser filtrados por una palabra clave (por ejemplo,” contraseña “).
Un problema que puedes enfrentar, es la ventana emergente de seguridad cuando te conectas al Outlook usando ‘powershell’ durante pruebas de seguridad en aplicaciones web.
Es todo un reto omitir este mensaje, ya que el usuario debe dar clic manualmente. En el módulo puedes usar WinAPI con el fin de lograr esta omisión. Tenga en cuenta que el usuario detrás del sistema objetivo puede notar estas actividades, por lo tanto debe tener presente que podrían detectar estas actividades cuando se utiliza este módulo. La siguiente función está comprobando la casilla de “acceso permitido” y haciendo clic en permitir.
Uso del módulo
El módulo puede ser instalado mediante la actualización ‘Metasploit’ durante pruebas de seguridad en aplicaciones web. El modulo tiene las siguientes dos acciones:
- LIST: Muestra los buzones de correo y carpetas disponibles en una instalación local de Outlook
- SEARCH: Despliega los mensajes en una carpeta específica, los cuales pueden Ser filtrados Por una palabra clave
La acción LIST requiere solo de las opciones de ‘SESSION’ para configurada.
Para utilizar la acción SERCH, el módulo tiene varias opciones que con las que puede ser configurada explica experto de curso de seguridad web.
La opción de FOLDER (carpeta para buscar, por ejemplo, “Bandeja de entrada”) y KEYWORD (filtro en una palabra clave como “contraseña”) son bastante fáciles.
Las opciones A_TRANSLATION y ACF_TRANSLATION requieren un clic en notificación de seguridad de Outlook, cuando el lenguaje no es compatible por el modulo (en-US, NL y DE son compatibles).
La siguiente salida es un ejemplo de un fragmento de la salida la cual es generada por el módulo de Metasploit cuando se utiliza la acción “LIST”.
La siguiente salida es un ejemplo de un fragmento de la salida la cual es generada por el módulo de Metasploit cuando se utiliza la acción “SEARCH”, en la carpeta ‘Inbox’ con la palabra clave ‘password’:
Malvertising On Blogspot: Scams, Adult Content and Exploit Kits
We don’t really hear about it that much, but malvertising can and does target free blogging platforms as well. Just this morning, our friends at Virus Bulletin Martijn Grooten and Adrian Luca wrote about some sites hosted on Google’s Blogspot service pushing tech support scams.
We also caught some malicious activity on the Blogger platform this past week via the PLYmedia ad network. Some Blogspot websites clearly abuse the platform and stuff ads everywhere, leaving little to wonder about what could possibly go wrong?
Adult material
When browsing that Blogspot site, we were automatically redirected to an adult page, which is definitely not good if you have kids around.
Angler Exploit kit
There were also some redirections to the Angler exploit kit via fake advertisers using the fingerprinting technique.
- Ad network: wafra.adk2x.com/ul_cb/imp?p=70368645&size=300×250&ct=html&ap=1300&u=http%3A%2F%2Fzcdnz.blogspot.com%2F2016%2F04%2Ffut-azteca13.html&r=http%3A%2F%2Fzcdnz.blogspot.com%2F2016%2F04%2Ffut-azteca13.html&iss=0&f=1
- Rogue ad server: advertising.servometer.com/pagead/re136646/ad.jsp?click=%2F%2Fwafra.adk2x.com%2{redacted}
- Google Open Referer: bid.g.doubleclick.net/xbbe/creative/click?r1=http%3A%2F%2Fstewelskoensinkeike.loanreview24.com%2FScKOygTMtj_rlf_qIEgRYCq.aspx
- Angler EK landing: stewelskoensinkeike.loanreview24.com/?k=pREU&o=gQ1U2eo&f=&t=MHl&b=O83rsW&g=&n=9rYB42&h=&j=aCYeE9iDym_Ao_T25Uhszm
We have alerted Google about this issue and contacted PLYmedia to let them know about that rogue advertiser.
Iran-linked Hackers Used “Infy” Malware in Attacks Since 2007
Researchers at Palo Alto Networks have come across a new malware family that appears to have been used by an Iran-based threat actor in targeted espionage operations since 2007.
The security firm discovered the malware after in May 2015 its systems detected two emails carrying malicious documents sent from a compromised Israeli Gmail account to an industrial organization in Israel. At around the same time, the company also spotted a similar document attached to an email sent to a U.S. government recipient.
An analysis of the files and the malware functionality turned up more than 40 variants of a previously unknown malware family that Palo Alto Networks has dubbed “Infy” based on a string used by the threat actor in filenames and command and control (C&C) folder names and strings.
Based on samples submitted to VirusTotal, the oldest variant found by researchers dates back to August 2007. However, the C&C domain used by the oldest sample has been associated with malicious activity as far back as December 2004.
Experts reported observing increased activity after 2011 and noted that the malware has improved over the years, with developers adding new features such as support for the Microsoft Edge web browser. Attacks involving Infy malware were also spotted in April 2016, which suggests the actor continues to be active.
According to Palo Alto Networks, most of the malware samples from over the last five years were eventually detected by antivirus software, but in a majority of cases with a generic or unrelated signature. Experts attributed the industry’s failure to connect the Infy samples to each other to the fact that the malware has only been used in limited attack campaigns.
The malware, typically disguised as a document or a presentation, is designed to collect information about the infected system, log keystrokes, and steal passwords and other data from browsers. All the information is sent back to a C&C server.
Researchers identified 12 domains used for C&C servers, some of which have also been mentioned in a report describing an attack against the government of Denmark.
WHOIS information and IP addresses associated with the C&C domains suggest that the attackers might be based in Iran, although it’s not uncommon for threat groups to plant false evidence to throw investigators off track.
“We believe that we have uncovered a decade-long operation that has successfully stayed under the radar for most of its existence as targeted espionage originating from Iran. It is aimed at governments and businesses of multiple nations as well as its own citizens,” researchers said in a blog post.
Andre McGregor, director of security at endpoint protection company Tanium, noted in a presentation earlier this year at the RSA Conference that Iran had no cyber capabilitiesuntil 2010, when its nuclear facilities were hit by Stuxnet. However, the expert said the country, whose main enemies are considered Israel, the United States and Saudi Arabia, evolved a great deal over the past years.
The most notable attacks attributed to Iran include the Saudi Aramco incident, the DDoS attacks aimed at U.S. banks, a 2013 attack on a small New York dam, and an operation targeting the Sands Casino in Las Vegas.
