Daily Archives: July 29, 2020

¡Cuidado! Un fallo de Zoom permite que cualquiera entre en las videollamadas privadas

Posted on by

La popular plataforma de videollamadas, Zoom, vuelve a estar en el centro de la polémica después de que un analista especializado en ciberseguridad haya descubierto una grave vulnerabilidad en el servicio, que permitiría a los atacantes descubrir la contraseña de las salas de reunión privadas en tan solo unos minutos.

El analista en cuestión, Tom Anthony, explica que si bien las reuniones privadas de Zoom pueden ser protegidas con contraseñas numéricas de hasta seis dígitos, el cliente web de la plataforma no cuenta con un límite de intentos máximos a la hora de introducir la clave, habilitando así la posibilidad de llevar a cabo ataques de fuerza bruta con el objetivo de recuperar la clave correcta que concede acceso a la sesión. El hecho de utilizar claves de seis dígitos, implica que existen un millón de combinaciones distintas que pueden ser utilizadas.

Ataques de fuerza bruta, ¿qué son y cómo funcionan? | Cuando hablamos de ataques de fuerza bruta, nos referimos a un procedimiento que consiste en intentar recuperar una clave o contraseña probando todas las combinaciones disponibles, normalmente de manera automatizada utilizando sistemas diseñados específicamente para generar las claves comprendidas en un rango concreto.

Al aprovecharse de esta vulnerabilidad, los atacantes podrían acceder y escuchar las reuniones privadas. En ese sentido, el atacante explica que únicamente era necesario conocer el código identificador o ID de la llamada y comenzar a probar distintas combinaciones hasta dar con la clave.

Videollamada por Zoom

La app de Zoom ha sido una de las más descargadas de los últimos meses.

Zoom, de nuevo en el centro de la polémica por un grave fallo de seguridad

En la publicación donde Anthony expone los detalles de esta investigación, explica que, para obtener las contraseñas de las sesiones privadas de Zoom, le bastó con desarrollar una simple herramienta usando el lenguaje de programación Python. Con ella, se conseguía comprobar hasta 25 claves de seis dígitos cada segundo, de modo que descubrir la clave correcta podía tomar menos de media hora utilizando un ordenador normal y corriente, como el que cualquiera podría tener en casa. De hecho, explica que en caso de haber utilizado técnicas más avanzadas, distribuyendo la ejecución del script en servidores en la nube, comprobar el rango completo de claves podría llevar tan solo unos minutos.

Aunque Zoom fue avisada sobre esta vulnerabilidad a principios del mes de abril, y poco después el problema quedó subsanado a través de la implementación de una capa extra de seguridad que requiere que las contraseñas sean no numéricas y de una longitud superior a los seis dígitos originales, la realidad es que se trata de otra piedra más en el camino de Zoom, una plataforma que desde que sufrió su explosión de popularidad a partir del mes de abril de este año, se ha encontrado en el centro de la polémica en multitud de ocasiones debido a sus graves fallos de seguridad y a unas políticas de privacidad cuestionables. Incluso el CEO de la compañía tuvo que salir al paso, avisando sobre la intención de la compañía de actuar más rápido a la hora de descubrir y subsanar este tipo de problemas.

“La vulnerabilidad ya ha quedado subsanada a través de la implementación de una capa extra de seguridad.”

Sea como fuere, parece estar bastante claro que a Zoom le ha venido grande el éxito, y que sus avances en términos de seguridad y privacidad no parecen llegar lo suficientemente rápido a pesar del esfuerzo de la compañía. No es de extrañar, por tanto, que en estas últimas semanas alternativas como Google Meet estén ganando adeptos a pasos agigantados.

