| Noticias | 16 ENE 2009

Un fallo de navegador permite el phishing sin e-mail

Un fallo detectado en todos los principales navegadores del mercado podría permitir a los delincuentes robar credenciales de banca online utilizando un nuevo tipo de ataque denominado "phishing durante sesión", según investigadores del suministrador de seguridad Trusteer.
Marta Cabanillas
El phishing durante sesión (phishing in-session o pdf) pone al alcance de los phishers un instrumento con el que resolver el principal obstáculo al que se enfrentan hoy día: la necesidad de que las víctimas actúen como cómplices en su propio engaño. En los ataques de phishing tradicionales, los delincuentes envían millones de mensajes de correo electrónico que simulan haber sido emitidos por entidades financieras legítimas.
Tales mensajes quedan a menudo bloqueado por el software de filtrado de spam y, incluso si llegan a su destinatario, deben ganarse su confianza para que visite los lugares propuestos y entregue la información solicitada. Sin embargo, en el pdf, los mensajes de correo quedan eliminados de la ecuación, siendo sustituidos por una ventana de navegador tipo pop-up.
Para que el sistema funcione, los phishers han de asaltar un sitio Web legítimo e infiltrar en él código HTML que se manifiesta al usuario como una ventana de alerta de seguridad. En ella se pide a la víctima que introduzca su contraseña y otra información de acceso, y, posiblemente, que conteste también a otras cuestiones de seguridad utilizadas por los bancos para verificar la identidad de sus clientes.
La parte difícil para los atacantes es que sus pop-ups parezcan legítimos y resulten convincentes ante las víctimas. Pero, gracias a una brecha existente en los motores JavaScript de todos los navegadores más extendidos, existe una forma de hacer que este tipo de ataque sea más creíble, según Trusteer.
Estudiando la forma en que los navegadores utilizan JavaScript, Amit Klein, CTO de la compañía, asegura haber encontrado la forma de identificar si alguien está autenticado en un sitio Web o no, siempre que utilice una determinada función JavaScript. Klein no ha querido hacer pública la función de que se trata para no dar pistas a los delincuentes, pero sí ha informado a los fabricantes de navegadores para que resuelvan el problema.
 
 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información