Técnicas phishing afectan a Internet Explorer

Detectadas dos técnicas que están siendo utilizadas en ataques phishing para falsear la URL en la barra de direcciones y en la barra de estado aprovechando vulnerabilidades y/o “funcionalidades” de Internet Explorer.

Falsear URL en la barra de direcciones

En Hispasec hemos podido comprobar en las últimas horas como esta técnica está siendo utilizada en un nuevo ataque phishing destinado a usuarios de la entidad Citibank.

Consiste en crear una ventana emergente justo en la posición donde aparece la URL en la barra de dirección de Internet Explorer, de forma que se superpone y oculta la dirección real del servidor web del atacante donde realmente se encuentra el usuario, mostrando en su lugar la URL de la entidad bancaria.

A nivel de código, se trata de una sencilla función JavaScript que en primer lugar calcula dinámicamente la posición donde se encuentra la URL en la barra de direcciones. Una vez obtiene la posición, crea ahí una ventana emergente con el método windows.createPopup(), que visualiza la dirección falsa mediante HTML y con el mismo tipo y tamaño de letra que utiliza Internet Explorer por defecto.

A efectos prácticos, el usuario recibe un mensaje, aparentemente de la entidad bancaria, donde le invita a visitar el sitio de la entidad con alguna excusa, normalmente relacionada con la seguridad. El mensaje incluye un enlace que supuestamente le dirige a la web de la entidad. Si el usuario pincha en el enlace, puede observar como aparece la web de la entidad y que en la barra de direcciones de Internet Explorer aparece la URL correcta, incluyendo el prefijo https:// como si estuviera en una conexión segura.

En realidad el usuario está navegando en el servidor web del atacante, que ha copiado los contenidos de la web de la entidad, y ha aprovechado la vulnerabilidad de Internet Explorer para falsear la dirección en el navegador y que el usuario no sospeche. Si el usuario introduce las claves para acceder a su cuenta, éstas son enviadas directamente al atacante, que podrá utilizarlas para suplantar la identidad del usuario legítimo y entrar en su cuenta.

En el momento de escribir estas líneas, el servidor y las páginas utilizadas para el ataque phishing de Citibank sigue activo, de forma que se puede observar exactamente como funciona en la siguiente dirección (recordar que es una web falsa, y no debemos introducir datos reales):

http://200.189.70.90/citi/

El diseño del ataque tiene algunos fallos o problemas que se pueden evidenciar, dependiendo de la configuración de Internet Explorer, con la visualización de la URL falsa en un lugar incorrecto. Esto puede ocurrir, por ejemplo, si la barra de dirección no se encuentra en su lugar por defecto, o si poseemos otras barras debajo de la barra de direcciones.

Si se observa el código JavaScript del atacante, puede observarse como el cálculo dinámico de la posición mantiene unas constantes fijas:

vuln_x= window./* */screenLeft+68;

vuln_y= window.screenTop-21;

La posición X la calcula sumando 68 desde el lateral izquierdo y la posición Y restando 21 desde el tope superior de la pantalla web. Sin embargo la posición donde se encuentra la barra de dirección puede variar, por ejemplo, si tenemos las barras de herramienta bloqueadas o no. Podemos probar a modificar la opción desde el menú Ver -> Barra de herramientas, y observar la diferencia. Una vez desbloqueada, si movemos la barra de direcciones cambiando su posición Y, por ejemplo situándola más arriba junto a los botones estándar, la ventana falsa quedará totalmente descolocada.

Adicionalmente observaremos como la ventana emergente con la dirección falsa sigue visualizándose cuando minimizados el Internet Explorer o cambiamos de tarea y nos situamos en otra aplicación.

Falsear URL en la barra de estado

La barra de estado se encuentra en la parte inferior del navegador, y también puede ayudar a prevenir ataques phishing basados en enlaces HTML falsos. Al situar el cursor encima de un enlace HTML, en la barra de estado aparece la dirección real a la que apunta, independientemente del texto o imagen que aparece en el HTML.

Existe una vulnerabilidad en Internet Explorer que permite crear un enlace HTML que apunte a una dirección y que, al situar el cursor encima del enlace, visualice en la barra de estado otra dirección.

Si visualizamos una página web con dicho código, podemos observar un enlace con el texto “Pincha aquí”. Si situamos el cursor encima de dicho enlace, en la barra de estado de Internet Explorer (parte inferior), aparecerá http://www.microsoft.com. Sin embargo, si pinchamos en el enlace, nos llevará a http://www.hispasec.com

Es previsible la aparición de nuevos ataques phishing que aprovechen una o ambas de estás técnicas, por lo que recordamos a los usuarios que no deben utilizar los enlaces a entidades bancarias y servicios similares que puedan llegarle a través de mensajes de correo electrónico, y en su lugar deberán escribir la URL directamente en su navegador.

Dado el auge del phishing, las entidades también deberían plantearse el implantar nuevos sistemas para mitigar este tipo de fraudes. Los ataques phishing no deben contemplarse únicamente como una responsabilidad del cliente, ya que existen numerosas estrategias y tecnologías que pueden desplegarse desde la entidad para asegurar las conexiones de sus usuarios.