Phishing a Banesto optimizado para Internet Explorer

Los atacantes intentan por todos los medios hacer que el usuario no pueda detectar a simple vista que está siendo víctima de un fraude. En ocasiones el phishing es muy burdo y salta a la vista, en otras los atacantes se esmeran un poco más e intentan ofuscar a la víctima los elementos más comunes que podrían ayudar a identificar la estafa.

Cuando la ofuscación se realiza desde un phishing tradicional (una página web a la que el usuario llega tras pinchar en un enlace que le ha llegado por e-mail), la estafa suele estar optimizada para el navegador Internet Explorer.

De manera independiente a si Internet Explorer tiene más o menos vulnerabilidades que otros navegadores, la realidad es que los atacantes diseñan sus estafas para las plataformas más extendidas. Es una simple cuestión de rendimiento, el beneficio será mayor si logran afectar a más usuarios. Hoy por hoy, Internet Explorer sigue siendo el navegador más utilizado con diferencia.

De manera similar ocurre a nivel de sistema operativo. En el caso de los troyanos bancarios el 99,99% está diseñado para plataformas Windows.

En este sentido, los ataques más sofisticados son perpetrados por los troyanos especializados en banca, que pueden pasar totalmente inadvertidos a los usuarios, burlando las recomendaciones típicas. En estos casos de poco o nada sirve comprobar si tecleamos directamente la URL en el navegador, comprobamos el https, el dominio, el certificado SSL, la resolución DNS, o metemos la clave en un teclado virtual.

Volviendo al caso específico del phishing a Banesto, realizado de forma tradicional (mensaje de correo electrónico que simula provenir de la entidad y solicita al usuario que acceda a través de un enlace para introducir sus credenciales), el atacante incluye en la página web unos scripts para esconder la URL real en Internet Explorer. En su lugar, a través de una ventana superpuesta, intenta hacer creer al usuario que se encuentra en la dirección legítima de Banesto.

El efecto de la ofuscación, las diferencias entre visualizar la página web de phishing con Internet Explorer o Firefox, o el área de oportunidad que hay entre los antivirus para detectar este tipo de scripts fraudulentos, puede ser visto de forma más gráfica en el siguiente vídeo-flash:

http://www.hispasec.com/directorio/laboratorio/phishing/demo2/banesto_phishing.htm

La recomendación básica para evitar el phishing tradicional es no acceder a la banca por Internet pinchando en enlaces que vengan en correos electrónicos, es más seguro teclear la URL directamente en el navegador. Esta recomendación no sería útil en el caso de ataques de pharming, donde sería necesario comprobar la resolución o el certificado SSL de la entidad. El problema se agrava en el caso de ataques por troyanos bancarios, ya que el usuario común no tiene forma de comprobar que está realmente en un entorno seguro.