CleverTech.MX

  Stu Sjouwerman   Los investigadores de Malwarebytes advierten que una gran campaña de publicidad maliciosa está explotando los anuncios de Google para redirigir a los usuarios a sitios de  phishing  . “Recientemente descubrimos una cadena de publicidad maliciosa que abusaba de la red publicitaria de Google para redirigir a los visitantes a una infraestructura de estafas de soporte técnico”, escriben los investigadores.  “Los usuarios desprevenidos que busquen palabras clave populares harán clic en un anuncio y su navegador será secuestrado con advertencias falsas instándolos a llamar a agentes deshonestos de Microsoft para obtener ayuda. Lo que hace que esta campaña se destaque es el hecho de que explota un comportamiento de búsqueda muy común cuando se trata de navegar por la web: buscar un sitio web por su nombre en lugar de ingresar su URL completa en la barra de direcciones”. Los atacantes compran anuncios relacionados con términos de búsqueda populares para que los usuarios vean

 Por:  Stu Sjouwerman   Con tantas juntas enfocadas en las operaciones, los ingresos, la estrategia y la ejecución, se están olvidando por completo del simple hecho de que un solo ataque cibernético puede detener todo eso. Tal vez a los miembros de la junta directiva de una organización no les importe la seguridad cibernética porque se siente mucho en las malas técnicas.  Tal vez sea porque no entienden lo que constituye un ciberataque.  O tal vez es porque no entienden las implicaciones y repercusiones de un ataque al negocio que buscan ayudar a crecer. Leí un artículo que quería compartir y resumir del proveedor de seguridad SentinelOne titulado  ¿En la junta directiva?  Tenga cuidado con estos seis mitos comunes sobre seguridad cibernética  .  En él, destacan algunos conceptos erróneos bastante compartidos universalmente sobre la seguridad cibernética que también actúan como razones por las cuales la Junta debería hacer la pregunta "¿cómo es nuestra postura de seguridad ciberné

  Por:  Stu Sjouwerman   Si bien  la autenticación multifactor  (MFA) reduce significativamente la superficie de amenazas de una organización al hacer que el robo de credenciales sea mucho más difícil, un nuevo ataque aprovecha las llamadas telefónicas como segundo factor. Siempre que los ciberdelincuentes puedan aprovecharse de la víctima como parte de un ataque, lo harán.  Y ese parece ser el caso en un nuevo ataque del  grupo cibercriminal Lapsus$  .  En este nuevo ataque,  detallado por primera vez por Wired  , Lapsus$ ha aprovechado la implementación de MFA de varias plataformas que utiliza una llamada telefónica o presiona un botón en la pantalla de su teléfono móvil. El método de ataque es bastante simple: llamar al empleado víctima varias veces a la 1 a. m. cuando está durmiendo y, según Lapsus$ en su canal oficial de Telegram, [el empleado víctima] “lo más probable es que lo acepte.  Una vez que el empleado acepta la llamada inicial, puede acceder al portal de inscripción de M

  Stu Sjouwerman   Los investigadores de Akamai han descubierto un kit de  phishing  de PayPal que intenta robar las identidades de las víctimas, así como su información financiera.  La página de phishing se ve idéntica a la página de inicio de sesión de Paypal y pide a los usuarios que resuelvan un captcha antes de ingresar su nombre de usuario y contraseña.  Los investigadores señalan que solicitar el captcha puede infundir una sensación de confianza en el usuario, ya que siente que el sitio solicita medidas de seguridad. Después de que la víctima aparentemente haya iniciado sesión, el sitio les dice que se ha detectado actividad sospechosa en su cuenta y les pide que verifiquen la información de su tarjeta de pago.  Además, el sitio solicita el número de seguro social del usuario, el apellido de soltera de la madre y el PIN de su tarjeta.  Después de esto, el sitio le pide al usuario que se tome una foto con su pasaporte, licencia de conducir o identificación nacional.  Akamai señal

  Stu Sjouwerman   Una nueva ola de ataques de phishing  en las redes sociales  ahora está utilizando tácticas de miedo para atraer a las víctimas para que envíen sus inicios de sesión. En primer lugar, la semana pasada se  informó  de un ataque de phishing en Twitter .  Los actores de amenazas enviarían mensajes directos a las víctimas, marcando la cuenta por uso de discurso de odio.  Luego serían redirigidos a un Centro de ayuda de Twitter falso para ingresar sus credenciales de inicio de sesión.  Luego, se descubrió  una campaña de phishing de Discord  al enviarle al usuario un mensaje de amigos y/o extraños acusando al usuario de enviar fotos explícitas en un servidor.  El mensaje también incluía un enlace y, si se hacía clic, conduciría a un código QR.  Esto dio lugar a que los ciberdelincuentes se apoderaran de la cuenta.  Las redes sociales siempre se han utilizado para ataques de phishing exitosos, utilizando la ingeniería social para manipular a las víctimas para que revelen i

 R oger grimes   Con un desempleo bajo récord, un mercado laboral ajustado y una demanda creciente de los clientes, todos dicen que es un mercado laboral de empleados.  Pero cada vez es más difícil conseguir un trabajo real y contratar a un buen empleado en estos días.  Un aumento en los ataques de  ingeniería social  que ofrecen trabajos falsos y empleados falsos está dificultando que tanto los empleados potenciales como los empleadores sepan en quién confiar. A los buscadores de empleo se les ofrecen trabajos falsos únicamente para robar su dinero o se los utiliza como peones involuntarios para comprometer a sus empleadores existentes;  y los empleadores están siendo explotados por empleados falsos que quieren robar propiedad intelectual, secretos y valor.  Los empleos y empleados fraudulentos se están convirtiendo en algo de lo que deben preocuparse todos los buscadores de empleo y los empleadores. Si está buscando trabajo, ¿sabe cómo detectar un trabajo falso? Si eres empleador, ¿s