Boletín de seguridad de Protege tu Empresa 22-04-2020

Campaña de correos fraudulentos intentan extorsionar a empresas indicando que su sitio web ha sido atacado

Cualquier autónomo o empresa que tenga una web corporativa y que reciba un correo electrónico indicando que su sitio web y toda la información que contiene han sido comprometidos.

Se ha detectado una campaña de correos electrónicos fraudulentos que suplantan a DHL, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar información bancaria.

Si tú o cualquier empleado de tu empresa habéis recibido un correo con estas características, ignóralo. Se trata de un intento de estafa y en realidad los ciberdelincuentes no han accedido al sitio web de la empresa ni están en posesión de la base de datos.

Si has accedido al chantaje y realizado el pago, recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

Los correos electrónicos probablemente hayan sido obtenidos de la web de la empresa si se encuentran en formato texto. Para evitar esta situación, es recomendable publicar las direcciones de correo en formato imagen y con un texto alternativo que no sea la dirección.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 017.

En el correo el ciberdelincuente indica que ha podido acceder a la web gracias a una vulnerabilidad, que ha robado toda la información de la web y la ha enviado a un servidor seguro. Para evitar la filtración de la información y el consiguiente daño a la empresa, se solicita el pago de un rescate en Bitcoin.

El modus operandi de este tipo de fraude es igual que las campañas de sextorsión, los ciberdelincuentes utilizan el miedo de las víctimas a perder la privacidad de su información cuando en realidad no han accedido al sitio web ni están en posesión de la base de datos. Los ciberdelincuentes no aportan ninguna prueba real de que la información haya sido robada, valiéndose únicamente del miedo de las víctimas a que se haga pública.

Una campaña de phishing suplanta a DHL solicitando un pago para entregar un paquete falso

Cualquier empleado, autónomo o empresa que reciba un correo suplantando a DHL como el descrito a continuación.

Se ha detectado una campaña de correos electrónicos fraudulentos que suplantan a DHL, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar información bancaria.

Como en cualquier otro caso de phishing/, extrema las precauciones y avisa a tus empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente, si contienen archivos adjuntos o, como en este caso, enlaces externos a páginas que solicitan información bancaria.

Si algún empleado ha recibido un correo de estas características, ha accedido al enlace e introducido información bancaria, deberá contactar con la entidad bancaria para informarles de la situación.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

• No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
• En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
• No contestar en ningún caso a estos correos.
• Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
• Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

• Decálogo antiphishing
• Busca otro al que engañar, yo no voy a picar
• ¿Tu empresa ha sido víctima de un incidente? Repórtalo
• Suplantaron a mi proveedor y a mi empresa estafaron
• El ciberdelincuente le «pescó» por su falta de formación

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 017.

La campaña maliciosa detectada suplantando a DHL utiliza el mismo gancho que el aviso publicado sobre un phishing a Correos y Telégrafos, un supuesto paquete retenido y la solicitud de un pago pequeño de 1,99 euros para poder recibirlo. Todo ello está acompañado de un tiempo máximo de 14 días para poder realizar el supuesto pago y un asunto que dice “Importante: Su paquete está esperando la entrega. Confirme el pago (1,99 EUR)”

Haciendo clic en el enlace, el usuario accederá a una página web fraudulenta que suplanta a la de DHL, en la que se solicitan directamente los datos bancarios.

Una vez introducidos los datos bancarios, se solicitará al usuario 3 códigos de confirmación. Esta vez los ciberdelincuentes utilizan la reputación de Visa y MasterCard para dar más veracidad y confianza a los usuarios.

Una vez se introduce tres veces el código SMS, el usuario es redirigido a la web legítima de DHL, pero a una sección inexistente que muestra el error 404.

Si utilizas Joomla! como gestor de contenidos, actualiza a su última versión

Versiones de Joomla! de la 2.5.0 a la 3.9.16

Se ha publicado una nueva actualización de seguridad del gestor de contenidos Joomla! que soluciona varias vulnerabilidades que afectan a su núcleo (core).

Si la versión que tienes instalada se encuentra entre las citadas anteriormente, actualiza a la versión 3.9.18 (sin pasar por la versión 3.9.17, tal y como indican en su web), que encontrarás en la web oficial de Joomla!, o bien desde el propio panel de administración del gestor de contenidos. En caso de contar con un proveedor externo, remítele esta información para que pueda aplicar estas actualizaciones de seguridad.

Importante: antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Sigue estos pasos:

En primer lugar, accede a la consola de administración. Por lo general, la ruta es http://MIDOMINIO/”alias_backend” (generalmente «administrator»).

Una vez has accedido, el propio gestor te mostrará un aviso en un mensaje situado en la parte superior de la pantalla. En él se detalla la existencia de una nueva versión de Joomla! En este caso, la 3.9.18:

Al hacer clic sobre el botón «Actualizar ahora», pasarás a otra pantalla donde debes pulsar el botón «Instalar la actualización».

Esto iniciará el proceso de instalación:

Una vez haya concluido dicho proceso, se mostrará el siguiente mensaje: «Su sitio ha sido actualizado. Ahora su versión de Joomla! es la 3.9.18». En este momento, el gestor de contenidos ya está actualizado a la última versión disponible.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 017.

Joomla! ha publicado una actualización del gestor de contenidos que corrige tres vulnerabilidades:

• Un fallo en la comprobación de com_users en las Listas de Control de Acceso (ACL) podría permitir a un ciberdelincuente editar el grupo de usuarios.
• Una incorrecta validación de los parámetros de entrada en la tabla del grupo de usuarios podría cambiar la configuración de las Listas de Control de Acceso.
• Un fallo en la comprobación de com_users en las Listas de Control de Acceso (ACL) podría permitir a un ciberdelincuente eliminar el grupo de usuarios.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes. Algunos de ellos te los explicamos a través de casos reales:

• Mi página web trabajaba en la mina
• Plantillas originales, en repositorios oficiales
• Navegación segura y privada para ti y tu empresa. Parte I
• Navegación segura y privada para ti y tu empresa. Parte II
• Mi página web está suplantando a una web bancaria

En caso de disponer de soporte tecnológico, el personal encargado puede consultar contenidos más técnicos a través del servicio de avisos de INCIBE-CERT.