Zoom

Trucos Zoom
Cambiar el fondo en Zoom
Fondos gratis para Zoom

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada ¡Cuidado! Un fallo de Zoom permite que cualquiera entre en las videollamadas privadas se publicó primero en Andro4all.

from Andro4all https://ift.tt/2D3uO0e
via IFTTT

Zuckerberg admite que compró Instagram para neutralizarlo: “Nos puede dañar”

Posted on by

El sitio The Verge dio con una serie de correspondencia entre Zuckerberg y su director financiero

The post Zuckerberg admite que compró Instagram para neutralizarlo: “Nos puede dañar” appeared first on Digital Trends Español.

from Redes sociales | Digital Trends Español https://ift.tt/39CYLAh
via IFTTT

Here’s Why Credit Card Fraud is Still a Thing

Posted on by

Most of the civilized world years ago shifted to requiring computer chips in payment cards that make it far more expensive and difficult for thieves to clone and use them for fraud. One notable exception is the United States, which is still lurching toward this goal. Here’s a look at the havoc that lag has wrought, as seen through the purchasing patterns at one of the underground’s biggest stolen card shops that was hacked last year.

In October 2019, someone hacked BriansClub, a popular stolen card bazaar that uses this author’s likeness and name in its marketing. Whoever compromised the shop siphoned data on millions of card accounts that were acquired over four years through various illicit means from legitimate, hacked businesses around the globe — but mostly from U.S. merchants. That database was leaked to KrebsOnSecurity, which in turn shared it with multiple sources that help fight payment card fraud.

An ad for BriansClub has been using my name and likeness for years to peddle millions of stolen credit cards.

Among the recipients was Damon McCoy, an associate professor at New York University’s Tandon School of Engineering [full disclosure: NYU has been a longtime advertiser on this blog]. McCoy’s work in probing the credit card systems used by some of the world’s biggest purveyors of junk email greatly enriched the data that informed my 2014 book Spam Nation, and I wanted to make sure he and his colleagues had a crack at the BriansClub data as well.

McCoy and fellow NYU researchers found BriansClub earned close to $104 million in gross revenue from 2015 to early 2019, and listed over 19 million unique card numbers for sale. Around 97% of the inventory was stolen magnetic stripe data, commonly used to produce counterfeit cards for in-person payments.

“What surprised me most was there are still a lot of people swiping their cards for transactions here,” McCoy said.

In 2015, the major credit card associations instituted new rules that made it riskier and potentially more expensive for U.S. merchants to continue allowing customers to swipe the stripe instead of dip the chip. Complicating this transition was the fact that many card-issuing U.S. banks took years to replace their customer card stocks with chip-enabled cards, and countless retailers dragged their feet in updating their payment terminals to accept chip-based cards.

Indeed, three years later the U.S. Federal Reserve estimated (PDF) that 43.3 percent of in-person card payments were still being processed by reading the magnetic stripe instead of the chip. This might not have been such a big deal if payment terminals at many of those merchants weren’t also compromised with malicious software that copied the data when customers swiped their cards.

Following the 2015 liability shift, more than 84 percent of the non-chip cards advertised by BriansClub were sold, versus just 35 percent of chip-based cards during the same time period.

“All cards without a chip were in much higher demand,” McCoy said.

Perhaps surprisingly, McCoy and his fellow NYU researchers found BriansClub customers purchased only 40% of its overall inventory. But what they did buy supports the notion that crooks generally gravitate toward cards issued by financial institutions that are perceived as having fewer or more lax protections against fraud.

Source: NYU.

While the top 10 largest card issuers in the United States accounted for nearly half of the accounts put up for sale at BriansClub, only 32 percent of those accounts were sold — and at a roughly half the median price of those issued by small- and medium-sized institutions.

In contrast, more than half of the stolen cards issued by small and medium-sized institutions were purchased from the fraud shop. This was true even though by the end of 2018, 91 percent of cards for sale from medium-sized institutions were chip-based, and 89 percent from smaller banks and credit unions. Nearly all cards issued by the top ten largest U.S. card issuers (98 percent) were chip-enabled by that time.

REGION LOCK

The researchers found BriansClub customers strongly preferred cards issued by financial institutions in specific regions of the United States, specifically Colorado, Nevada, and South Carolina.

