Detectadas dos técnicas que están siendo utilizadas en ataques
phishing para falsear la URL en la barra de direcciones y en la barra
de estado aprovechando vulnerabilidades y/o «funcionalidades» de
Internet Explorer.
Falsear URL en la barra de direcciones
En Hispasec hemos podido comprobar en las últimas horas como esta
técnica está siendo utilizada en un nuevo ataque phishing destinado
a usuarios de la entidad Citibank.
Consiste en crear una ventana emergente justo en la posición donde
aparece la URL en la barra de dirección de Internet Explorer, de
forma que se superpone y oculta la dirección real del servidor web
del atacante donde realmente se encuentra el usuario, mostrando en
su lugar la URL de la entidad bancaria.
A nivel de código, se trata de una sencilla función JavaScript que
en primer lugar calcula dinámicamente la posición donde se encuentra
la URL en la barra de direcciones. Una vez obtiene la posición, crea
ahí una ventana emergente con el método windows.createPopup(), que
visualiza la dirección falsa mediante HTML y con el mismo tipo y
tamaño de letra que utiliza Internet Explorer por defecto.
A efectos prácticos, el usuario recibe un mensaje, aparentemente de
la entidad bancaria, donde le invita a visitar el sitio de la
entidad con alguna excusa, normalmente relacionada con la seguridad.
El mensaje incluye un enlace que supuestamente le dirige a la web
de la entidad. Si el usuario pincha en el enlace, puede observar
como aparece la web de la entidad y que en la barra de direcciones
de Internet Explorer aparece la URL correcta, incluyendo el prefijo
https:// como si estuviera en una conexión segura.
En realidad el usuario está navegando en el servidor web del atacante,
que ha copiado los contenidos de la web de la entidad, y ha
aprovechado la vulnerabilidad de Internet Explorer para falsear la
dirección en el navegador y que el usuario no sospeche. Si el usuario
introduce las claves para acceder a su cuenta, éstas son enviadas
directamente al atacante, que podrá utilizarlas para suplantar la
identidad del usuario legítimo y entrar en su cuenta.
En el momento de escribir estas líneas, el servidor y las páginas
utilizadas para el ataque phishing de Citibank sigue activo, de forma
que se puede observar exáctamente como funciona en la siguiente
dirección (recordar que es una web falsa, y no debemos introducir
datos reales):
El diseño del ataque tiene algunos fallos o problemas que se pueden
evidenciar, dependiendo de la configuración de Internet Explorer, con
la visualización de la URL falsa en un lugar incorrecto. Esto puede
ocurrir, por ejemplo, si la barra de dirección no se encuentra en su
lugar por defecto, o si poseemos otras barras debajo de la barra de
direcciones.
Si se observa el código JavaScript del atacante, puede observarse
como el cálculo dinámico de la posición mantiene unas constantes
fijas:
vuln_x= window./* */screenLeft+68;
vuln_y= window.screenTop-21;
La posición X la calcula sumando 68 desde el lateral izquierdo y la
posición Y restando 21 desde el tope superior de la pantalla web. Sin
embargo la posición donde se encuentra la barra de dirección puede
variar, por ejemplo, si tenemos las barras de herramienta bloqueadas
o no. Podemos probar a modificar la opción desde el menú Ver -> Barra
de herramientas, y observar la diferencia. Una vez desbloqueada, si
movemos la barra de direcciones cambiando su posición Y, por ejemplo
situándola más arriba junto a los botones estándar, la ventana falsa
quedará totalmente descolocada.
Adicionalmente observaremos como la ventana emergente con la
dirección falsa sigue visualizándose cuando minimizados el Internet
Explorer o cambiamos de tarea y nos situamos en otra aplicación.
Falsear URL en la barra de estado
La barra de estado se encuentra en la parte inferior del navegador,
y también puede ayudar a prevenir ataques phishing basados en enlaces
HTML falsos. Al situar el cursor encima de un enlace HTML, en la barra
de estado aparece la dirección real a la que apunta,
independientemente del texto o imagen que aparece en el HTML.
Existe una vulnerabilidad en Internet Explorer que permite crear un
enlace HTML que apunte a una dirección y que, al situar el cursor
encima del enlace, visualice en la barra de estado otra dirección.
El código HTML sería:
«>
«>Pincha aquí |
Si visualizamos una página web con dicho código, podemos observar
un enlace con el texto «Pincha aquí». Si situamos el cursor encima
de dicho enlace, en la barra de estado de Internet Explorer (parte
inferior), aparecerá http://www.microsoft.com. Sin embargo, si
pinchamos en el enlace, nos llevará a http://www.hispasec.com
Es previsible la aparición de nuevos ataques phishing que aprovechen
una o ambas de estás técnicas, por lo que recordamos a los usuarios
que no deben utilizar los enlaces a entidades bancarias y servicios
similares que puedan llegarle a través de mensajes de correo
electrónico, y en su lugar deberán escribir la URL directamente en
su navegador.
Dado el auge del phishing, las entidades también deberían plantearse
el implantar nuevos sistemas para mitigar este tipo de fraudes. Los
ataques phishing no deben contemplarse únicamente como una
responsabilidad del cliente, ya que existen numerosas estrategias y
tecnologías que pueden desplegarse desde la entidad para asegurar
las conexiones de sus usuarios.
bernardo@hispasec.com
Más información:
una-al-dia (30/09/2004) Implicaciones del diseño web en los ataques «phishing»
http://www.hispasec.com/unaaldia/2168
una-al-dia (25/09/2004) Nuevo caso de «phishing» a clientes de Banesto
http://www.hispasec.com/unaaldia/2163
una-al-dia (27/05/2004) Continúan los intentos de estafa contra bancos españoles
http://www.hispasec.com/unaaldia/2041
una-al-dia (22/02/2004) Nuevo intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1946
una-al-dia (28/01/2004) Nuevo intento de estafa sobre los usuarios de la banca electrónica de Banesto
http://www.hispasec.com/unaaldia/1921
una-al-dia (11/01/2004) Intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1904
una-al-dia (23/08/2003) Nuevo caso de «phishing», esta vez con Citibank
http://www.hispasec.com/unaaldia/1763
una-al-dia (20/05/2003) Intento de fraude a los clientes del BBVA
http://www.hispasec.com/unaaldia/1668
Deja una respuesta