Source:http://www.securityweek.com/
¿CÓMO GOBIERNO PUEDE AYUDAR LAS EMPRESAS DEL SECTOR PRIVADO EN CIBERSEGURIDAD?
La ciberseguridad se refiere al conjunto de soluciones, servicios y entrenamientos que puede implementar una empresa u organización para su ciberdefensa contra ciberataques. Según los informes de la empresa de ciberseguridad, las empresas u organizaciones son cada vez más conscientes de los ciberataques. Desde el último año, casi un 35% de las empresas en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India han incrementado sus inversiones en los servicios de ciberseguridad y es por eso que hay una gran necesidad de especialistas de ciberseguridad para implementar las soluciones de ciberdefensa. Al comprender las razones detrás de los ciberataques, permite una empresa u organización a adquirir los servicios de ciberseguridad y diseñar plan de ciberseguridad y ciberdefensa de una manera más efectiva. Según la experiencia de los especialistas de ciberseguridad, es más el miedo a los ciberataques dirigidos está haciendo que los gobiernos, empresas u organizaciones gastan dinero en los servicios de ciberseguridad y soluciones de ciberdefensa. Estos planes de implementación de los servicios de ciberseguridad y soluciones de ciberdefensa, van mucho más allá de invertir en las soluciones tradicionales como los firewalls, gestión de vulnerabilidades, etc. En general, ellos están buscando servicios de ciberseguridad más sofisticados y soluciones de ciberdefensa inteligentes que puedan protegerles de ciberataques avanzados.
Como los gobiernos y empresas grandes están involucrados en el tema de ciberseguridad, la metodología de implementar servicios de ciberseguridad y soluciones de ciberdefensa ha cambiado de modo radical. Según el profesor de la escuela de ciber seguridad, la ciberseguridad se ha convertido en una cosa necesaria para todos los aspectos. Las empresas grandes no solo están enfocando sobre servicios de ciberseguridad y soluciones de ciberdefensa, también se quieren que su equipo de TI sea especialista en ciberseguridad. Para desarrollar habilidades de especialista de ciberseguridad en su equipo de TI, las empresas deben enfocar en las capacitaciones de ciberseguridad. Con las capacitaciones de ciberseguridad las pequeñas empresas también pueden comprender y implementar las soluciones de ciberseguridad avanzadas y soluciones de ciberdefensa inteligentes sin ayuda de una empresa de ciberseguridad.
La solución del problema de ciberseguridad parece sencillo pero hay muchos obstáculos como falta de recursos, conocimientos, dinero etc. Pero con la participación del gobierno en el área de ciberseguridad, las cosas pueden cambiar mucho. Los gobiernos de varios países, especialmente de Estados Unidos, Rusia, China, Reino Unido, Alemania y la India han estado desarrollando y empleando capacidades ofensivas cibernéticas, incluyendo el espionaje cibernético. Estos esfuerzos no están realmente enfocados en las soluciones de ciberdefensa o en perito judicial informático sin embargo; están más enfocados sobre cómo tomar el control del ciberespacio y es similar a la guerra fría en la década de los 80. Para disuadir a los ciberataques, muchos gobiernos han pensando en usar las sanciones y demás acciones típicos utilizados para el acto de la guerra. Estos acciones ayudarán en algunos escenarios, pero no en otros escenarios en los que perito judicial informático no puede producir suficiente evidencia. Según los expertos de la formación de perito judicial informático, para defenderse en el ciberespacio, el gobierno debe jugar un papel proactivo en el ámbito de ciberseguridad.
Profesor de la escuela de ciber seguridad, Dave Smith menciona que para el gobierno a proteger el sector privado en el ciberespacio es una tarea compleja, ya que hay una gran cantidad de restricciones políticas. Implementación de los servicios de ciberseguridad y soluciones de ciberdefensa para la aplicación de la ley en el ciberespacio es una tarea compleja. Al asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad, las agencias gubernamentales pueden mantener un control más fuerte sobre el ciberespacio. Como hay muchas organizaciones de ciberseguridad que trabajan en proyectos patrocinados por el gobierno y esas organizaciones tienen muchos recursos. Entonces, estas organizaciones de ciberseguridad pueden compartir la información sobre amenazas con las empresas de ciberseguridad y otras empresas del sector privado.
Los gobiernos de varios países pueden crear los siguientes programas como parte de sus estrategias de seguridad cibernética y sus guerras contra ciberdelincuencia.
PROGRAMA DE EDUCACIÓN GENERAL DE CIBERSEGURIDAD
El objetivo del programa de educación general de ciberseguridad debería centrarse más en la aumentación de la conciencia de ciberseguridad entre público en general. Las agencias gubernamentales pueden colaborar con las escuelas de ciber seguridad y garantizar que las personas aprenden a ser más seguro en línea. Similares programas se fueron lanzados por las empresas de ciberseguridad y escuelas de ciber seguridad en Europa y estaban dirigidos a aumentar la comprensión de las amenazas cibernéticas y cómo funciona la ciberdelincuencia. Según los profesores de escuela de ciber seguridad, las agencias gubernamentales pueden organizar programas de publicidad en televisión y en línea para aumentar la conciencia de ciberseguridad entre publico.
PROGRAMA DE DESARROLLO Y CAPACITACIÓN DE CIBERSEGURIDAD
Acuerdo con los maestros de escuela de ciber seguridad; el problema en el ámbito de ciberseguridad, es la extrema escasez de los especialistas de ciberseguridad altamente cualificados. El sistema educativo existente debe producir más estudiantes con altamente calificados en ciberseguridad. Estos especialistas de ciberseguridad, mantendrán el gobierno y el sector privado por delante en el escenario de la tecnología. El gobierno tiene que desarrollar una estrategia para ampliar y apoyar los programas de educación en ciberseguridad dirigidos por las escuelas de ciber seguridad. El objetivo del programa de desarrollo y entrenamiento de ciberseguridad debería ser asegurarse de que el gobierno y el sector privado tienen especialistas de ciberseguridad. El gobierno debe trabajar con las escuelas de ciber seguridad y asegúrese de que el nivel de capacitación de ciberseguridad es de acuerdo con las normas internacionales. Podemos clasificar las capacitaciones de ciberseguridad en siguientes áreas: usuarios general de TI, la infraestructura de tecnología de la información, operaciones, mantenimiento y seguridad de la información, perito judicial informático, análisis de malware, seguridad en la nube, seguridad móvil, desarrollo de exploits, soluciones de ciberdefensa, derecho cibernético, contrainteligencia y cursos de ciberseguridad avanzados. Según profesores de cursos de ciberseguridad, con la ayuda de los cursos de ciberseguridad, el sector privado tendrá el mayor beneficio, ya que reducirá su gasto en servicios de ciberseguridad.
