Los 610 millones que deben entregar los autores del spam a Yahoo se deben a daños al sitio web, violación de marca registrada e incumplimiento de la ley anti spam de Estados Unidos. Como bono, los culpables también tendrán que pagar los gastos de abogados.

El modus operandi de la estafa era pedirle datos a los supuestos ganadores de forma de poder obtener algo de dinero de sus cuentas en el banco. A algunos incluso se les pidió que enviaran dinero para obtener un premio mayor.

Link: Yahoo! awarded 610 million dollars from spammers (GNT)

Tal como lo leen. Como si no fuera suficiente con el hackeo a la PSN, su desactivación por casi un mes, y los problemas con el sitio para cambiar contraseñas, ahora se encontró un sitio de phishing alojado en uno de los servidores de Sony en Tailandia. Lo que significa que hubo un hackeo. De nuevo.

La empresa de seguridad F-Secure descubrió que el sitio hdworld.sony.co.th despliega un phishing para una compañía de tarjetas de crédito italiana. Visitar el sitio con Chrome despliega un gran mensaje de alerta de que se trata de una estafa.

El problema es mucho menos serio que lo que ocurrió con la PSN, donde se filtraron posiblemente millones de datos de usuarios del servicio, pero igualmente golpea a la compañía, que ha tenido muy mala suerte estas semanas.

Link: Phishing site found on a Sony Server (F-Secure blog)

El hombre de 48 años de edad envió dinero en efectivo a cuentas bancarias diferentes en Nigeria, Malasia, Inglaterra y los Estados Unidos antes de darse cuenta que todo era una farsa. Cuando la policía le notificó que era víctima de un engaño y que la mujer no existía quedó devastado.

Las relaciones de lejos generalmente no funcionan y menos si confías ciegamente en una persona solo por su licencia de conducir, para esos casos está el videochat. Así como la extorsión telefónica los estafadores utilizan un poco de ingeniería social y la inocencia de las personas para sacarle unos cuantos billetes.

Si este hombre buscaba una compañía casual debió empezar por Facebook o de plano una muñeca sexual, pero si buscaba algo “serio” en el plano virtual entonces lo indicado era algo como My Virtual Girlfriend para iPhone o LovePlus para Nintendo DS.

Para una relación real nada como el trato cara a cara, o bien, buscar en el catálogo de novias por correo, donde chicas rusas o vietnamitas buscan mejorar su situación económica mediante un matrimonio por conveniencia. Pero debo decirles que esto en muchos países es ilegal, ya que las “novias ordenadas” suelen ser víctimas de la violencia doméstica, maltrato, violación y explotación.

Link: Fake virtual girlfriend steals 200K (TGDaily)

(cc) smilions 12

El phising es una amenaza muy presente y bien conocida en los servicios de correo electrónico. Los ciberdelincuentes suplen una identidad, por lo general una entidad bancaria, pidiéndonos por motivos de seguridad que confirmemos nuestros datos de acceso, para a continuación robarnos. Las redes sociales no se han librado de estos tipo ataques, y es ahora Facebook su campo de actuación.

Los usuarios de la red social podrían recibir mensajes con un falso “Facebook Security” como remitente en los que se les solicita sus datos de acceso, con la excusa de haber recibido quejas por parte de otros usuarios por el uso de la cuenta.

Si los datos no se proporcionan el supuesto servicio de seguridad de Facebook amenaza con cancelar la cuenta. El intento de engaño es facilmente apreciable con un simple vistazo a la dirección del remitente o la grafía empleada, como todo phishing. Así que atentos y no crean todo lo que llega al mail.

Link: Un falso mensaje de Facebook puede robar tus datos personales (La Vanguardia)

La falla se relaciona con un sistema de ofertas que opera Bing, y que potencialmente permite que los usuarios y empresas estén expuestos a transacciones falsas. Bing “cash back” fue lanzado el año pasado y permite que las personas que lo usen tengan la opción de obtener dinero de vuelta cada vez que compran un producto utilizando el servicio.

La falla permite que, quienes la descubrieron, puedan adueñarse de grandes cantidades de dinero que corresponderían a otros usuarios.

Meghani indicó en su blog:

Nunca he comprado nada usando Bing Cashback, pero el balance de mi cuenta es de USD$2.080,06. No voy a explicar exactamente cómo generar los requerimientos falsos para hacer esto, pero no es complicado”

A pesar de que se trataba más bien de un post de advertencia, la reacción de Microsoft fue inmediatamente amenazar con acciones legales contra la persona que descubrió el error.

Estoy sorprendido que se tomaran tantas molestias para que yo retirara la información que es obvia para cualquiera que lea sus documentos. No me gusta lidiar con abogados, así que he decidido aceptar su requerimiento”, dijo Meghani después de retirar el post de la discordia.

La falla y la actitud de Microsoft podrían costarle a Bing, que intenta desde su lanzamiento en Mayo quitarle terreno a Google – algo que ha logrado a penas, alcanzando de acuerdo a las últimas cifras un 9% de participación de mercado. La compañía no ha hecho declaraciones oficiales respecto a este caso.

Links:
- Bing hit by costly security loophole (The Guardian)
- Surrendering to Microsoft and Bing Cashback (Bountii Blog)

(cc) resakse on flickr

Si al creador de Internet lo estafaron, nosotros no nos podíamos quedar atrás. Queremos ser como él.

