Una falla hallada en la mayoría de los navegadores podría facilitar a los criminales el robo de credenciales de banca online usando un nuevo tipo de ataque denominado “phishing in-session,” según investigadores del proveedor de seguridad Trusteer.
El “phishing in-session” le da a los chicos malos una solución al problema más grande que enfrentan los phishers por estos días: como llegar a víctimas nuevas. En un ataque de phishing tradicional, los estafadores envían millones de correos electrónicos falsos simulando como si vinieran de empresas legítimas, tales como bancos o compañías de pagos en línea.
Esos mensaje usualmente son bloqueados por el software de filtrado de spam, pero con el phishing in-session, el mensaje se saca de la ecuación, reemplazado por una ventana emergente del navegador.
Así es como podría funcionar un ataque: Los chicos malos comprometen un sitio Web legítimo y plantan un código HTML que parece como una ventana pop-up de seguridad de Windows. El pop-up entonces le pide a la víctima que ingrese nuevamente su contraseña y datos de ingreso, y posiblemente responda con algunas preguntas de seguridad que usualmente los bancos realizan para verificar la identidad de sus clientes.
Para los atacantes, la parte difícil sería convencer a las víctimas que esa ventana de pop-up es legítima. Pero gracias a una falla encontrada en los motores de JavaScript de todos los navegadores mas usados, hay una forma de hacer que este tipo de ataque parezca más creíble, dijo Amit Klein, jefe de tecnología de Trusteer.
Estudiando la forma en que los navegadores usan JavaScript, Klein dice que ha encontrado la forma de identificar cuando alguien está en una sesión o no en un sitio Web determinado, siempre que se use cierta función JavaScript. Klein no dará el nombre de la función porque eso le daría a los criminales el media con el cual lanzar el ataque, pero ha notificado a los fabricantes de navegadores y espera que la falla eventualmente sea emparchada.
Hasta ese momento, los criminales que descubran la falla pueden escribir código que verifique si el navegante tiene una sesión con, por ejemplo, una lista predeterminada de 100 sitios bancarios. “En lugar de lanzar este pop-up aleatoriamente con el mensaje de phishing, un atacante se puede hacer más sofisticado comprobando y hallando su el usuario esta efectivamente conectado con uno de los sitios Web de esas 100 instituciones financieras,” dijo.
“El hecho que uno esté efectivamente en sesión le da mucha credibilidad al mensaje de phishing,” Agregó.
Los investigadores de seguridad han desarrollado otras formas de determinar si una persona ha ingresado acierto sitio, pero no es algo siempre confiable. Klein dijo que su técnica no funciona siempre pero podría usarse en muchos sitios incluyendo bancos, negocios en línea, sitos de juegos y de redes sociales.
Traducido para blog de Segu-info por Raúl Batista
Autor: Robert McMillan
Fuente: www.networkworld.com
Más:
http://www.trusteer.com/files/In-session-phishing-advisory-2.pdf
http://www.idg.es/pcworld/Un-fallo-en-los-navegadores-puede-permitir-el-phis/doc75609-Software.htm
http://www.vnunet.es/es/vnunet/news/2009/01/14/un_fallo_en_navegadores_permitiria_ejecutar_phishing_sin_necesidad_de_email
http://www.ebanking.cl/seguridad/nuevo-tipo-de-ataque-de-phishing-001408
