Entre la oleada de mensajes de phishing tradicional, que a diario nos
bombardea, se pueden detectar algunos que están optimizados para los
usuarios de Internet Explorer. Este es el caso del phishing lanzado
en el día de ayer contra los usuarios de Banesto.
Los atacantes intentan por todos los medios hacer que el usuario no
pueda detectar a simple vista que está siendo víctima de un fraude.
En ocasiones el phishing es muy burdo y salta a la vista, en otras
los atacantes se esmeran un poco más e intentan ofuscar a la víctima
los elementos más comunes que podrían ayudar a identificar la estafa.
Cuando la ofuscación se realiza desde un phishing tradicional (una
página web a la que el usuario llega tras pinchar en un enlace que
le ha llegado por e-mail), la estafa suele estar optimizada para el
navegador Internet Explorer.
De manera independiente a si Internet Explorer tiene más o menos
vulnerabilidades que otros navegadores, la realidad es que los
atacantes diseñan sus estafas para las plataformas más extendidas.
Es una simple cuestión de rendimiento, el beneficio será mayor si
logran afectar a más usuarios. Hoy por hoy, Internet Explorer sigue
siendo el navegador más utilizado con diferencia.
De manera similar ocurre a nivel de sistema operativo. En el caso
de los troyanos bancarios el 99,99% está diseñado para plataformas
Windows.
En este sentido, los ataques más sofisticados son perpetrados por
los troyanos especializados en banca, que pueden pasar totalmente
inadvertidos a los usuarios, burlando las recomendaciones típicas. En
estos casos de poco o nada sirve comprobar si tecleamos directamente
la URL en el navegador, comprobamos el https, el dominio, el
certificado SSL, la resolución DNS, o metemos la clave en un teclado
virtual.
Volviendo al caso específico del phishing a Banesto, realizado de
forma tradicional (mensaje de correo electrónico que simula provenir
de la entidad y solicita al usuario que acceda a través de un enlace
para introducir sus credenciales), el atacante incluye en la página
web unos scripts para esconder la URL real en Internet Explorer. En
su lugar, a través de una ventana superpuesta, intenta hacer creer
al usuario que se encuentra en la dirección legítima de Banesto.
El efecto de la ofuscación, las diferencias entre visualizar la
página web de phishing con Internet Explorer o Firefox, o el área de
oportunidad que hay entre los antivirus para detectar este tipo de
scripts fraudulentos, puede ser visto de forma más gráfica en el
siguiente vídeo-flash:
http://www.hispasec.com/directorio/laboratorio/phishing/demo2/banesto_phishing.htm
La recomendación básica para evitar el phishing tradicional es no
acceder a la banca por Internet pinchando en enlaces que vengan en
correos electrónicos, es más seguro teclear la URL directamente en
el navegador. Esta recomendación no sería útil en el caso de ataques
de pharming, donde sería necesario comprobar la resolución o el
certificado SSL de la entidad. El problema se agrava en el caso de
ataques por troyanos bancarios, ya que el usuario común no tiene
forma de comprobar que está realmente en un entorno seguro.
bernardo@hispasec.com
Deja un comentario