PROGRAMA DE INFRAESTRUCTURA PARA EDUCACIÓN DE CIBERSEGURIDAD
El objetivo del programa de infraestructura para educación de ciberseguridad debería ser centrarse en la creación de nuevas escuelas de ciber seguridad y la mejora de las escuelas de ciber seguridad existentes. El programa debe incluir alianza con las escuelas de ciber seguridad y las organizaciones de ciberseguridad existentes para desarrollar más programas de investigación y desarrollo en este campo. Programa de infraestructura para educación de ciberseguridad debe apoyar la educación formal de ciberseguridad y también debe ser un programa líder en la investigación y el desarrollo de ciberseguridad. Así este programa ayudaría a los gobiernos, el sector privado, las empresas de ciberseguridad existentes y las organizaciones de ciberseguridad. Todas estas escuelas de ciber seguridad también pueden servir como centros de servicios de ciberseguridad y actuarán como autoridad de referencia para las universidades y otras escuelas existentes.
PROGRAMA DE RESPUESTA A INCIDENTES DE CIBERATAQUES
Las agencias gubernamentales pueden asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad en el ámbito de respuesta a incidentes. Expertos de escuela de ciber seguridad explican que cuando las grandes empresas como banco o empresa multinacional etc sufren un ciberataque; ellos pueden tomar la ayuda del gobierno para hacer un perito judicial informático. Sin embargo, cuando las pequeñas empresas sufren un ciberataque; no es fácil para ellos a tomar la ayuda del gobierno para hacer un perito judicial informático. Así con este programa las pequeñas empresas pueden tomar la ayuda de una organización de ciberseguridad o empresa de ciberseguridad para el perito judicial informático. La otra solución es construir un equipo in-house de perito judicial informático con la ayuda de expertos de una buena escuela de ciber seguridad.
PROGRAMA DE RECURSOS HUMANOS DE CIBERSEGURIDAD
El objetivo del programa de recursos humanos de ciberseguridad debería ser gestionar el empleo en ciberseguridad, reclutamiento de personas y estrategias de las rutas de sus carreras. Con la ayuda de este programa, las agencias gubernamentales pueden administrar la fuerza laboral del gobierno, la fuerza laboral de las agencias de inteligencia, la fuerza laboral de las organizaciones de ciberseguridad y la fuerza laboral del sector privado. Profesores de los cursos de ciberseguridad mencionan que el programa de recursos humanos de ciberseguridad se puede utilizar para la evaluación de especialistas de ciberseguridad. Esto ayudaría en el desarrollo de especialistas de ciberseguridad y programas de capacitación de ciberseguridad.
PROGRAMA DE BUG BOUNTY Y PREMIOS
No es suficiente que solo los profesionales de informática comprendan la importancia de ciberseguridad; líderes en todos los niveles de gobierno y el sector privado deben comprender la importancia de ciberseguridad. Por lo tanto la formación de ciberseguridad no sólo ayudará a los empleados de nivel bajo, pero los líderes empresariales también, y les ayudará a tomar decisiones de negocios e inversiones basadas en el conocimiento de los riesgos y posibles impactos. Así mismo una decisión tan importante es un programa de bug bounty y premios. El objetivo de este programa debería ser recompensar los especialistas de seguridad cibernética para encontrar vulnerabilidades y reportarlas en lugar de venderlas en el mercado negro. Según el profesor de curso de ciberseguridad, Deen Wright; es muy importante para los líderes del gobierno a hacer alianzas adecuadas con los líderes de las empresas de ciberseguridad y las organizaciones de ciberseguridad para desarrollar programa de recompensa y premios para recompensar los investigadores de seguridad cibernética por sus esfuerzos.
De esta manera el gobierno puede desarrollar una estrategia para ampliar sus alianzas con diversas empresas del sector privado, las empresas de ciberseguridad, escuelas de ciber seguridad y las organizaciones de ciberseguridad existente para defender proactivamente contra los ciberataques, los actos de espionaje y para establecer un lugar más fuerte en el espacio cibernético. Organizaciones como Instituto Internacional de Seguridad Cibernética una organización de ciberseguridad están trabajando junto con los gobiernos de los distintos países y sector privado.
fuente:http://www.iicybersecurity.com/ciberseguridad-ciberdefensa-servicios.html
CloudFlare: 94 Percent of Tor Traffic Is Automated or Malicious
CloudFlare explains how it deals with Tor traffic. After being accused of intentionally sabotaging Tor traffic last month, CloudFlare has come forward with an official statement in which it explains why the company does what it does.
Regular Tor users are well aware of CloudFlare’s practice of showing CAPTCHAs to users who are accessing the websites of their clients using a Tor exit node IP.
According to CloudFlare, this measure was implemented after it constantly saw Tor IPs being abused for suspicious activity.
CloudFlare shows CAPTCHAs to Tor users because it has to
“Based on data across the CloudFlare network, 94% of requests that we see across the Tor network are per se malicious,” CloudFlare wrote yesterday. “That doesn’t mean they are visiting controversial content, but instead that they are automated requests designed to harm our customers.”
This includes a large amount of comment spam, requests from vulnerability scanners, ad click fraud, content scraping, and login scanning.
On the matter of surveillance, also raised by members of the Tor Project, CloudFlare has denied that it tracks Tor users across its infrastructure, saying that they actually do the opposite, opting not to implement a super-cookie like system.
Nevertheless, CloudFlare admits that it does track and mark Tor exit node IP addresses and it also assigns them higher threat scores. Because the Tor Browser includes user anti-fingerprinting protection, and because CloudFlare says that it respects the project’s goal of providing anonymity to its users, it has no alternative than to show CAPTCHAs to users coming from a Tor-based IP.
The decision is controversial and will likely annoy legitimate Tor users, but to be fair, CloudFlare is a security firm, and all its clients hire its services for this purpose.
Most of CloudFlare’s clients would like to ban Tor traffic altogether
In fact, CloudFlare reveals that many of its clients would like to downright ban Tor traffic altogether, and it is only because of CloudFlare that this hasn’t happened yet.
The company explains that it intentionally left out options in its customer backend panel that would have allowed its clients to blacklist Tor, and only shows the option to whitelist Tor addresses or show a CAPTCHA field.
