Categories: SeguridadVirus

Nueva técnica de “phishing”

El ataque puede ser reproducido en la mayoría de navegadores, como Internet Explorer, Mozilla/Firebird y Opera, entre otros.

Este nuevo método requiere que el usuario mantenga simultáneamente abiertos dos sitios webs en su sistema, el real y el del atacante. De forma que al pinchar el usuario sobre un enlace en la web real se visualice una ventana abierta desde el sitio web del atacante.

Un escenario probable es que el atacante envíe un e-mail falso a los usuarios con un enlace que abra ambos sitios web, la página real de una entidad bancaria y, en segundo plano, la página del atacante. El usuario visualizaría la página auténtica de la entidad bancaria y, al pinchar en un enlace de dicha web real, se mostraría una ventana pop-up, con el logotipo de la entidad e imagen corporativa, solicitando el usuario y la clave de acceso.

Sin saberlo, el usuario estaría entregando sus datos de acceso al atacante, ya que la nueva ventana, aunque ha aparecido tras pinchar un enlace en la web de su banco, ha sido abierta en realidad por el sitio web del atacante que se encontraba en segundo plano.

La técnica empleada puede necesitar algunas modificaciones dependiendo de si el navegador del usuario mantiene algún tipo de sistema para bloquear las ventanas pop-up y evitar publicidad no deseada.

Como prueba de concepto, y con el ánimo de que los usuarios puedan reconocer y prevenir estafas basadas en esta técnica, facilitamos un ejemplo.

En este caso encontraremos dos enlaces a la web de Banesto, deberemos elegir uno u otro en función de si nuestro navegador utiliza algún sistema para bloquear pop-up. Al pinchar en el enlace, se abrirá en una nueva ventana la web auténtica de Banesto. En el menú de la izquierda debemos seleccionar la opción “Banesnet empresas” y pulsar el botón Aceptar. Si aparece una nueva ventana de Hispasec, nuestro navegador se encuentra afectado por esta nueva modalidad de “phishing”.

Prueba de concepto disponible en:

http://www.hispasec.com/directorio/laboratorio/Software/tests/inyeccion_ventana.html

En estos momentos no existe actualización para los navegadores que ayude a prevenir esta técnica “phishing”, sin embargo los usuarios pueden protegerse mediante una serie de sencillas reglas de este tipo de estafas.

1) No utilizar enlaces para acceder a sitios web sensibles, como la banca electrónica. Ignorar especialmente los mensajes de correo electrónico que nos soliciten, con cualquier excusa, acceder a estos sitios webs.

2) Antes de entrar en el sitio web de nuestro banco, cerrar todas las ventanas del navegador, abrir una nueva y teclear directamente la URL en el campo de dirección.

3) Antes de introducir nuestras claves de acceso, asegurarse que en la ventana aparece la dirección de nuestra entidad y que la URL comienza por “https://”. En la parte inferior del navegador, en la barra de estado, deberá estar visible un candado cerrado o una llave completa, que nos indica que estamos conectados con un servidor seguro y los datos se están transmitiendo de forma cifrada.

4) Comprobar el certificado de seguridad, para ello debemos hacer doble click en el candado cerrado o la llave (según el navegador), y verificar que los datos corresponden a nuestra entidad. Aunque sabemos que esta medida en la práctica no suele llevarse a cabo, no es por ello menos recomendable.

Información adicional sobre la nueva técnica de “phishing” y los navegadores afectados puede consultarse en el aviso original de Secunia.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago