viernes, 7 de noviembre de 2014

Nueva técnica, phishing más sencillo y difícil de detectar.

 

Investigadores han detectado una nueva técnica usada por los phishers (cibercriminales encargados de hacer phishing) la cual podría engañar aún más a los usuarios, haciéndoles creer que están ingresando su información en un formulario web legítimo.

En lugar de replicar lo más fielmente posible una página web legítima, por ejemplo, un sitio de comercio electrónico, los atacantes sólo necesitan configurar una página de phishing con un proxy que haga la función de intermediario de la página legítima, además de crear un par de páginas falsas para cuando los usuarios necesiten ingresar su información personal y financiera.

"Siempre y cuando las posibles víctimas estén navegando en la página, verían el mismo contenido como en el sitio original. Es solamente cuando se ingresa información de pago se muestran las páginas modificadas a los usuarios", explica Noriaki Hayashi, investigador senior de amenazas de Trend Micro.

"No importa el dispositivo (PC, laptop, teléfono, tableta) o navegador usado,  ya que el ataque usa el proxy para todas las partes de la petición HTTP de la víctima y todas las partes de la respuesta del servidor legítimo."

En el ataque detectado, los usuarios son direccionados al sitio malicioso, haciendo clic en un resultado de búsqueda del nombre del producto. Los atacantes usaron un gran número de técnicas blackhat SEO (técnicas ilegales para dar buen posicionamiento a páginas web en los buscadores) para hacer que la URL apareciera en los resultados. Pero los correos electrónicos y mensajes de spam también se pueden utilizar para atraer víctimas potenciales al sitio malicioso.

El ataque real empieza cuando el usuario da clic sobre el botón de "Add to Basket" del sitio legítimo, el atacante ha reescrito la función para que el usuario sea redirigido a una página falsa de carrito electrónico que lleva a más páginas falsas, simulando el proceso de compra.

La primera página pide a la víctima que ingrese su información personal (nombre, dirección, número telefónico) así como su correo electrónico y su contraseña. La segunda pide que ingrese la información de su tarjeta de crédito (incluyendo el código de seguridad). La tercera solicita información adicional que algunas veces es requerida para autorizar la transacción.

Una vez que las víctimas han mandado toda esa información, recibirán un correo falso de confirmación por la compra a la cuenta proporcionada anteriormente, así se completa la ilusión.

"Hasta ahora, solamente hemos identificado este ataque contra una tienda en línea específica en Japón. Sin embargo, si se vuelve más prominente, podría convertirse en un desarrollo muy preocupante: esto hace más difícil a las páginas de phishing ser detectadas por los usuarios finales, también, las páginas falsas serán idénticas a las páginas originales", notó Hayashi.

Este enfoque hace a las páginas de phishing mucho más fáciles de configurar y más difíciles de detectar para los dueños de las páginas web legítimas.

Fuente: Help Net Security DV

No hay comentarios:

Publicar un comentario