The decision was made because the company fears the scandal that would come with blacklisting Tor traffic altogether. CloudFlare understands why Tor was created in the first place and that it’s not the Tor Project’s fault that cyber-criminals are also using it.
The company has also recently started working with the Tor Project in order to create some sort of client-side solution in the Tor Browser itself, so CloudFlare and other security firms can distinguish legitimate Tor users from automated requests and ban the latter.
Additionally, CloudFlare also wants the Tor Project to start using SHA256 for generating .onion addresses. More of its clients could thus create .onion versions for their legitimate sites, where they could redirect Tor traffic and where CloudFlare wouldn’t have to display its CAPTCHAs, which in recent weeks have been failing at an astonishing high rate.
Source:http://news.softpedia.com/
Top 10 Tips To Protect Yourself From Hackers
Follow these Top 10 Tech Security Tips To Keep Yourself Safe From Hackers.If you are surfing the net or your computer is linked in anyway to Internet, you would be aware of the risks that cyber criminals pose to you. Computer security, also known as cybersecurity or IT security, is the protection of information systems from theft or damage to the hardware, the software, and to the information on them, as well as from disruption or misdirection of the services they provide. On the other hand, data security means protecting data, such as a database, from destructive forces and from the unwanted actions of unauthorized users.
Every computer user needs to know the basic things to keep their device and data secure. Given below are the few tips and habits that can help you:
10. Look Out for Social Engineering Attacks
Social engineering is the biggest security concern these days, as cyber thieves and hackers smartly gain access to your secure information either through mimicking other companies, phishing and other common strategies. You need to be careful of all the suspicious phone calls, emails, links and other communications that you receive. Also, it is known that most of the data breaches come from internal sources. Hence, awareness is the important key, as it may be astonishing to know that even security experts can be easily tricked or hacked into.
9. Make Your Phone’s Lock Code More Secure
Many of us consider that the default 4-digit PIN is the most secure locking code. However, it is not. It is always better to add an extra digit to make your phone more secure. For iOS and Android, go to settings and add one more digit to make your phone’s lock code more. Further, Android also has lock screen tools that lets you enhance your phone’s security. Lastly, it is recommended to change your PIN if it’s one of these.
8. Always Back Up Your Computer/Smartphone
It is vital to frequently backup and make duplicate copies of all your important data to keep it safe. You can use a backup system with CrashPlan, or Windows’ built-in tools or Mac’s Time Machine.
7. Install the Best Antivirus and Anti-Malware Software
To keep viruses and malware at bay, it is suggested that you use one antivirus tool, such as Sophos Anti-Virus for Mac or such as Avira for Windows, as well as an anti-malware tool for on-demand scanning, such as Malwarebytes.
6. Lock Down Your Wireless Router
The first line of defense for your home network is your router. To keep your Wi-Fi secure, you need to change the router’s administrator login, use WPA2 (AES) encryption, and change other basic settings.
5. Never Send Sensitive Information Over Email Unless It’s Encrypted
Sensitive information, such as your bank info, social security number, tax returns, or confidential business info, should never be sent over email without encryption. It’s too risky. Encrypt files with one of these tools before sending them or use a service like super simple ProtonMail or encrypt your emails with PGP. Encrypt all the things.
4. Don’t Use Public Wi-Fi Without A VPN
While using public Wi-Fi, it is important to use a network that has security. To stay safe on public Wi-Fi networks, your best defense will be to use a VPN (Virtual Private Network), which keeps you safe even in other conditions too.
3. Use A Password Manager
It is impossible to remember every password for each and every site and service you use. That’s where password managers come handy. While security and convenience are the features that you need to look for, however, select the password that has the features you need.
2. Use Two-Factor Verification
Two-factor authentication offers the extra layer of security that protects you in case your password gets stolen. Turn this feature on in all the places where you can use TwoFactorAuth. Further, if you lose your phone (most often used as the authentication device), you can still get back into your account if you plan ahead.
10. Frequently Review Your App Permissions and Security Settings
Lastly, you still have to be watchful and make sure your software is always up-to-date besides following the above steps. Always remember to update the router firmware or regularly clean up app permissions, such as Facebook, Twitter, Google or use a site like MyPermissions to clean up multiple services. You can even get a bonus for keeping up with your security needs, as Google sometimes offers free storage just for doing a security check.
Source:http://www.techworm.net/
Sophisticated Malvertising Campaign Abusing Baidu API Goes On for Five Months
In wake of recent discovery, Baidu decides to disallow user-defined scripts and Flash content in its ads. A malvertising campaign has been ravaging Chinese users, employing the Baidu advertising platform, and abusing one of its ad APIs to push malware on the users’ computers.
The malicious campaign was first spotted in October 2015, but due to its highly sophisticated and multi-stage infection techniques, it was only understood and stopped in February 2016.
According to security researchers from FireEye, the attacker behind this campaign was using one of Baidu’s ad APIs to create malicious ads, which would later be displayed on legitimate websites.
Malicious content was (re)constructed on the client-side
The ad API allowed the crooks to embed a simple HTML redirector in the Baidu code responsible for loading the ads. This redirector would start a series of JS-based loops, which would load code after code, eventually landing a malicious iframe on the legitimate website.
A second iframe would be loaded later, and both would combine their own set of parameters that would be merged and form the URL where the actual malicious script resided. The malicious ad code would then instruct the user’s browser to download and automatically execute this script, which was a VBScript file.
In turn, this VBScript downloaded a trojan named Win32/Jongiti, which is a multi-purpose malware downloader that connected to a C&C server and downloaded other threats, based on the attacker’s instructions.
FireEye says that, while it monitored this campaign, it saw Jongiti download PUPs, keyloggers and pornographic content droppers.
As FireEye noted, the attack seems to be extremely effective against users running older IE versions, who are quite numerous in China. The attack doesn’t work on IE11, due to recent security measures added to the browser.
Baidu took security measures to prevent future attacks
After making their discovery, the security vendor contacted Baidu, who addressed the issue and even introduced some changes to its API service to prevent future abuses.
First of all, after March 31, Baidu will stop allowing users to upload custom scripts and Flash on its ad platform. This is a major move since this means that attackers wouldn’t be able to host malvertising content on Baidu’s platform and would need to find new techniques to exploit its service.
Secondly, Baidu has also made it mandatory for all new accounts to register using a phone number and domain name registration record. In China, these two have a real-name enforcement policy and will allow the company to track down attackers and hand them over to the police.
