Un agujero de seguridad encontrado en la mayoría de los navegadores podría facilitar a los delincuentes robar las contraseñas bancarias de los usuarios utilizando un nuevo tipo de ataque denominado “in-session phishing”, según un fabricante de seguridad.
Según explica Trusteer, la técnica “in-session phishing” permite a los criminales tener una solución para el mayor problema al que se enfrentan estos delincuentes: cómo conseguir nuevas víctimas. En los ataques phishing “tradicionales”, los malhechores envían millones de mensajes de correo electrónico con los que simulan ser compañías con buena reputación, especialmente bancos. Estos mensajes suelen ser, no obstante, bloqueados por los filtros anti spam, pero en los ataques “in-session phishing”, el mensaje no entra en la ecuación que utilizan estos filtros.
De esta forma, los atacantes piratean una web legítima e implantan código HTML que simula ser un pop-up de alerta de seguridad. Esta ventana emergente pedirá a la víctima que introduzca su usuario y contraseña, así como otras cuestiones que suelen utilizar los bancos para verificar la identidad de sus clientes.
El reto para los hackers es convencer a las víctimas de que esta ventana emergente de seguridad es verídica y legítima. Sin embargo, gracias a un error de seguridad localizado en las técnicas JavaScript que la mayoría de los navegadores emplean, existe una manera de hacer que estos ataques parezcan más reales, según el máximo responsable de tecnología de Trusteer, Amit Klein.
Así, y después de estudiar cómo los navegadores utilizan JavaScript, Klein asegura haber encontrado una manera de saber si alguien se ha conectado o no a una web. Klein no ha querido facilitar muchos detalles de este error aunque, no obstante, sí que ha transmitido toda esta información a los desarrolladores de los navegadores con el fin de que puedan solucionar este error.
Según explica Trusteer, la técnica “in-session phishing” permite a los criminales tener una solución para el mayor problema al que se enfrentan estos delincuentes: cómo conseguir nuevas víctimas. En los ataques phishing “tradicionales”, los malhechores envían millones de mensajes de correo electrónico con los que simulan ser compañías con buena reputación, especialmente bancos. Estos mensajes suelen ser, no obstante, bloqueados por los filtros anti spam, pero en los ataques “in-session phishing”, el mensaje no entra en la ecuación que utilizan estos filtros.
De esta forma, los atacantes piratean una web legítima e implantan código HTML que simula ser un pop-up de alerta de seguridad. Esta ventana emergente pedirá a la víctima que introduzca su usuario y contraseña, así como otras cuestiones que suelen utilizar los bancos para verificar la identidad de sus clientes.
El reto para los hackers es convencer a las víctimas de que esta ventana emergente de seguridad es verídica y legítima. Sin embargo, gracias a un error de seguridad localizado en las técnicas JavaScript que la mayoría de los navegadores emplean, existe una manera de hacer que estos ataques parezcan más reales, según el máximo responsable de tecnología de Trusteer, Amit Klein.
Así, y después de estudiar cómo los navegadores utilizan JavaScript, Klein asegura haber encontrado una manera de saber si alguien se ha conectado o no a una web. Klein no ha querido facilitar muchos detalles de este error aunque, no obstante, sí que ha transmitido toda esta información a los desarrolladores de los navegadores con el fin de que puedan solucionar este error.
PC World (13-01-2009)
