Llegamos a ustedes gracias a:



Alertas de Seguridad

Phishing durante sesión

Una falla de navegador permite el phishing sin e-mail

[16/01/2009] Una falla detectada en todos los principales navegadores del mercado podría permitir a los delincuentes robar credenciales de banca en línea utilizando un nuevo tipo de ataque denominado phishing durante sesión, según investigadores del suministrador de seguridad Trusteer.

El phishing durante sesión (phishing in-session o pdf) pone al alcance de los phishers un instrumento con el que resolver el principal obstáculo al que se enfrentan hoy día: la necesidad de que las víctimas actúen como cómplices en su propio engaño. En los ataques de phishing tradicionales, los delincuentes envían millones de mensajes de correo electrónico que simulan haber sido emitidos por entidades financieras legítimas.
Tales mensajes quedan a menudo bloqueado por el software de filtrado de spam e, incluso si llegan a su destinatario, deben ganarse su confianza para que visite los lugares propuestos y entregue la información solicitada. Sin embargo, en el pdf, los mensajes de correo quedan eliminados de la ecuación, siendo sustituidos por una ventana de navegador tipo pop-up.
Para que el sistema funcione, los phishers han de asaltar un sitio web legítimo e infiltrar en él código HTML que se manifiesta al usuario como una ventana de alerta de seguridad. En ella se pide a la víctima que introduzca su contraseña y otra información de acceso, y, posiblemente, que conteste también a otras cuestiones de seguridad utilizadas por los bancos para verificar la identidad de sus clientes.
La parte difícil para los atacantes es que sus pop-ups parezcan legítimos y resulten convincentes ante las víctimas. Pero, gracias a una brecha existente en los motores JavaScript de todos los navegadores más extendidos, existe una forma de hacer que este tipo de ataque sea más creíble, según Trusteer.
Estudiando la forma en que los navegadores utilizan JavaScript, Amit Klein, CTO de la compañía, asegura haber encontrado la forma de identificar si alguien está autenticado en un sitio web o no, siempre que utilice una determinada función JavaScript. Klein no ha querido hacer pública la función de que se trata para no dar pistas a los delincuentes, pero sí ha informado a los fabricantes de navegadores para que resuelvan el problema.
CIO, España