Archive for Septiembre, 2006
Septiembre 17th, 2006
Hola,
Parece que lo del Spyware es cada vez una plaga que se extiende más y más, este que voy a citar ahora es uno de los primeros que veo que están en perfecto Español.
El funcionamiento del citado Spyware, es que se mete en el Messenger, y envía mensajes a través del mismo para que otros usuarios hagan click y accedan, el mensaje es el siguiente:
Mira que fotos, y luego te enlaza directamente a una página de Gratisweb.com y a un fichero foto.cmd
Lo que provoca, pues funcionamientos erróneos de todo el sistema, cierre de ventanas sin sentido, y que envías el citado mensaje a todos los usuarios.
Los datos del whois, y por tanto del dueño del dominio son:
Admin ID: COCO-58575
Admin Name: Marta Isern
Admin Organization: J.ISERN PATENTES Y MARCAS S.L
Admin Address: Avd. Diagonal 463,bis-2o
Admin City: Barcelona
Admin State/Province: BARCELONA
Admin Postal Code: 08036
Admin Country: ES
Admin Phone Number: +34.933637900
hotels auberge de vacances BojniceAdmin Fax Number: +34.933637902
Admin Email: internet@jisern.com
luxury hotels in LinzPero hay que tener en cuenta, que el dueño del dominio no es el responsable, ya que se trata de una web que ofrece espacios personales, y ha sido usada por alguien para alojar parte del código malicioso sin ofrecer datos suyos.
Asi que cuidadito con lo que abrimos por el MSN!
Septiembre 14th, 2006
Últimamente se están detectando multitud de intentos de fraude internacional mediante el uso de tarjetas de crédito, intentando que desde otros países como Inglaterra, Alemania, paises del este y sobre todo africanos las tiendas online o empresas exporten productos pagados mediante tarjetas de crédito falsas.
Normalmente tienen dos formas de actuar:
La primera de ellas es intentando realizar las compras mediante los TPVs virtuales de las tiendas online. Usan tarjetas robadas o falsificadas para intentar pagar. Si el comercio online, no requiere el uso de tarjetas securizadas (tarjetas que requieren una clave especial para poder realizar compras por internet, que ha de ser solicitada en su entidad bancaria) y no superan el límite máximo de las mismas, el pago se realiza con éxito.
Después el “estafador” puede realizar dos cosas, si la compra no es demasiado cara y está en España, pone como dirección de envío una nave abandonada de un polígono industrial o algo similar, ofreciendo al comercio online su teléfono para que el transportista se ponga en contacto con el para quedar y entregar el paquete.Si la estafa, es a nivel internacional, pueden incluso hablar con el comercio online, para negociar el pago de los portes y pagarlos nuevamente con tarjeta de crédito.Con todo esto, el comercio online, sino se huele nada raro, pues simplemente realiza el envío donde el cliente lo ha solicitado y la estafa queda consumada.
En estos casos, el que tiene todas las de perder es el comercio, ya que es el responsable de la venta, y al no requerir que la tarjeta esté securizada, no tiene credenciales para demostrar que dueño de la misma es realmente quien realizó el pedido y el pago. El dueño de la tarjeta suele tener hasta seis meses para realizar una reclamación por fraude, y por regla general no debería haber problemas para recuperar su dinero.
La segunda de las formas, es parecida a la primera, pero no exactamente igual. Lo primero que hacen es mediante un robot de busqueda especializado en capturar direcciones de e-mail, realizan un barrido por todas las tiendas online que puedan. Una vez que tienen las direcciones de e-mail de las citadas tiendas online, les envían un correo como el siguiente:
“SICOGI SHOP
- 01 BP 1221 ABIDJAN 01
Zone 4 C Rue terrasson immeuble turquoise
IVORY COAST.Senor/ Senora ,
Somos la empresa SICOGI SHOP situada en africa del oeste mas preccisamente en Cote D’ivoire, en efecto deseamos tener relaciones inter-societad con vosotros mediante un pedido a distancia razon por la cual enviamos este e-mail, y para ademas conocer vuestro campo de accion :
1 - Podeis exportar mercancias hacia Africa VIA UPS o FEDEX.
2 - Teneis un termial de pago por Tarjeta de Crédito (VISA CARD / MASTER CARD) a international TPV
Por favor enviar la respuesta a este mail: sicogi_shop@yahoo.fr para podemos hacer nuestro pedido .
CORDIALEMENTEMr ERIC KODJO
Tel : +225 0849 7537
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
LES ETS KODJO S.A.R.L
Zone 4C Rue terrasson immeuble turquoise
01 BP 1221 ABIDJAN 01
IVOIRY COAST
Dear Sir,We are SICOGI SHOP located in West Africa (Côte d’Ivoire), indeed we will wish to have inter-company relations with you by order,
this is why we address this mail to you, and also to know your sphere of activities:1 - Can you export your products: towards Africa by FEDEX or UPS
2 - Have you an Electronic Terminal of international payment for credit cards ?