Source:http://news.softpedia.com/
Olympic Vision Keylogger Spread via BEC Scams in 18 Countries
Olympic Vision is an advanced threat that can steal key strokes, clipboard data, and user credentials.Cyber-criminal groups are using a combination of BEC (Business Email Compromise) scams and advanced keyloggers to target, scan, and steal data from 18 countries around the world.
At the core of this attack is a new malware family with keylogging and info-stealing capabilities, which the Trend Micro researchers have named Olympic Vision.
Available on the Dark Web for as much as $25 (€22), this keylogger can do a lot of things, such as log key strokes, record and steal data from the clipboard, take desktop screenshots, and extract passwords from browsers, email, and FTP clients.
Olympic Vision is spread around via BEC scams
To spread it around, the criminals were launching precise email campaigns aimed at key employees inside their targeted companies.
Known as BEC scams, and sometimes as whaling attacks or CEO fraud, these emails are crafted to look like they’re coming from a business partner or another company employee.
Each email had a file attached, and in this particular campaign, it was the Olympic Vision keylogger, which would execute, collect data, and send it to the attacker.
The criminals would then sift through the logs and decide what company computer to attack, based on the data they stole from each, separating uninteresting workstations from the ones sitting on some manager’s desk or the company’s financial department.
Campaign targeted European, North American, and Asian companies
Targeted countries were spread equally around the globe, with attackers having hit China, India, Indonesia, Malaysia, Thailand, Canada, United States, Germany, Iran, Iraq, Netherlands, Qatar, Saudi Arabia, Slovakia, Spain, United Arab Emirates, United Kingdom, and Zimbabwe.
This is not the first time keyloggers have been used together with BEC scams, with Trend Micro having previously reported on other threats such as Predator Pain, Limitless, and HawkEye.
According to Mimecast, a cyber-security vendor specialized in email security, BEC scams rose 55% in 2015 compared to the previous year.
This Is Why We Can’t Have Encryption Backdoors: US, UK Police Abuse Their Powers
Two reports show potential dangers of encryption backdoors. Two reports released in the past week have revealed what most of us had already suspected: that police officers, no matter the country, will abuse their rights and access or keep sensitive information on people who have not yet committed a crime or have not been charged with one officially.
The Associated Press has revealed the first of these two cases, citing a report released yesterday by an independent police monitoring agency that has been keeping an eye on the actions of the Denver city police.
US officers abuse national database for personal reasons
The report shows that, in the past ten years, over 25 Denver police officers have illegally accessed the National Crime Information Center (NCIC) database, which keeps information on US citizens, personal details, and criminal records.
The report cites incidents when police officers used this database for personal reasons, such as to learn a woman’s phone number, run license plates for friends, or even gather intel before the officer themselves committed a crime.
The independent monitoring has agency has also revealed that no officers have been charged for their actions, and that in the past ten years, no policeman has received a penalty harsher than a three-day suspension.
UK police officers forget to delete biometrics data
The second report on police officers abusing their powers, or more accurately, misusing sensitive electronic information, comes from the UK, where the Biometrics Commissioner has released his annual report.
The commissioner notes that British police is not following normal procedures regarding biometrics data, such as fingerprints and DNA evidence.
Once a suspect is released from police custody without being charged or without being placed on bail, UK police procedures dictate that the biometrics data collected on the suspect must be deleted.
Even if the suspect continues to be under an official investigation, if no charges have been filed, this data must be deleted. If police officers want to keep the biometrics data, they have to follow a certain procedure to do so.
The commissioner says that UK police officers are not following this procedure and have built a database of illegally acquired biometrics information, which they are now using within their investigations.
Since this database is set to automatically delete biometrics data, Britain’s Biometrics Commissioner says that police officers have rigged their system in order to retain that information.
Do you still want encryption backdoor?
With the Apple vs. FBI debate still raging on, and with authorities in the US and some other European and Asian countries still thinking about requiring encryption backdoors, these two reports highlight the dangers of such procedures.
So-called key escrow systems, where law enforcement will have a copy of the encryption key were considered unsafe because they could have allowed a hacker to steal a key and then compromise the entire encryption channel.
These two reports are now also showing that the investigators’ human nature will also play a key role. If an encryption backdoor is provided, then there’s nothing standing in the way of a rogue police officer abusing this power.
With many government watchdog agencies in the US decrying the militarization of police forces, giving law enforcement, at any type of level, access to encrypted communications seems like the wrong thing to do right now.
FBI Might Go After iOS Source Code If Apple Doesn’t Build a Backdoor
DOJ goes for more aggressive tactic in San Bernardino case.
The Department of Justice is certainly not going to back down in the San Bernardino iPhone saga and there’s now evidence that the feds could even force Apple to provide the full source code of iOS should the company refuse to build a backdoor.
Specifically, if Apple does not want to create custom software that would help the FBI unlock an iPhone used by one of the San Bernardino attackers and the company loses in court, the Department of Justice might request Cupertino to provide the source code of the operating system instead.
“No backdoor? Ok then, you must give us the private key”
The Guardian reports that the Department of Justice has already hinted at this possibility in a recent formal response to Apple, explaining that if the company refuses to build software that could provide it with access to the iPhone, there’s no other way around than to ask for the full source code of the OS.
“The FBI cannot itself modify the software on Farook’s iPhone without access to the source code and Apple’s private electronic signature,” the Department of Justice explains, hinting at what’s to come in case Cupertino refuses to go the backdoor way.
Previously, Apple CEO Tim Cook explained that he doesn’t want the same company engineers who worked on improving iPhone security in the last few years to go in reverse and now break into their own software, so the FBI says that handing over private key would allow its own security researchers to do the whole job.
“The government did not seek to compel Apple to turn those over because it believed such a request would be less palatable to Apple. If Apple would prefer that course, however, that may provide an alternative that requires less labour by Apple programmers,” the Department of Justice added.
Certainly, Apple will clearly reject such a possibility because providing the FBI with the iOS private key would create major risks for everyone. With such information, the FBI could even deliver custom software updates to iPhones in the United States without customers specifically knowing where it comes from, thus getting full control over any device at any moment.
Source:http://news.softpedia.com/
ATM Malware Gang Member Escapes Police Custody, Hollywood Style
ATM robber escapes by cutting hole in prison fence. A suspect arrested at the start of January for being part of an international cybercrime group that robbed ATMs with malware has escaped from a Romanian prison earlier today.
The suspect, Renato Marius Tulli, 34, was being held at Police Precinct 19 in Bucharest, Romania’s capital, after being arrested on January 5, 2016.
Authorities are saying that Tulli and a second suspect escaped while they and other prisoners were out in the precinct’s yard, taking their daily outdoor break.