“For whatever reason, those regions were perceived as having lower anti-fraud systems or those that were not as effective,” McCoy said.

Cards compromised from merchants in South Carolina were in especially high demand, with fraudsters willing to spend twice as much on those cards per capita than any other state — roughly $1 per resident.

That sales trend also was reflected in the support tickets filed by BriansClub customers, who frequently were informed that cards tied to the southeastern United States were less likely to be restricted for use outside of the region.

Image: NYU.

McCoy said the lack of region locking also made stolen cards issued by banks in China something of a hot commodity, even though these cards demanded much higher prices (often more than $100 per account): The NYU researchers found virtually all available Chinese cards were sold soon after they were put up for sale. Ditto for the relatively few corporate and business cards for sale.

A lack of region locks may also have caused card thieves to gravitate toward buying up as many cards as they could from USAA, a savings bank that caters to active and former military service members and their immediate families. More than 83 percent of the available 3 million USAA cards were sold between 2015 and 2019, the researchers found.

Although Visa cards made up more than half of accounts put up for sale (12.1 million), just 36 percent were sold. MasterCards were the second most-plentiful (3.72 million), and yet more than 54 percent of them sold.

American Express and Discover, which unlike Visa and MasterCard are so-called “closed loop” networks that do not rely on third-party financial institutions to issue cards and manage fraud on them, saw 28.8 percent and 33 percent of their stolen cards purchased, respectively.

PREPAIDS

Some people concerned about the scourge of debit and credit card fraud opt to purchase prepaid cards, which generally enjoy the same cardholder protections against fraudulent transactions. But the NYU team found compromised prepaid accounts were purchased at a far higher rate than regular debit and credit cards.

Several factors may be at play here. For starters, relatively few prepaid cards for sale were chip-based. McCoy said there was some data to suggest many of these prepaids were issued to people collecting government benefits such as unemployment and food assistance. Specifically, the “service code” information associated with these prepaid cards indicated that many were restricted for use at places like liquor stores and casinos.

“This was a pretty sad finding, because if you don’t have a bank this is probably how you get your wages,” McCoy said. “These cards were disproportionately targeted. The unfortunate and striking thing was the sheer demand and lack of [chip] support for prepaid cards. Also, these cards were likely more attractive to fraudsters because [the issuer’s] anti-fraud countermeasures weren’t up to par, possibly because they know less about their customers and their typical purchase history.”

PROFITS

The NYU researchers estimate BriansClub pulled in approximately $24 million in profit over four years. They calculated this number by taking the more than $100 million in total sales and subtracting commissions paid to card thieves who supplied the shop with fresh goods, as well as the price of cards that were refunded to buyers. BriansClub, like many other stolen card shops, offers refunds on certain purchases if the buyer can demonstrate the cards were no longer active at the time of purchase.

On average, BriansClub paid suppliers commissions ranging from 50-60 percent of the total value of the cards sold. Card-not-present (CNP) accounts — or those stolen from online retailers and purchased by fraudsters principally for use in defrauding other online merchants — fetched a much steeper supplier commission of 80 percent, but mainly because these cards were in such high demand and low supply.

The NYU team found card-not-present sales accounted for just 7 percent of all revenue, even though card thieves clearly now have much higher incentives to target online merchants.

A story here last year observed that this exact supply and demand tug-of-war had helped to significantly increase prices for card-not-present accounts across multiple stolen credit card shops in the underground. Not long ago, the price of CNP accounts was less than half that of card-present accounts. These days, those prices are roughly equivalent.

One likely reason for that shift is the United States is the last of the G20 nations to fully transition to more secure chip-based payment cards. In every other country that long ago made the chip card transition, they saw the same dynamic: As they made it harder for thieves to counterfeit physical cards, the fraud didn’t go away but instead shifted to online merchants.

The same progression is happening now in the United States, only the demand for stolen CNP data still far outstrips supply. Which might explain why we’ve seen such a huge uptick over the past few years in e-commerce sites getting hacked.