NB Please confirm all this by E-mail to us: sicogi_shop@yahoo.fr so that we can make our order
CORDIALLY
Mr ERIC KODJO”
Como podemos ver, lo que intentan es exactamente lo mismo que con el primer “truco”, pero esta vez, como probablemente el pago por tarjeta esté securizado en el comercio, o directamente no esté disponible, realizan el contacto por e-mail.
Hay en ocasiones que si el comercio no accede a realizar los pagos con las tarjetas de crédito, porque se huela algo, llegan incluso a falsificar transferencias bancarias y a enviarlas por FAX o e-mail. Entonces empiezan a decir que los corre mucha prisa, y que necesitan que el envío salga lo antes posible, pero claro, las transferencias internacionales no llegan hasta dos o tres días después, con lo que si el comercio envía la mercancía fiándose del supuesto justificante la perderá con toda seguridad.
Esto no quiere decir que no se puedan realizar negocios internacionales con seguridad, pero hay que tener en cuenta unos conceptos básicos para intentar no ser estafado:
- Ninguna empresa que quiera realizar una compra internacional va a tener una cuenta de correo de yahoo, hotmail o gmail (o cualquier otra gratuita).
- Ninguna empresa usará varias tarjetas de crédito para realizar una misma compra, si el montante asciende a mucho, siempre será una transferencia bancaria y el pedido lo realizará con la suficiente previsión como para no andar con prisas.
- Deben pedir el NIF e intentar consultarlo con las autoridades pertinentes del país para ver si es realmente válido.
- Si las compras vienen de Costa de Marfil o de África, tengan mucho más cuidado, ya que las leyes allí no son como en Europa y pueden quedarse sin ninguna ley internacional que les proteja.
Y finalmente si son estafados o creen que pueden llegar a serlo, remitan un e-mail a delitos.tecnologicos@policia.es, que es la dirección a la que hace referencia la página de la policía. (Yo ya he remitido varios emails y nunca he recibido respuesta, pero tampoco se si realizarán acción alguna o no).
Reedición: (22-Septiembre-2006).
Hoy me ha vuelto a llegar otro correo, os lo adjunto para que veáis las cabeceras que tiene con todo lujo de detalles:
“Return-Path:
Delivered-To: webmaster@xxxx.com
Received: (qmail 22128 invoked by uid 508); 22 Sep 2006 08:33:35 -0000
Received: from 64.233.182.191 by LXServer2 (envelope-from , uid 507) with qmail-scanner-1.25st
( Unitel SaFeFiLtEr
Clear:RC:0(64.233.182.191):SA:0(-1.9/4.0):.
Processed in 5.450699 secs); 22 Sep 2006 08:33:35 -0000
X-Spam-Status: No, hits=-1.9 required=4.0
Received: from nf-out-0910.google.com (64.233.182.191)
by 192.168.5.5 with SMTP; 22 Sep 2006 08:33:29 -0000
Received: by nf-out-0910.google.com with SMTP id o25so966413nfa
for ; Fri, 22 Sep 2006 01:14:36 -0700 (PDT)
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=beta; d=gmail.com;
h=received:message-id:date:from:to:subject:mime-version:content-type;
b=JJYHmo5PKDWCWSb4+1JFK2lF+gHu6DICftbF1yUKq22wj/5b6NgHcMmJZuR31czanq3Shnnd9D5LpAq2VDcgI98qVKfV/ASUHD8xmmeys6Mf0N5K/g6RBuoI2u1lP6LDS2Kdaarm0iHYVJnMvCDyWD9yXwTOrzzlSw7fiKeF9S0=
Received: by 10.78.128.11 with SMTP id a11mr235794hud;
Fri, 22 Sep 2006 01:14:31 -0700 (PDT)
Received: by 10.78.174.13 with HTTP; Fri, 22 Sep 2006 01:14:31 -0700 (PDT)
Message-ID: <392cb6ea0609220114o13df2d41sdea17ea8be070a02@mail.gmail.com>
Date: Fri, 22 Sep 2006 08:14:31 +0000
From: “Lapoule Jean Francois”
To: galleguis@hotmail.com
Subject: INFO PEDIDO
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_Part_3187_13424787.1158912871753″
X-Qmail-Scanner-Message-ID: <115891400992322115@LXServer2>
Status: R
X-Status: NC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:
Buenos días Sr. o Sra.,
Soy Director de una tienda y desearíamos efectuar una compra
en su Tienda para eso querríamos saber algunos
información:
1-Si pueden exportar el paquete mediante una casa de expedición
UPS,TNT,
2-si tieneis datafono de pago por tarjeta de credito Visa o Mastercard.
