Robo de Datos por Internet: Nuevas técnicas del Phishing
Enero 23rd, 2009 | Publicado en Noticias, Tecnología
Trusteer, una empresa dedicada a seguridad informática, informó sobre la aparición de un nuevo tipo de phishing. El riesgo reside en una vulnerabilidad de una función de JavaScript de los principales buscadores que permite al estafador identificar a un usuario de una determinada página web comprometida. Este sistema está diseñado para engañar a los usuarios a la hora de entregar información confidencial tras haber iniciado su sesión. Los Usuarios más comprometidos son todos aquellos que operan la banca electrónica y que realicen cualquier actividad de transacciones electrónicas.
Imagen obtenida de Hoax-Slayer.com
La forma de ataque es la siguiente: en el momento en que un Usuario intenta realizar un inicio de sesión para verificar datos en algún portal bancario este debe proporcionar nombre de Usuario y Contraseña. Cuando da la orden para verificar sus datos, la página genera una ventana emergente para avisar que su sesión ha finalizado y le pide de nuevo los datos personales. Cuando el Usuario los proporciona y vuelve a intentar iniciar sesión es demasiado tarde pues estos datos ya pudieron haber sido capturados por un estafador cibernético.
Cuando Ocurre
Necesitamos advertir que se requieren dos condiciones para que un Usuario quedé en riesgo. La primera es que los sitios web por los que navega el usuario se encuentren comprometidos para que el ataque surta efecto. La segunda es que el malware localizado en el sitio comprometido pueda reconocer a la posible víctima. La primera condición es relativamente sencilla, ya que, según Trusteer, existen más de 2 millones de páginas web comprometidas. Además, cada día se cuentan por cientos las nuevas páginas que pueden estar en peligro. No obstante, la segunda condición es algo mucho más complicado pero no es imposible.
El Phishing: Cómo opera
El Phishing es una estafa por Internet, cuyo objetivo fundamental es obtener datos, claves, cuentas bancarias, etc. de los usuarios de una página mediante engaños. El engaño consiste en suplantar la imagen corporativa de una empresa o entidad pública haciéndo creer a los usuarios que le estan dando sus datos personales al sitio oficial.
Las cuatro formas más comunes por las que se produce el phishing son las siguientes :
- Solicitud de datos a través de SMS a nuestro móvil
- A través de llamadas de teléfono pidiendo que le facilitemos esa información
- Solicitud de datos a través de la aparición de ventanas emergentes
- Correo electrónico
Cuando se realiza a través de la web, en la pantalla del usuario aparecerán mensajes personalizados que le den la sensación de ser legítimos. Estos mensajes requieren una labor de ingeniería social previa recopilando información en las páginas de redes sociales, foros, buscadores, así como en otros recursos posibles.
El peligro de las Redes Sociales y los Buscadores
http://www.securitypronews.com
La novedad de este nuevo phising, consiste en que el uso de los buscadores para comprobar si un usuario está o no conectado a un determinado sitio web. La vulnerabilidad proviene de una función de JavaScript de los principales navegadores: Explorer, Firefox, Safari y Chrome. Cuando esta función se emplea, deja una huella temporal en el ordenador y cualquier otro sitio web puede identificarla. Precisamente, los sitios web de las redes sociales, de juegos, juegos de azar, instituciones financieras, etcétera utilizan esta función.
Con la intención de proteger a los usuarios, en este informe se hacen una serie de recomendaciones. La primera es implementar las herramientas de seguridad de nuestro navegador. La segunda es salir de la banca on line, de otras aplicaciones y de nuestras cuentas, antes de navegar por otros sitios web. La tercera, y básica, es la sospechar de todos los pop ups que nos aparezcan si no hemos hecho clic en un determinado hipervínculo.