Suspects cut the fence and made a clean getaway
The two managed to cut the police precinct’s fence and then escaped without being noticed by the two officers that were keeping watch.
The second suspect that got away with Tulli is named Grosu Gostel, 38, a man held on robbery charges. The two police officers that were on duty are now investigated on charges of negligence.
The suspects have broken out on Sunday, March 6, 12:30 PM, local time, and police forces started a city-wide manhunt in search of the two.
Tulli is a suspect in an Interpol investigation
Tulli was arrested together with seven other suspects as part of a joint Europol, Eurojust, and DIICOT investigation. The group he was part of was specialized in robbing NCR-based ATMs.
They operated only on weekend nights, in multiple stages. First someone would stake out possible targets. Then, in the second stage, a second group would come and insert a CD containing the Tyupkin malware in the CD-ROM slot on the back panel of NCR ATMs.
The malware allowed the group to take out small amounts of money, and then it would self-delete. The criminals operated between December 2014 and October 2015 in countries such as Romania, Hungary, the Czech Republic, Spain, and Russia. Europol estimates the group caused damages to financial institutions of around €200,000 / $217,000.
Source:http://news.softpedia.com/
HOW TO DO SECURITY VULNERABILITY TESTING?
If your corporate network is connected to the Internet, you are doing business on the Internet, you manage web applications that keep confidential information or you are a provider of financial services, healthcare services; security vulnerability testing should be your first concern, although maintaining today’s computer networks is like a betting game. From the point of view of security vulnerability testing specialists, companies are dependent on technology to drive their business operations, but these companies must take steps to assess vulnerabilities and secure themselves.
Vulnerability is considered a risk and is a characteristic of an information asset. IT vulnerabilities can be detected with security vulnerability testing. When an IT risk materializes and there is a vulnerability that can be exploited, there is a possibility of loss of confidentiality, integrity, availability and authenticity of business data.
According to an IT vulnerability assessment company reports, vulnerability assessment experts around the world discover hundreds of new vulnerabilities every year and release new security patches every month. For these reasons, it is necessary for any company or organization to do security vulnerability testing that will allow them to know their IT systems vulnerabilities. Security vulnerability testing services must identify all the security risks and ensure peace of mind for all the company’s ejecutives. Internal vulnerability assessment and external vulnerability assessment services form an integral part of security vulnerability testing services. Security vulnerability testing services provide much valuable information about the company’s exposure to the risks. These risks and vulnerabilities enable a company or organization to deal with an eventual materialization of IT risks.
With the clear identification of IT risks, organization can implement preventive and corrective solutions with the help of a professional IT vulnerability assessment company. Preventive and corrective solutions must maintain a balance between the cost that the resolution of vulnerability has, the value of the information asset for the company and the level of criticality of the vulnerability. Implementing internal vulnerability assessment, external vulnerability assessment along with corrective measures gives confidence to your customers about their data and gives your company a competitive advantage.
IT Vulnerability assessment company services ensure compliance with national or international standards for each industry. In some industries, it is necessary to have a proper vulnerability assessment and security vulnerability testing plan. Industries such as healthcare & finance that handle critical and high-risk equipment, periodic vulnerability assessment and security vulnerability testing helps to strengthen the technology environment by proactively addressing potential threats.
Security vulnerability testing services can be classified as internal vulnerability assessment services and external vulnerability assessment services.
EXTERNAL VULNERABILITY ASSESSMENT SERVICE
The external vulnerability assessment service assesses technology infrastructure of the company from the perspective of a hacker through the Internet. The service only requires IP address of network, business applications and nothing needs to be installed. IT Vulnerability Assessment Company professionals should focus on new types of external attacks, zero-day vulnerabilities and their methodology to do IT vulnerability assessment of known vulnerabilities.
INTERNAL VULNERABILITY ASSESSMENT SERVICE
The internal vulnerability assessment service assesses the security profile of the company from the perspective of an insider, employee or someone with access to corporate systems and networks. Normally the service is personalized as per company’s requirements because each company has different types of networks and internal applications. IT Vulnerability Assessment Company professionals must simulate an external hacker via the Internet or an insider with normal privileges. They should also focus on new types of internal attacks, zero-day vulnerabilities and methodology to do IT vulnerability assessment of known vulnerabilities.
HOW TO SELECT VULNERABILITY ASSESSMENT/SECURITY VULNERABILITY TESTING SERVICES?
If you are a large corporation or a small business, you should find services very easy and efficient. IT vulnerability assessment services ensure that complete IT infrastructure (networks, applications and mobile) meets the objectives of security. They should have specialized information security experts along with the best techniques and strategies of IT risk assessment. As per experts fromInternational Institute of Cyber Security, they should not use traditional methodology used by many IT vulnerability assessment companies. It is important to apply methodical and innovative approach for doing security testing. They must use our own scripts and do code review, along with manual security vulnerability testing and use proprietary, commercial, open source tools. The deliverables of vulnerability assessment services are reports and corrective recommendations. Vulnerabilities and corrective actions are classified based on the priority of the risks. It is also important to do vulnerability and risk assessment as per the international standards. IT vulnerability assessment service can be performed once or can be recurring service, to protect IT assets (networks, applications and mobile) against loss and unauthorized access. Furthermore they must teach how to do vulnerability assessment to your technical team in real time via security vulnerability testing course and IT vulnerability assessment training. These trainings would help you to maximize your ability to respond and protect your network against attacks.
IT SECURITY VULNERABILITY TESTING METHODOLOGY (PESA)
The security vulnerability testing methodology is focused on full protection of resources (networks, applications, mobile devices), which are subjected to internal or external attack. The methodology is an iterative process, because the technology never stops evolving and with new technology new risks for businesses are generated. The security vulnerability testing (PESA) has been structured in different modules.
MODULE: PLAN
Much of the successful delivery of our methodology begins to develop in the planning module. In this module you should establish the requirements, plans, priorities and implement the methodology.
MODULE: EVALUATE
In this module you must perform analysis of data, networks, applications, databases and mobile devices with vulnerability assessment service. Following are some of the processes in the evaluation module:
- Analysis of potential risks at business level and identify physical & logical threats.
- Review the configuration of operating systems, enterprise applications; log files and devices that are part of the network architecture.
- Authentication of users and access control along with monitoring of user activities.
- Analysis of services provided by the company or by third party to the company.
- Review of security plans, security policies and contingency plans already in place.
- Use of proprietary scripts, manual security vulnerability testing, and make use of proprietary, commercial and open source tools for vulnerability assessment of network, network equipment and mobile devices.
