Categories: SeguridadVirus

Nueva técnica de “phishing”

El ataque puede ser reproducido en la mayoría de navegadores, como Internet Explorer, Mozilla/Firebird y Opera, entre otros.

Este nuevo método requiere que el usuario mantenga simultáneamente abiertos dos sitios webs en su sistema, el real y el del atacante. De forma que al pinchar el usuario sobre un enlace en la web real se visualice una ventana abierta desde el sitio web del atacante.

Un escenario probable es que el atacante envíe un e-mail falso a los usuarios con un enlace que abra ambos sitios web, la página real de una entidad bancaria y, en segundo plano, la página del atacante. El usuario visualizaría la página auténtica de la entidad bancaria y, al pinchar en un enlace de dicha web real, se mostraría una ventana pop-up, con el logotipo de la entidad e imagen corporativa, solicitando el usuario y la clave de acceso.

Sin saberlo, el usuario estaría entregando sus datos de acceso al atacante, ya que la nueva ventana, aunque ha aparecido tras pinchar un enlace en la web de su banco, ha sido abierta en realidad por el sitio web del atacante que se encontraba en segundo plano.

La técnica empleada puede necesitar algunas modificaciones dependiendo de si el navegador del usuario mantiene algún tipo de sistema para bloquear las ventanas pop-up y evitar publicidad no deseada.

Como prueba de concepto, y con el ánimo de que los usuarios puedan reconocer y prevenir estafas basadas en esta técnica, facilitamos un ejemplo.

En este caso encontraremos dos enlaces a la web de Banesto, deberemos elegir uno u otro en función de si nuestro navegador utiliza algún sistema para bloquear pop-up. Al pinchar en el enlace, se abrirá en una nueva ventana la web auténtica de Banesto. En el menú de la izquierda debemos seleccionar la opción “Banesnet empresas” y pulsar el botón Aceptar. Si aparece una nueva ventana de Hispasec, nuestro navegador se encuentra afectado por esta nueva modalidad de “phishing”.

Prueba de concepto disponible en:

http://www.hispasec.com/directorio/laboratorio/Software/tests/inyeccion_ventana.html

En estos momentos no existe actualización para los navegadores que ayude a prevenir esta técnica “phishing”, sin embargo los usuarios pueden protegerse mediante una serie de sencillas reglas de este tipo de estafas.

1) No utilizar enlaces para acceder a sitios web sensibles, como la banca electrónica. Ignorar especialmente los mensajes de correo electrónico que nos soliciten, con cualquier excusa, acceder a estos sitios webs.

2) Antes de entrar en el sitio web de nuestro banco, cerrar todas las ventanas del navegador, abrir una nueva y teclear directamente la URL en el campo de dirección.

3) Antes de introducir nuestras claves de acceso, asegurarse que en la ventana aparece la dirección de nuestra entidad y que la URL comienza por “https://”. En la parte inferior del navegador, en la barra de estado, deberá estar visible un candado cerrado o una llave completa, que nos indica que estamos conectados con un servidor seguro y los datos se están transmitiendo de forma cifrada.

4) Comprobar el certificado de seguridad, para ello debemos hacer doble click en el candado cerrado o la llave (según el navegador), y verificar que los datos corresponden a nuestra entidad. Aunque sabemos que esta medida en la práctica no suele llevarse a cabo, no es por ello menos recomendable.

Información adicional sobre la nueva técnica de “phishing” y los navegadores afectados puede consultarse en el aviso original de Secunia.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Nutanix Enterprise AI permitirá ejecutar aplicaciones de inteligencia artificial on-premise y en la nube pública

Se puede implementar en plataformas de Kubernetes, el edge, centros de datos y servicios como…

16 horas ago

Red Hat comprará Neural Magic

La empresa adquirida está especializada en software para impulsar las cargas de trabajo de inferencia…

16 horas ago

Las serias implicaciones de la inteligencia artificial en la disponibilidad energética

Gartner cree que 4 de cada 10 centros de datos de IA se enfrentarán a…

17 horas ago

Datadog lanza Kubernetes Active Remediation

Esta herramienta ayuda a automatizar la detección de problemas y a reparar entornos de Kubernetes.

18 horas ago

Así es TOUGHBOOK 33mk4, la nueva tableta desmontable de Panasonic Connect

Entre sus características se encuentran una pantalla de 12 pulgadas en formato 3:2 y un…

18 horas ago

NetApp introduce nuevos sistemas AFF A-Series y AFF C-Series

La compañía lanza, por un lado, los modelos AFF A20, A30 y A50 y, por…

19 horas ago