Cuando enseñamos a la gente cómo evitar ser víctima de sitios de phishing, solemos aconsejar que se inspeccione de cerca la barra de direcciones para asegurarse de que contiene HTTPS y que no contiene dominios sospechosos como google.evildomain.com o letras sustitutivas como g00gle.com. Pero, ¿qué pasaría si alguien encontrara una forma de suplantar contraseñas utilizando un sitio malicioso que no contuviera estos signos reveladores? Un investigador ha ideado una técnica para hacerlo. La llama BitB, abreviatura de "navegador en el navegador".

Microsoft ha desvelado las técnicas de unos ataques de phishing que consiguen esconderse con formas poco conocidas como guiones y puntos en código Morse y cambiando sus técnicas de ataque cada 36 días. Tras un año de investigaciones, la división Security Intelligence ha publicado características de estos ataques dirigidos que se muestran normalmente bajo la temática facturas XLS.HTML en correos electrónicos.

A principios de julio, el propio Instituto Nacional de Ciberseguridad (INCIBE) alertaba de los SMS que suplantan al BBVA para capturar nuestros datos, dándole una alta importancia de 4 sobre 5. Los afectados son aquellos clientes de las entidades por las que se hacen pasar los atacantes, en este caso el BBVA. Intentan suplantar al banco enviando SMS que llegan al mismo hilo donde están los mensajes originales. La recomendación como siempre es clara: nunca acceder desde un enlace recibido vía SMS.

Un estudio del Observatorio de la Seguridad Web recopiló datos sobre la seguridad de los emails de las instituciones públicas españolas, y recientemente ha publicado los resultados de su análisis. Y sus conclusiones resultan descorazonadoras: de los 772 dominios estudiados, sólo uno (¡1!) cuenta con medidas de seguridad que los protegen de las suplantaciones de identidad.

(...)cuando una persona observa a simple vista un código QR no puede saber qué información está almacenada en él, o si la acción que podría realizarse automáticamente podría ser maliciosa: si una URL nos puede poner en la duda en muchas ocasiones, este sistema es aún mas opaco. Esto se traduce en que a día de hoy esto se ha convertido en otro posible vector más para phishing: alguien podría cambiar el código de la mesa de un bar para ver la carta por un código que busque las credenciales de una cuenta de algún servicio web en tu móvil...

Con el aumento de la popularidad de servicios de streaming ha surgido una nueva economía dentro de los ciberdelincuentes: la venta de lotes de cuentas “robadas” a través de phishing con acceso a esos servicios. Este aumento es debido tanto al crecimiento de su uso durante la pandemia, y a los precios. El coste de estos servicios , dependiendo de la situación económica de los países, puede llegar a ser considerados un lujo. El adquirir un acceso a los mismo a costes mucho más bajos, aunque sea de forma ilegal y en perjuicio de un tercero,…

En Bleeping Computer tienen la curiosa historia de un ataque de phishing usando código Morse que descubrieron vía Reddit y en muestras que se habían enviado a la popular web de antivirus VirusTotal

BBVA es el último gancho que los ciberdelincuentes están utilizando para lanzar ataques de tipo phishing en España. A través de un SMS, como en los recientes casos de DHL e ING, los atacantes esperan cazar a clientes y no clientes de la entidad bancaria española mediante un llamativo aviso: BBVA : Debido a una actualización, hemos tenido que suspender su cuenta. Para desbloquearlo: [enlace a una web que simular pertenecer al banco] El mensaje, por supuesto, es falso.

Las credenciales son producto de una campaña masiva de phishing que acabó en un despiste fatal de sus autores, que dejaron de forma accidental todas las credenciales robadas a disposición del público a través de una búsqueda en Google

Jordi Ballart, el alcalde de Terrassa (Barcelona) ha podido recuperar su cuenta de Instagram este jueves tras sufrir un ciberataque por parte de unos estafadores a los que mandó su contraseña pensando que eran técnicos de Instagram para verificar su cuenta. Técnica conocida como engaño: "phishing". Le pedían un rescate para recuperar la cuenta . El alcalde de Terrassa explicó esta semana haber sido victima de una estafa, y anunció que ya había denunciado los hechos a los Mossos. Jordi Ballart ya ha recuperado su cuenta de Instagram.