“Everyone points to this displacement effect from card-present to card-not-present fraud,” McCoy said. “But if the supply isn’t there, there’s only so much room for that displacement to occur.”

No doubt the epidemic of card fraud has benefited mightily from hacked retail chains — particularly restaurants — that still allow customers to swipe chip-based cards. But as we’ll see in a post to be published tomorrow, new research suggests thieves are starting to deploy ingenious methods for converting card data from certain compromised chip-based transactions into physical counterfeit cards.

A copy of the NYU research paper is available here (PDF).

from Krebs on Security https://ift.tt/3hOZq4E
via IFTTT

CAT S62 Pro, el móvil con cámara térmica para profesionales se actualiza al 2020

Posted on by

Para los que todavía no conozcan a Bullitt Group o a sus smartphones bajo la marca de CAT, debéis saber que la compañía con base en Reading, Reino Unido, construye los que probablemente son los smartphones más resistentes del mercado, orientados a profesionales de riesgo y a actividades deportivas al aire libre.

No en vano, hace unas semanas que Bullitt nos presentaba al CAT S42 como el smartphone que podía desinfectarse con agua caliente y jabón siendo el único smartphone del mercado certificado ante abrasivos, y hoy nos presentan la reedición de su smartphone con cámara térmica FLIR actualizando su hardware por uno más prestacional.

CAT S62 PRO, presentacion

El mejor móvil para profesionales, con cámara FLIR y ahora hardware actualizado

Hablamos cómo no del recién llegado CAT S62 Pro que acaba de hacerse oficial, y que nos anticipa la más avanzada tecnología del mercado en cuanto a resistencia y durabilidad. No sólo eso, y es que además se presenta como la mejor alternativa del mercado si hablamos de móviles profesionales, y también para todos aquéllos que necesiten un dispositivo que pueda utilizarse en las condiciones más desfavorables.

Bullit Group avanza con su apuesta todoterreno más prestacional, actualizando su hardware y manteniendo resistencia de grado militar, así como una funcionalidad completa en temperaturas extremas y una cámara térmica FLIR útil para muchos profesionales

Te recomendamos | El móvil perfecto según el fundador de Xiaomi

CAT S62, ficha técnica

Como ya es costumbre, comenzamos por anticiparos todas las posibilidades de hardware de un dispositivo bien capacitado, que dispone de todo lo que pediríamos en 2020 a un smartphone siempre dentro del corte medio en prestaciones, aunque avanzando en la dotación más profesional:

CAT S62
Características técnicas y especificaciones
Dimensiones y peso 158,5 x 76,7 x 11,9 (mm), 248 (g)
Pantalla 5,7 pulgadas IPS FHD+, formato 18:9, uso optimizado en exteriores, digitalizador táctil funcional en mojado o con guantes
Procesador Qualcomm Snapdragon 660, octa-core @ 2,0 GHz
RAM 6 GB
Almacenamiento 128 GB, ampliables con microSD
Sistema operativo Android 10
Conectividad LTE Cat.13 doble SIM, WiFi 802.11 a/b/g/n/ac de doble banda, Bluetooth 5.0 LE, NFC, radio FM, audio-jack 3,5 mm, USB Tipo-C OTG
Cámaras Trasera de 12 MP (f/1.8) Sony Exmor RS, frontal de 8 MP
Cámara térmica FLIR con Sensor Lepton 3.5, captura HD 1.440 x 1.080 con VividIR y rango -20ºC hasta 400ºC
Batería 4.000 mAh (no extraíble) con carga rápida Quick Charge 4
Otros Diseño texturizado antideslizante, vidrio Corning Gorilla Glass 6, certificación IP68, certificación MIL-SPEC-810H, botón físico personalizable

Mira la galería en Andro4all

Como habréis visto, se trata de un móvil destinado a aguantar todo tipo de condiciones y situaciones, incluso las más extremas, convirtiéndose en el smartphone perfecto para equipos de emergencia y/o rescate, trabajadores en industrias peligrosas o aventureros que quieran un móvil por encima de la media en resistencia.

