En Internet, todo se mueve muy deprisa. También el malware, y las nuevas formas de phishing. Por suerte, ese nuevo método no ha sido descubierto por un hacker malicioso, sino por un desarrollador en Mozilla, Aza Raskin. La idea es simple: cuando el usuario no esté mirando la pestaña, cambiamos su aspecto para que parezca otra.
Este ataque puede ser realmente efectivo. No somos pocos los que acostumbramos a trabajar con varias pestañas, y lo que nos guía es su icono y su título. Tal y como pone como ejemplo Aza Raskin, el desarrollador de Mozilla que lo ha publicado, si hacemos clic en la pestaña con el icono de Gmail y vemos que nos pide hacer login otra vez porque no ha habido actividad, lo haríamos prácticamente sin dudar. Sin embargo, lo que podríamos estar haciendo es proporcionar nuestra información a terceras partes.
El alcance de un ataque de este tipo en una página muy visitada podría ser desastroso, combinando con otras vulnerabilidades y conociendo si el usuario ya ha hecho login o no. Simplemente como ejemplo: accedes a un artículo en Genbeta, a la que previamente han descubierto una vulnerabilidad XSS, mediante un enlace acortado para ocultar la URL. Cuando llegas, lees el artículo, y dejas la pestaña abierta. Con la vulnerabilidad XSS, se ejecuta el código malicioso y la página cambia a la pantalla de login de GMail. Entras en esa pestaña creyendo que es el Gmail real, introduces tus datos, y automáticamente ya han sido mandados a un tercero. Es sorprendentemente fácil caer, ¿verdad?
Podéis hacer la prueba en el artículo de Aza Raskin, que cambia a la pestaña de Gmail si pierde el foco durante un tiempo. Funciona sólo en Chrome y Firefox. Según Raskin, la mejor manera de evitar estos ataques sería cambiar a la autenticación basada en el navegador, que evitaría estas confusiones con URL falsas.
Vía | DownloadSquad
Más información | Aza Raskin
Vídeo | Vimeo
Comentarios
La verdad es que es una técnica muy ingeniosa, me ha gustado y todo jaja
Habrá que estar atentos o nos come el lobo...
Moraleja: fíjate en las URL (especialmente el coloreado de sitio seguro), si algo que no has abierto tu mismo y has visto su carga, pide contraseña ignorarlo, cierra e introduce la URL.
Pero la gente es confiada. A base de palos aprenderán.
Yo tengo un sistema con Chrome que evita esto mismo. Chrome permite fijar unas pestañas para que se abran siempre, cada vez que abras el navegador.
Simplemente coloco Gmail u otros sitios que suelo visitar a diario de forma fija.
Así se seguro que esa pestaña es la original.
Se llaman marcadores y lo tienen todos los navegadores :3
No lo son, no los confundas. Permite fijar las pestañas de forma que cargue la misma ruta cada vez que abras el navegador.
La característica se llama Pin Tab.
Pero eso ya se puede hacer por defecto, al menos en Firefox. Pones varias URL como página de inicio y se cargan todas.
No es exactamente lo mismo, pero si se le puede dar un uso similar.
Esto guarda la página tal como la dejes.. Si por ej. pones genbeta pero cierras el navegador viendo este post, la próxima vez que abras será este post.
Foto
Se me duplico el comentario :(
-- editado por última vez a las 17:34
Lo "inquietante" es que hacer que el navegador recuerde la contraseña de todos los sitios que visites te puede salvar de esto. Cuando te pida la contraseña y el navegador no la ponga automáticamente (o la autocomplete) verás que algo raro pasa.
Es interesante ver como una falta de seguridad (cualquiera fisicamente en tu PC podría entrar en todos lados con tu usuario) puede ayudar a hacer otra cosa un poco mas segura.
Larga vida para Opera!!!
Lo que mas me asombra de los hackers es la creatividad que tienen. Lo mas importante sera siempre la Ingenieria Social, si le dices a alguien lo que quiere escuchar, lo tendras bien atado.
Pues yo tengo esa pestaña abierta, en Chrome, Ubuntu en la última versión, y no hace nada. ¿ En Ubuntu, Chrome, afecta ?
lo acabo de comprobar con opera y afortunadamente su politica de autenticacion es bien efectiva y aparte impide entrada de datos en la pagina de gmail. aparte si eres bien cauto ves la direccion de la pagina te das cuenta. Pero es bien peligroso porque: ¿y si en vez de cambiar la pagina web, directamente secuestrara la pagina y con un keylogger capta la introduccion de datos? las posibilidades dado el intensivo uso de pestañas que hay son tenebrosas y practicamente agarrarian con los pantalones abajo a los usuarios y la suite de seguridad bien gracias!
gracias por el alerta!