- Use of proprietary scripts, do code review manual security vulnerability testing, and make use of proprietary, commercial and open source tools for vulnerability assessment of applications and databases. Also should cover black box and white box testing to find security vulnerabilities.
MODULE: SECURE
In this module you must deliver the security plan, contingency plan and implement security policies with an effective cost-benefit ratio. Also it is important to work with the client’s team to secure the network architecture, network devices, mobile devices & business applications. You must also train client’s employees with security vulnerability testing course and IT vulnerability assessment training.
MODULE: AUDIT
The purpose of this module is to verify the implementation and performance of security systems. The audit determines whether the security systems safeguard assets and maintain the confidentiality, integrity and availability of information.
Source:http://www.securitynewspaper.com/2016/03/01/security-vulnerability-testing/
FighterPOS Malware Can Now Spread on Its Own
Brazilian POS malware gets worm-like features. A POS (Point of Sale) malware family has just taken a dangerous turn in its evolution after Trend Micro researchers observed that it has now gained the ability to replicate itself and spread to other local systems.
Called FighterPOS, this malware family was first seen in April 2015, when Trend Micro researchers discovered it targeting POS terminals in Brazil.
At that time, researchers speculated that FighterPOS was a one-man operation, probably run by a local Brazilian hacker. Trend Micro also reported that the person behind the malware used it to steal 22,000 credit card details and that its author was selling a version of his malware on the Dark Web for around $5,000 (€4,500).
FighterPOS evolves into Floki Intruder
Based on data picked up by their security products, the same Trend Micro experts are nowreporting on a new variation of the FighterPOS malware family, which they dubbed Floki Intruder.
According to their investigation, this variant is not developed by the same person that created the original FighterPOS malware. It appears that the source code was sold to someone else, or that the hacker behind the first version might have joined forces with someone else.
File compilation details reveal that a different person put together Floki Invader, a theory that’s also reinforced by the fact that many source code functions and comments are now in English, not Portuguese as they were in FighterPOS.
Floki Intruder can replicate itself
Floki Intruder appears to be much dangerous than the old FighterPOS version. The main difference is the presence of a worm-like feature that goes into effect after Floki infects computers.
This worm-like feature will scan the local network for similar POS terminals, clone itself and infect those devices as well.
“Adding this routine, in a way, makes sense: given that it is quite common for PoS terminals to be connected in one network,” Trend Micro’s Erika Mendoza and Jay Yaneza explain. “A propagation routine will not only enable the attacker to infect as many terminals as possible with the least amount of effort, it will also make this threat more difficult to remove because reinfection will occur as long as at least one terminal is affected.”
Despite the presence of English code in the malware’s source, FighterPOS (Floki Intruder) has not moved outside Brazil. Over 93% of all FighterPOS infections are coming from Brazil while only 6% of infected terminals are located in the US.
¿CÓMO CREAR PODEROSA PUERTA TRASERA AUTOMÁTICA/ AUTO-BACKDOOR?
Según Huiqing Wang, el profesor del curso de hacking ético de IICS hay otras herramientas para hackear el sistema y backdoorme es una de esas herramientas. Backdoorme es una utilidad capaz de crear una puerta trasera en equipos de Unix. Backdoorme utiliza una interfaz de Metasploit con más funcionalidades. Backdoorme usa una conexión SSH existente o las credenciales de la víctima, a través de la cual se transferirá y desplegaría una puerta trasera.
Backdoorme viene con una serie de puertas traseras integradas, módulos y auxiliares. Existen puertas traseras como netcat backdoor, msfvenom backdoor y otras. Acuerdo con el curso de hacking ético, pueden usar módulos con cualquier puerta trasera y se usan para hacer puertas traseras más potentes, ocultas o más fáciles de instalar. Auxiliares son operaciones útiles que podrían realizarse para ayudar a la persistencia.
¿CÓMO INSTALAR BACKDOORME?
Git clone https://github.com/Kkevsterrr/backdoorme <Your Clone Folder Name>
cd <your Folder>
python dependencies.py
python master.py
TIPOS DE PUERTAS TRASERAS DISPONIBLE
Hay diferentes puertas trasera disponible en backdoorme según Huiqing Wang, el profesor del curso de hacking ético.
remove_ssh backdoor: La puerta trasera de remove_ssh quita el servidor ssh en el cliente. Es usado al final de sesión backdoorme para quitar todos los rastros.
ssh_key/ ssh_port backdoor: La puerta trasera de ssh_key crea claves RSA y añade un nuevo puerto de ssh.
setuid backdoor: Puerta trasera setuid trabaja por el bit setuid en un binario mientras que el usuario tiene acceso root, de modo que cuando el usuario ejecuta el binario sin acceso a root, el código binario es ejecutado con acceso de root. Tenga en cuenta que tener acceso root es inicialmente necesario para implementar esta puerta trasera.
shell backdoor: La puerta trasera de shell es una puerta trasera de elevación de privilegios similar a setuid. Se duplica a bash shell a un binario oculto, y establece el bit SUID.
keylogger backdoor: Añade un keylogger en el sistema y enviar por correo electrónico los resultados.
simplehttp backdoor: Instalar python’s SimpleHTTP servidor en el cliente.
user backdoor: Añade nuevo usuario en el cliente.
web backdoor: Instalar servidor de Apache en el cliente.
bash/bash2 backdoor: Utiliza un simple script bash para conectarse a una combinación de IP y puerto específico y enviar los resultados.
metasploit: Emplea msfvenom para crear un tcp reverse binario en el destino, y luego ejecuta el binario para conectar a un shell meterpreter.
netcat/netcat_traditional backdoor: La puerta trasera de netcat utiliza netcat, proporciona al usuario un shell interactivo.
perl backdoor: La puerta trasera de perl es un script escrito en perl que redirige el resultado a bash, y cambia el proceso para ver menos llamativo.
php backdoor: La puerta trasera de php ejecuta un backdoor php que redirige el resultado a bash. No se instala automáticamente un servidor web, pero en su lugar, utiliza el módulo de web.
pupy backdoor: La puerta trasera de pupy usa n1nj4sec’s Pupy backdoor.
python backdoor: La puerta trasera de python, utiliza un script en python para ejecutar comandos y enviar los resultados al usuario.
web backdoor: La puerta trasera de web ejecuta un backdoor php que redirige el resultado a bash y se instala automáticamente un servidor web
TIPOS DE MÓDULOS DISPONIBLE
Hay diferentes módulos disponible en backdoorme según el curso de hacking ético.