En este caso hablamos de un smartphone con un diseño mucho más comedido que los anteriores, aunque igualmente de líneas muy marcadas y aspecto industrial que remarcan sus capacidades para resistir en los entornos más hostiles. Aguanta de hecho temperaturas extremas y soporta unas duras pruebas para certificar su resistencia, en este caso de grado militar MIL-SPEC-810H con IP68 y vidrio Gorilla Glass 6.

Con toda probabilidad, no hay en el mercado unas pruebas más duras que las realizadas a los móviles CAT para certificar su resistencia y durabilidad, incluso en condiciones de niebla salina, choques térmicos o vibración y caídas

A saber, entre las duras pruebas y test de funcionamiento realizadas por Bullitt Group, se encuentran exámenes de vibración y caídas, condiciones de niebla salina, temperaturas extremas y choques térmicos, demostrando su capacidad para seguir vivo en los trabajos más duros y en las actividades de ocio más extremas.

Por si esto fuera poco, ha sido además testado en caídas desde 1,8 metros sobre acero y hormigón a temperaturas extremas, resiste agua, polvo, arena y también agentes abrasivos para su lavado y desinfección completa.

CAT S62 PRO, presentacion

El acabado del CAT S62 Pro es más agradable a la vista, pero igual de industrial y musculoso

En cuanto a su acabado, esta vez es también texturizado en goma para favorecer el agarre, y el dispositivo cuenta además con un digitalizador capaz de responder con guantes o con las manos mojadas para que siempre puedas utilizar tu CAT. No falta el clásico botón personalizable físico para acceder a linterna, a la función push-to-talk de llamada directa o a cualquier app que necesitemos.

Y para mimetizarse en entornos business, dispone de soporte para utilizar Android Enterprise sobre su firmware con la base de Android 10 que promete actualizarse el año próximo a Android 11 cuando Google lo libere.

CAT S62 PRO, presentacion

La cámara térmica FLIR, un apartado diferencial para un móvil profesional

La mejor cámara térmica del mercado, ahora en un smartphone

Sea como fuere, y aunque el datasheet completo del CAT S62 Pro está muy bien compensado, lo cierto es que su especificación estrella y lo que le diferencia de otros móviles rugerizados de origen chino es que monta una cámara térmica FLIR al nivel de las mejores del mercado, como veréis ahora mismo.

Esta cámara utiliza un Sensor Lepton 3.5 de grado profesional con 12 micrones y una capa linear visible MSX, que es capaz de trabajar en un rango de temperaturas entre los -20ºC y los 400ºC y captura imágenes en HD (1.440 x 1.080 píxeles) con VividIR.

Según Bullitt Group es la primera vez que los usuarios podrán acceder al procesamiento de imágenes VividIR de FLIR, así como al MSX y a las tecnologías de mezcla ‘Visible-to-Thermal’ que nos permite combinar la imagen visible para superponer los detalles lineales de la escena en la imagen térmica, ayudando a comprender mejor las imágenes térmicas.

Mira la galería en Andro4all

CAT S62 Pro, lanzamiento y precios

El nuevo smartphone profesional de CAT estará en las tiendas de forma inminente, ya el próximo mes de septiembre en un único acabado y con una única configuración de memoria de 6 GB de RAM y 128 GB de almacenamiento.

Su precio recomendado de lanzamiento será de 649 euros, y mantendrá un soporte con parches de seguridad cada 90 días durante 2 años, al menos una actualización mayor a Android 11 y un año de cobertura ESMR.

En Andro4all | CAT S42, este es el móvil todoterreno que podrás desinfectar incluso con agua caliente y jabón

Más información | CAT Phones

Móviles

Mejores móviles 2020
Mejores móviles baratos 2020
Mejores móviles gama media
Móviles Samsung
Móviles Xiaomi

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada CAT S62 Pro, el móvil con cámara térmica para profesionales se actualiza al 2020 se publicó primero en Andro4all.

from Andro4all https://ift.tt/33dz33Y
via IFTTT