Desgaciadamente en Safari (Mac) también sucede esto como acabo de comprobar.
Lo siento Christian Lopez Magaña, pero en Opera en Mac también sucede esto.
La verdad es que es increible lo simple que es. Parece mentira que, tanto centrarnos en complejos sistemas nos hagan olvidar los casos de fallo más simples.
Los que estén acostumbrados a programar, sabrán de lo que hablo, te pasas horas controlando casos rebuscados, cuando la puerta principal la has dejado abierta.
Creo que siempre es necesario que las cosas las intenten "hackear" gente menos experta, almenos idear como, ya que las mentes más expertas buscarán siempre casos muy complejos.
excelente noticia, habra que tomar precauciones x3
saludos
Acabo de hacer la prueba en IE8 y sucede lo mismo.
Supongo que se puede configurar Noscript en Firefox para que sólo se permita ejecutar código en páginas seguras. De esta manera, evitaría el problema.
-- editado por última vez a las 22:38
la cuestion con el noscript que es una extension de firefox que alguna vez use es que hay que configurarlo de tal manera que impida la entrada a paginas truculentas ademas fijate que de hecho en los protocolos de autenticacion de paginas que incluyen algunos navegadores son flexibles en cuanto a que pagina autorizar. firefox tiene una ventaja que incluye en su codigo un script para impedir entrar a paginas llenas de malware. si alguna vez les ha pasado les sale una opcion de sacame de aqui!!!. pero la peligrosidad es que usa el refresco automatico de las pestañas para burlar las autenticaciones y suplantar directamente las paginas. la unica forma es que tengas un troyano instalado con codigo que ataque las pestañas. En dado caso hay que estar un poco mas tranquilo ya que lo descubrio un desarrollador de mozilla y ya debe saberlos todos los entendidos y afines.
Uff ojala no use este metodo alguien con bastante imaginacion, imaginense como seria directamente te ataquen no con pop-ups sino con eso.
saludos!
hice la prueba con el comodo dragon y pasa lo mismo. sera porq esta basado en chrome?
(A parte de que es un peñazo registrarse o depender de facebook para hacer el comentario.. :s)
A mi no me extrañaría que me lo hubieran hecho, he notado algunas situaciones extrañas con gmail precisamente hace poco. Aunque tengo la manía de cambiar mi clave cada dos semanas, por suerte.
Por cierto, cuando dices "Autentificación por navegador" .. ¿a qué te refieres? ¿A lo de recordar contraseñas?
Un saludo
Autenticación por navegador significa que no te identificas tú, sin o que el navegador tiene los datos para entrar en el servicio: por ejemplo, un certificado SSL.
Aunque el menda no sospecharía, ¿cuando he abierto yo mi página de gmail para ver mi correo?
bueno me refiero que en las opciones avanzadas de los navegadores existen protocolos de seguridad como ssl, tls que son como "seguros" que verifican continuamente cada pagina web que usamos para verificar su seguridad y que no tenga brechas por las cuales no puedan atacarnos, eso siempre lo estan corrigiendo a traves de las actualizaciones de cada uno de los navegadores y muy importante estos protocolos son los que utilizan los sistemas bancarios hoy en dia por eso siempre recomiendan usar internet explorer 8, mozilla firefox en sus ultimas versiones,opera todo siempre actualizado. y autenticar significa que cada vez que tu entras por ejemplo a esta pagina ella trae un certificado de seguridad que los protocolos revisan y si existe algun error ocasionado o deliverado no la cargan.
Eso es todo lo que se y seria bueno un post sobre seguridad para que expliquen poco a poco todos esos temas y como el navegador que uno escoge nos protege de ciertos ataques aparte de como las suites de seguridad se integran a los navegadores para realizar sus labores.
saludos y cualquier cosa en que me equivoque dilo aqui si no soy yo, lo dice otro este blog tiene una buena comunidad de usuarios entendidos en el tema y los redactores tambien.
saludos!
Guaaaa!!! hay que tomar precauciones, más todavía :(
Al menos con gmail nunca me ocurrirá, en firefox con la extensión 'gmail manager' ya no meto la contraseña para visitar mis correos principales, y en otro par de ellos mas ya me pone la contraseña automaticamente. ¿Lo mejor seria que el propio navegador guarde las contraseñas para no tener que meterlas cada vez y te pueda ocurrir esto en otras paginas?
Lo mismo ya hay algunos "chicos malos" haciendo eso, para que cuele con versiones antiguas de los navegadores.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect