Nuevas posibilidades en ataques de phishing

Aza Raskin, investigador y empleado de Mozilla Firefox ha publicado en su blog lo que podríamos definir como una evolución en los ataques de phishing. Este investigador ha demostrado como se puede preparar código en Javascript que, añadido a cualquier web, hace que se pueda modificar el contenido y apariencia de la misma. Tal y como este investigador explica en su blog el funcionamiento es bastante simple:

  1. Un usuario navega hasta una web aparentemente normal.
  2. Se detecta cuando esa página ha perdido el foco y el usuario no ha estado navegando por la misma durante un tiempo.
  3. El favicon original (icono que aparece en la pestaña del navegador mostrando el logotipo de la web a la que accedemos) puede ser reemplazado, por ejemplo, por el de Google, el título de la web por “Gmail: Email from Google” y la   web por una similar a la original de Gmail. Todo esto se puede conseguir con un poco de Javascript y se ejecuta al instante.
  4. Mientras el usuario revisa las múltiples pestañas que tiene abiertas en su navegador, el favicon y el título actúan como una potente señal visual. Pensemos que la memoria del usuario es moldeable y este puede pensar que, simplemente, se dejó una pestaña de Gmail abierta. Cuando pulse sobre la falsa pestaña de Gmail, encontrará la página de registro de Gmail estándar, asumiendo que ha cerrado su sesión y proporcionando sus datos para acceder a su cuenta. El ataque se aprovecha de la percepción de los usuarios de que las pestañas del navegador son algo inmutable.
  5. Una vez que el usuario ha introducido su información de registro y está ha sido reenviada a nuestro servidor, se le redirige a Gmail. Debido a que el usuario nunca se registró, aparecerá como que el registro fue satisfactorio.

El propio Aza Raskin ha creado un vídeo demostrativo donde puede verse un ejemplo práctico

Puesto que esta técnica es adaptable a cualquier tipo de página que requiera un registro, no es de extrañar que se empiece a usar para casos de phishing a entidades bancarias, cuentas de redes sociales o cualquier otra que pueda resultar de interés a los creadores de malware. El propio investigador apunta a la posibilidad real de personalizar los ataques a un usuario específico, analizando el historial de navegación y preparando ataques a las páginas frecuentadas por el mismo. Incluso se puede preparar una web que muestre un error de tiempo de sesiónexpirado para engañar más fácilmente al usuario.

Como se observa, las posibilidades son muy amplias y, aunque esta noticia hable de una prueba de concepto, es muy probable que veamos casos aplicados dentro de poco por lo que debemos asegurarnos de introducir datos sensibles únicamente en aquellas webs a las que hayamos accedido nosotros de forma directa.

Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..