Todo comenzó en Facebook, haciendo lo que hacemos en FW la mitad del día: jugar Geo Challenge. El NOD32 había expirado y con insistencia nos enviaba apocalípticos mensajes recordando nuestra vulnerabilidad a las amenazas creadas en las ultimas horas. Providencialmente aparece un banner con las palabras mágicas: Antivirus y GRATIS, por un año. Hicimos click en el aviso.

Llegamos a una espantosamente diseñada pagina que nos confirma lo de poder bajar gratis el NOD32 enviando la frase “en linea” por SMS. Era demasiado bueno para ser cierto, pero aún así decidimos enviar el mensaje. No sin antes ir recolectando las pruebas para recuperar -por si acaso- nuestro dinero, claro.

Como era de esperar, el “gratis” no era tal. COL$3.596 fueron descontados del saldo.

Llegó de inmediato el código de confirmación, con el cual se podía descargar el antivirus. Al menos iba a salir barata la licencia, no sonaba mal.

La descarga fue exitosa. Sin embargo, al intentar instalar el antivirus: la sospecha de estafa se ha confirmado. Es una versión beta, y para completar, está vencida la licencia.

Es un insulto que los operadores celulares de 4 países permitan que este tipo de estafadores hagan lo que quieren en internet. Es por sinvegüenzas como estos que los niveles de penetracion de internet en latinoamerica son aún de los más bajos del mundo. ¿cómo pretenden que la gente use en forma masiva internet si lo primero que hacen es estafarla, y encima que los operadores lo permitan?

A decir verdad, no es completamente culpa de los operadores. Escudriñando el código encontramos que quien genera los códigos y facilita los cobros es una empresa llamada sepomo, la cual se encarga de la intermediación entre los estafadores y los operadores celulares. Son ellos quienes debería fijarse mejor en las triquiñuelas de sus clientes. Hemos dado aviso a ellos, quienes han respondido diligentemente y dicen estar investigando el asunto.

¿Qué se puede hacer?

Usted puede ayudar.

1. Si ve el banner en facebook: reportelo como “publicidad engañosa”. Uno supondria que cuando un aviso es reportado por un numero significativo de personas, facebook lo bloquea, tanto al aviso como al que lo registra.

2. Reporte el caso a su operador celular. Denuncie. Por culpa de los usuarios que no se toman el trabajo de reportar los fraudes es porque siguen ocurriendo. Uno supondría que cuando un usuario es reportado por un numero importante de personas, el operador celular los sancionará y hasta bloqueará del sistema. O al menos eso queremos pensar. Lo hicimos por escrito con el Operador Tigo en Colombia, y en maximo 15 días hábiles tendremos respuesta.

3. Reporte a chilevirtual.inet.cl en servicios como Phishtank o similares (se reciben sugerencias). Se supone que cuando un sitio es reportado por un número significativo de usuarios, este es tomado como un sitio fraudulento por browsers como Opera o Firefox, antivirus y firewalls, lo que evitaría que sigamos sigan cayendo incautos en las redes de estos sinverguenzas.

Muy probablemente chilevirtual.inet.cl desaparezca en unas horas y mute a una nueva identidad. Pero lo mínimo que podemos hacer, nosotros como usuarios, es no dejarles el camino tan fácil.

Ellos hacen lo que quieren y nosotros con nuestra indiferencia, se los permitimos.

Link: Chilevirtual

—-Actualización 20/03/2009 11:46—-
Al parecer los de chilevirtual son lectores de Fayerwayer porque inmediatamente quitaron la página. Respondieron a Sepomo lo siguiente:

Te comento que hemos dado de baja momentáneamente los servicios alojados en el host y hacemos una revisión de casi 3000 licencias que tenemos de NOD32 para tal efecto. Puesto que en mi ultimo viaje a Nueva York se cerro un negocio canjeado por dichas licencias.

Ya he mandado un mail a USA para que me ayuden a revisar cada una de las licencias y de las casi 1900 revisadas solo un 3% ha estado con error. Estas últimas serán reactivadas en los próximos días.

Sobre un historial de estafas en la red, también te comento que se asumió el host chilevirtual en remate publico al gobierno por que los dueños anteriores hicieron algunas cosas que no estaban legales. Los responsables ya creo pagaron pues de esto hace algún tiempo.

Sobre el cobro que se refiere el usuario, éste estaba expuesto al ingresar al aviso desde Facebook claramente y que no se muestra en la captura incompleta que ha tomado el usuario y puesto en http://www.fayerwayer.com/up/2009/03/chilevirtual.jpg

Si el usuario quisiera un reembolso, no hay problema con aquello (que mande sus datos para hacerle giro vía MoneyGram) inclusive con creces, pues entenderás que no se hará una transferencia de US$1,5 sino de 5, 10 o 15 (según sea el mínimo por MoneyGram)

Por último destaco que no ha habido ninguna intención de estafa y prueba de fe es que para poner avisos en facebook hay que pagar (y bastante) estos avisos han sido costeados en un 38% por la empresa NOD en este caso y en otros en un 42% por la empresa SKYPE.

Quedo a la espera de una respuesta y no tengo ningún problema de que el usuario en cuestión se contacte conmigo a info@chilevirtual.inet.cl

Debemos estar muy ciegos para no ver donde dice que nos van a cobrar por un antivirus que no sirve. Ah no, es que no dice por ninguna parte, pero sí dice en tres que es “GRATIS” (y lo dice en negrilla). Ahora que involucra a NOD (yo pensaba que se llamaba ESET) y a Skype como patrocinadores de los avisos de Facebook, tenemos un nuevo correo que escribir. Con su permiso.

Los mantendremos informados.