Esperamos de sus noticias si ustedes estais de acuerdo con nuestras condiciones
Mandame la tarifa de sus productos para hacer nuestro primer pedido.
Muchas Gracias.
Esperando leerse.
Cordialmente
Sr. Lapoule Jean François
09 BP 250 ABIYÁN 09
TELF.: 225 01 18 99 70
Adjame 220 Alojamientos
REP: Costa de Marfil
sgmt_ci@yahoo.com
sgmt.ci@gmail.com”
Saludos.
Septiembre 8th, 2006
ttrentham sez (un lector de boingboing.net), dijo “I’ve been using Tor/Privoxy/Vidalia, FoxyProxy and CustomizeGoogle Firefox extensions for the past several weeks when using Google. This morning, I started getting 403 Forbidden responses from Google when I search.”
Lo cual viene a decir: “He estado usando sistemas Tor/Privoxy/Vidalia, FoxyProxy y una extensión personalizada de google durante semanas, hasta que esta mañana, he comenzado a obtener respuestas de Google como: 403 Forbidden. Es decir que le han comenzado a denegar respuestas.
Este usuario, usaba sistemas proxy para ocultar su posición en internet, dichos programas, en ocasiones se usan para hacer el mal, pero en otras ocasiones, cada vez más, lo tienen que usar para evitar las opresiones de sus paises y la censura en internet. Y Google, por ejemplo, en China, por presiones de su gobierno tiene bloqueados resultados de su índice de búsqueda.
La respuesta que le daba al citado usuario era:
“We’re sorry…
… but your query looks similar to automated requests from a computer virus or spyware application. To protect our users, we can’t process your request right now.
We’ll restore your access as quickly as possible, so try again soon. In the meantime, if you suspect that your computer or network has been infected, you might want to run a virus checker or spyware remover to make sure that your systems are free of viruses and other spurious software.
We apologize for the inconvenience, and hope we’ll see you again on Google.”
Lo cual viene a decir, que su busqueda parece una consulta hecha por un ordenador con virus, que para proteger a sus usuarios, no pueden procesar su consulta ahora.
Google, puede que haya bloqueado a dicho usuario, por usar demasiadas herramientas para proteger su intimidad (o hacer el mal), pero parece que otros usuarios están recibiendo las mismas respuestas cada vez que acceden a través de un proxy.
Septiembre 5th, 2006
PHP ha publicado una nueva versión de PHP 5 que corrige un problema que había en los sistemas de 64 Bits y el módulo del memory_limit que no fue incluido en el PHP 5.1.5.
“memory_limit es un módulo de PHP que no permite que un script use más memoria de la fijada por el sistema, consiguiendo con ello, que un solo script pueda bloquear el servidor. Éste módulo es casi obligatorio, en entornos, donde no se controla quien desarrolla los scripts, ya que sin el, cualquiera podría bloquear el servidor en pocos segundos“
Septiembre 1st, 2006
Ultimamente, muchos firewalls y routers relativamente avanzados incorporan sistemas de protección adicionales, no solo deniegan el acceso a determinados puertos y ya está. Sino que analizan las tramas TCP/IP y detectan si hay algún tipo de ataque incrustado en ellas.
Este tipo de ataques son los más comunes últimamente, ya que una gran parte de los ordenadores tienen algún tipo de firewall que corta puertos, bien en el router, en el sistema operativo o bien con un firewall independiente, con lo que por ahí los hackers no tendrían nada que hacer.
El modus operandi, de hoy en día, es aprovechar los pocos puertos abiertos que puedan quedar atacándolos con SCRIPTs que aprovechen vulnerabilidades de los servicios que escuchan en los puertos abiertos. Es decir, que si tenemos un modem colocado en nuestro equipo, y Windows ni tiene el parche de seguridad que afecta al servicio RPC, pues un atacante, lo puede explotar e infectarnos el equipo. En igual medida puede suceder con servidores Web, de bases de datos, de copias de seguridad, etc. En ocasiones incluso si el servidor web no tiene ninguna vulnerabilidad, pero alguna aplicación que corre bajo el sí, es posible que los atacantes puedan hacer modificaciones en el sistema.
Para parar estos ataques lo único que tenemos disponible son dos cosas, la primera es la de tener instalados todos los parches de seguridad en nuestros equipos, y la segunda es el poseer un sistema IPS que nos ayude a parar estos ataques, ya que por regla general, él actualizará su fichero de firmas diáriamente y estará preparado para cuando lleguen esos ataques y nosotros no hayamos actualizado el equipo.