El alcalde de Terrassa, Jordi Ballart, que ya ha recuperado la cuenta, denunció el secuestro de su cuenta personal en Instagram. Los autores de la usurpación de la cuenta le han exigido un rescate y han bloqueado también la dirección de correo electrónico asociada al perfil del alcalde. El ataque se produjo cuando alguien falsificó un mensaje técnico de Instagram (Phishing) pidiendo al alcalde que rellenara un formulario para verificar su perfil a través de un enlace.

El dato se desprende de una investigación realizada por la empresa de seguridad Check Point Research, que analiza las 10 marcas más usadas como cebo en correos de phishing

Una mañana cualquiera, aparece un correo en tu bandeja de entrada. Es de tu banco. Y parece urgente, porque dice que ha habido un problema con tu cuenta 'online' y que, si no lo solucionas, podrías quedarte sin acceder a tu cuenta bancaria. Debes volver a escribir tu contraseña para que sea segura, así que pinchas en el link que viene adjunto, te lleva a la web de tu banco, insertas la contraseña y te sale un mensaje diciendo que ya está todo solucionado.

Google ha lanzado un nuevo diseño que te advertirá abiertamente sobre problemas de seguridad en todas sus cuentas. Solo se usará en el caso de emergencias bastante importantes, como si necesita cambiar su contraseña de Google porque otra persona la ha adquirido. "Cuando detectamos un problema grave de seguridad en la cuenta de Google, automáticamente mostraremos una alerta dentro de la aplicación de Google que estás usando y te ayudaremos a solucionarlo, sin necesidad de revisar el correo electrónico o las ale

La Oficina de Seguridad del Internauta del Instituto Nacional de Ciberseguridad ha detectado una nueva campaña fraudulenta a través del correo electrónico que pretende suplantar a la Agencia Tributaria con enlaces que descargan malware.

Estos días se detectaba un ciberataque que se estaba cebando en la crisis del coronavirus. Mensajes de correo electrónico eran parte de una campaña de phishing y contenían enlaces que hacían que la víctima pudiese potencialmente infectar sistemas hospitalarios con un ransomware. De haber infectado esos sistemas, los hospitales españoles se hubieran visto colapsados ante la incapacidad de poder seguir accediendo a sus sistemas informáticos.

Las empresas de mensajería han sido elegidas varias veces por los delincuentes en numerosas campañas maliciosas analizadas durante los últimos meses. Principalmente se han utilizado para propagar malware, pero también como gancho para tratar de obtener los datos de las tarjetas de crédito proporcionados directamente por usuarios engañados y convencidos de que tenían un paquete pendiente de entrega.

Los administradores de la empresa de gestión de repositorios de código GitLab decidieron hacer una prueba de phishing entre sus propios empleados. El equipo rojo (que se encarga de atacar) compró el nombre de dominio gitlab.company, y luego usó G Suite para facilitar la entrega del correo electrónico de phishing. ["Felicidades. Su departamento de IT lo ha identificado como candidato para el programa de actualización de sistemas de Apple..."]. 17 de los 50 empleados a los que se mandó el correo siguió el link, y 10 intentó entrar con sus datos.

Conocido como "suplantación de identidad", el phishing es una de las plagas más grandes entre los métodos de abuso informático, especialmente en el correo electrónico, donde cada vez se inventan formas más ingeniosas para intentar engañarte y saltarse filtros de spam. De ahí que Google haya lanzado este cuestionario para sepas que tan bien se te da identificar estas estafas.

Internet está lleno de amenazas, y en ocasiones la falta de claridad del software que utilizamos puede ayudar a los hackers a engañarnos de maneras muy sutiles. Que la información no se presente de manera sencilla y accesible favorece especialmente a prácticas como el phishing, que consiste en engañar al usuario haciéndose pasar por personas o empresas de confianza para así robar sus datos. A sabiendas de que todo software es mejorable, unos “Googlers”, es decir, empleados de Google, han propuesto cambiar la forma en la que Google Chrome mu

Mucho cuidado con las URL que abres desde un SMS. Este es el mecanismo del que se aprovecha una campaña de spam que hoy ha enviado estos SMS a muchos usuarios, con el siguiente texto: “Estimado cliente, su paquete no se ha podido entregar el 11/10 porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones:”