Módulo Poison: Realiza bin envenenamiento del equipo y compila un ejecutable para llamar a una utilidad de sistema y una puerta trasera existente.
Módulo Cron: Añade una puerta trasera existente a crontab del usuario root para correr con una frecuencia determinada.
Módulo Web: Configura un servidor web y una página web que dispara la puerta de atrás. Simplemente visita el sitio y la puerta trasera se iniciará.
Módulo User: Agrega un nuevo usuario en el equipo.
Módulo Startup: Permite puertas traseras que se generó con los archivos bashrc y init.
Módulo Whitelist: Las listas blancas de IP’s para que sólo la IP puede conectarse a la puerta trasera.
Servidores Unix se utilizan en muchas empresas y hay gran cantidad de vulnerabilidades de seguridad en el sistema Unix. Hay una gran cantidad de medidas de seguridad que se pueden implementar para asegurar un sistema Unix. Usted puede aprender más acerca de la arquitectura de seguridad de Unix y cómo proteger contra las herramientas del tipo backdoorme durante el curso de hacking ético del International Institute of Cyber Security.
Fuente:http://noticiasseguridad.com/tecnologia/como-crear-poderosa-puerta-trasera-automatica-auto-backdoor/
Hezbollah-Affiliated Hackers Breach Israeli Security Camera System
Hackers tap into feeds from Israel’s Defense Ministry. Qadmon (or Kadimon), one of Hezbollah’s hacking units has revealed it managed to breach many of Israel’s CCTV systems, having had access to camera feeds from various government buildings, Israeli news sites Ynet and Times of Israel report, quoting a news broadcast of Hezbollah-linked al-Manar TV station.
The group says its prize target was the Defense Ministry’s Kirya compound in Tel Aviv, from where the hackers also provided screenshots to al-Manar reporters, along with an interview.
Data on the provided screenshots revealed the breach took place on February 14. The news report was also accompanied by a quote from the group’s members who said “We will reach you even if you are in your offices. The next step will be greater.”
Qadmon members also bragged about breaking into over 5,000 Israeli websites during the past year, some of which contained information about Israeli security forces.
Qadmon formed in 2013, has evolved over time
The group, which appeared on the hacking scene in 2013, has grown tremendously in capabilities since its early days. In its beginnings, Qadmon hackers were spotted defacing unimportant Israeli sites and taking over Facebook accounts for random Israeli citizens.
Most of the attacks were timed to coincide with the death of Lebanese militants, killed by Israeli forces, and had little effect, except to annoy its targets.
Israel officials have not acknowledged the incident, but Israel rarely does. Hezbollah is a paramilitary group that originates from Lebanon. Some consider it a terrorist group, other consider it a political party. Views depend on each person’s stance on the Israeli-Arab World conflict.
It is to no surprise to see Hezbollah developing a cyber-division, especially after ISIS (Daesh) hackers created quite some trouble for US forces in cyber-space.
US School Agrees to Pay $8,500 to Get Rid of Ransomware
Ransomware shuts down school website for a week. Administrators of the Horry County school district (South Carolina, US) have agreed to make a $8,500 / €7,600 payment to get rid of a ransomware infection that has affected the school’s servers.
The ransomware took root during the past week, on Monday, February 8, and affected 25 servers that stored information for Horry County elementary schools, WBTW reports.
Immediately after school employees noticed problems accessing their data, its IT personnel took down all servers to prevent the ransomware from spreading to more computers. Shutting down the servers affected the school’s online services.
Ransomware asked for 20 Bitcoin
School officials discovered that the ransomware asked 0.8 Bitcoin per computer, for a total of 20 Bitcoin. The school’s IT staff said the ransomware penetrated their network through an older server running outdated equipment.
Local South Carolina law enforcement and the FBI were brought in to investigate, but as in many similar cases, they could do little to help.
After spending countless hours trying to find a way around the ransomware’s encryption, and failing, the school’s administration has approved Monday, February 15, a payment that would cover the ransom demand.
Local newspapers reported that the school had troubles making the payment in the beginning because the sum needed to be converted in Bitcoin, something for which legal papers were needed.
Everything is now up and running
At the time of this article, the school’s website is up and running, meaning that the payment went through and the school received the decryption keys that allowed them to recover their files and return their network online.
Coincidentally, when the ransomware incident happened, the school’s administration was looking into hiring an outside security provider.
About the same time this was happening on the East Coast, a similar, more high-profile incident was in full swing on the West Coast. On the same day, February 15, the Hollywood Presbyterian Medical Center in Los Angeles approved a $17,000 payment to free its IT network of a ransomware infection that almost shut its operations in the previous week.
Experiment tracks what happens to stolen credentials
We all know that hackers are looking to steal credentials and get their hands on sensitive data, but exactly how does this process work?
Researchers at data protection company Bitglass carried out its second ‘Where’s Your Data’ experiment, creating a digital identity for an employee of a fictitious retail bank, a functional web portal for the bank, and a Google Drive account, complete with real credit-card data.
The team then leaked ‘phished’ Google Apps credentials to the Dark Web and tracked activity across the fictitious employee’s online accounts. Within the first 24 hours, there were five attempted bank logins and three attempted Google Drive logins. Files were downloaded within 48 hours of the initial leak. Bitglass’ Cloud Access Security Broker (CASB) monitoring showed that over the course of a month, the account was viewed hundreds of times and many hackers successfully accessed the victim’s other online accounts.
Over 1,400 visits were recorded to the Dark Web credentials and the fictitious bank’s web portal and one in ten hackers attempted to log in to Google with the leaked credentials. 94 percent of hackers who accessed the Google Drive uncovered the victim’s other online accounts and attempted to log into the bank’s web portal.
In addition 12 percent of hackers who successfully accessed the Google Drive attempted to download files with sensitive content. Hackers came from more than 30 countries, though 68 percent all logins came from Tor-anonymized IP addresses, of non-Tor visits to the website 34.85 percent came from Russia, 15.67 percent from the US and 3.5 percent from China.
“Our second data-tracking experiment reveals the dangers of reusing passwords and shows just how quickly phished credentials can spread, exposing sensitive corporate and personal data,” says Nat Kausik, CEO of Bitglass. “Organizations need a comprehensive solution that provides a more secure means of authenticating users and enables IT to quickly identify breaches and control access to sensitive data”.
More detail of the experiment and its findings is available in the full report which can be downloaded from the Bitglass website.
Source:http://betanews.com/
Cyber Security 