Un fallo en navegadores permitiría ejecutar phishing sin necesidad de email

Aparece un nuevo ataque de phishing en el que los malos hackean un site legítimo y plantan un código HTML que simula ser una ventana de alerta de seguridad.

Encontrado en la mayoría de los ordenadores, un error permitiría a los cibercriminales robar las credenciales de gestión bancaria utilizando un nuevo tipo de ataque denominado ‘phishing in-session’. Al menos eso es lo que afirma la empresa de seguridad Trusteer.

El nuevo tipo de ataque ofrece a los hacker una solución al mayor problema al que se enfrentan los phishers actualmente: cómo conseguir víctimas. Un ataque de phishing tradicional se basas en el envío de millones de correos electrónicos que simulan proceder de compañías legítimas como bancos. Muchas veces estos mensajes son bloqueados por programas de filtrado de spam, pero en un ataque phishing in-session, el mensaje de correo electrónico desaparece para ser sustituido por una ventana emergente en el navegador.

Para su funcionamiento los malos hackean un site legítimo y plantan un código HTML que simula ser una ventana de alerta de seguridad. La ventana emergente, o pop-up, pediría a la víctima que introdujera la información de usuario y contraseña, y posiblemente otro tipo de información utilizado por los bancos para identificar a sus clientes.

Para los atacantes la parte dura sería convencer a sus víctimas de que esa ventana emergente es legítima, pero gracias a un fallo en los motores JavaScript de la mayoría de los navegadores más utilizados, hay una manera de hacer que este tipo de ataque parece más verosímil.

Amit Klein, director de tecnología de Trusteer, afirma haber encontrado una manera de identificar si alguien ha accedido a un site a través de una función de JavaScript. Klein no ha querido nombrar la función porque, según él, daría a los criminales una manera de lanzar un ataque, pero lo ha notificado a los fabricantes de navegadores y espera que el fallo se solucione en breve.