Un escenario probable es que el atacante envíe un e-mail falso a los usuarios con un enlace que abra ambos sitios web, la página real de una entidad bancaria y, en segundo plano, la página del atacante. El usuario visualizaría la página auténtica de la entidad bancaria y, al pinchar en un enlace de dicha web real, se mostraría una ventana pop-up, con el logotipo de la entidad e imagen corporativa, solicitando el usuario y la clave de acceso.
Sin saberlo, el usuario estaría entregando sus datos de acceso al atacante, ya que la nueva ventana, aunque ha aparecido tras pinchar un enlace en la web de su banco, ha sido abierta en realidad por el sitio web del atacante que se encontraba en segundo plano.
La técnica empleada puede necesitar algunas modificaciones dependiendo de si el navegador del usuario mantiene algún tipo de sistema para bloquear las ventanas pop-up y evitar publicidad no deseada.
Como prueba de concepto, y con el ánimo de que los usuarios puedan reconocer y prevenir estafas basadas en esta técnica, facilitamos un ejemplo.
En este caso encontraremos dos enlaces a la web de Banesto, deberemos elegir uno u otro en función de si nuestro navegador utiliza algún sistema para bloquear pop-up. Al pinchar en el enlace, se abrirá en una nueva ventana la web auténtica de Banesto. En el menú de la izquierda debemos seleccionar la opción «Banesnet empresas» y pulsar el botón Aceptar. Si aparece una nueva ventana de Hispasec, nuestro navegador se encuentra afectado por esta nueva modalidad de «phishing».
Prueba de concepto disponible en: http://www.hispasec.com/directorio/laboratorio/Software/tests/inyeccion_ventana.html
En estos momentos no existe actualización para los navegadores que ayude a prevenir esta técnica «phishing», sin embargo los usuarios pueden protegerse mediante una serie de sencillas reglas de este tipo de estafas.
1) No utilizar enlaces para acceder a sitios web sensibles, como la banca electrónica. Ignorar especialmente los mensajes de correo electrónico que nos soliciten, con cualquier excusa, acceder a estos sitios webs.
2) Antes de entrar en el sitio web de nuestro banco, cerrar todas las ventanas del navegador, abrir una nueva y teclear directamente la URL en el campo de dirección.
3) Antes de introducir nuestras claves de acceso, asegurarse que en la ventana aparece la dirección de nuestra entidad y que la URL comienza por «https://«. En la parte inferior del navegador, en la barra de estado, deberá estar visible un candado cerrado o una llave completa, que nos indica que estamos conectados con un servidor seguro y los datos se están transmitiendo de forma cifrada.
4) Comprobar el certificado de seguridad, para ello debemos hacer doble click en el candado cerrado o la llave (según el navegador), y verificar que los datos corresponden a nuestra entidad. Aunque sabemos que esta medida en la práctica no suele llevarse a cabo, no es por ello menos recomendable.
Información adicional sobre la nueva técnica de «phishing» y los navegadores afectados puede consultarse en el aviso original de Secunia: http://secunia.com/secunia_research/2004-13/advisory/
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
