phishing

El otro día, en la entrada avisando sobre los peligros de dar la contraseña de tu correo a servicios extraños y sobre todo a aquellos que te dicen que te van a decir quién te ha bloqueado en el msn, surgió una conversación bastante interesante en los comentarios. Además, el responsable de uno de estos servicios, Alejandro Sena de Blockoo explicó cómo funcionan estos servicios. A continuación os reproduzco el algoritmo, que hace uso de bots para llevar a cabo esta operación:

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Una de las recomendaciones que siempre hago en materia de seguridad informática es no abrir nunca enlaces que nos lleguen en correos electrónicos o por mensajería instantánea. Es mucho más seguro escribir la dirección manualmente en nuestro navegador para asegurarnos que vamos a parar donde pretendíamos.

Pues el troyano Infostealer.Banker.D echa un poco por tierra esta recomendación. Al instalarse en nuestro ordenador, y cuando accedemos a alguna de las páginas que tiene prefijadas, inyecta código HTML dentro del contenido recibido, de modo que, para nosotros, todo funciona de manera correcta (hemos escrito la dirección correcta, el SSL nos indica que el sitio es válido,...) pero una parte de esa página no es legítima.

Como se puede ver en la imagen de ejemplo, en la página de este banco se inserta un nuevo campo de texto donde se pide que el usuario introduzca el PIN de su tarjeta. Este campo es almacenado y enviado al atacante, mientras que el resto de campos se envían al banco, de forma que entraremos correctamente en la página, dando sensación de completa normalidad.

Por supuesto, debemos sospechar siempre que la página de nuestro banco nos pregunte algún dato de este tipo, como el código PIN de la tarjeta y usar el sentido común para detectar este tipo de intentos de estafa, aunque hay que reconocer que en este caso lo ponen bastante difícil para el usuario medio.

Vía | Security Response.

Mal asunto cuando desde una empresa como Kaspersky admiten que no pueden con tanta amenaza en Internet. Lo ha dicho Natalya Kaspersky, CEO de Kaspersky Lab.

Según ella, en una entrevista a ComputerWorld, ninguna compañía puede admitir que tiene la situación del crimen por Internet y temas de malware y phishing bajo control porque estarían mintiendo. Admiten disponer de 50 personas dedicadas solamente a analizar y tratar de encontrar soluciones para el malware que sale todos los días, en cantidades de 200 nuevos casos. Ya no basta, dicen, con un antivirus. Las amenazas de diversifican y aumentan todos los días.

Piden la ayuda oficial de los gobiernos y las fuerzas de seguridad porque la cosa va a más y el que Internet sea tan global no hace más que ayudar a los delincuentes 2.0. Pide colaboración internacional de los cuerpos de policía.

Vía | Barrapunto.
Imagen de IN.

Los que uséis Firefox confiando totalmente en su filtro antiphishing deberéis tener cuidado, pues se ha encontrado un bug que provoca que algunas páginas maliciosas no se detecten como tal.

El problema se encuentra cuando se añade más de una / a la dirección. Veamos un ejemplo: la siguiente dirección (recomendamos no entrar en ella) es detectada por Firefox como una página maliciosa y así nos lo indica.

• http://202.64.93.106/www.paypal.com/cgi-bin/webscr_cmd=_login-run2652/

En cambio, la dirección:

• http://202.64.93.106/www.paypal.com//cgi-bin/webscr_cmd=_login-run2652/

no es detectada como tal (notar las dos barras despues de .com). En la próxima versión estará solucionado, pero de mientras habrá que tener especial cuidado, porque seguro que ya están empezando a aprovechar este fallo para engañar a usuarios.

Vía | BolsaNegra.

Retorno hoy a casa tras estar todo el fin de semana fuera y al ir a subir las fotos del mismo a mi cuenta de Flickr me encuentro con una señal en la portada del servicio que me alerta de que algo está ocurriendo.

Así ha sido como me he enterado de que los ataques de phishing no es solo cosa de bancos y tiendas online. Flickr también parece que lo está sufriendo y han sacado una nota para avisar a sus usuarios de que extremen las precauciones cuando se les pida la constraseña de flickr o se les prometa la descrga de algún paquete de fotos. Esto nunca lo hacen ellos, y debemos asegurarnos de que la dirección que existe en nuestra barra de direcciones es realmente correspondiente a Flickr, y no cualquier otra, por mucho que la página que estemos visitando sea calcada a la del servicio de fotografías.

Dicho esto, ya puedo ir a subir mis fotos tranquilamente.

Sitio Oficial | Flickr.

Estamos buenos con el phishing. Si no teníamos bastante con los expertos en este fraude, ahora van y sacan una especie de kit para hacer de manera sencilla ataques de phishing, que puede encontrarse en algunos foros.

El kit, descubierto por RSA, se denomina Universal Man-in-the-Middle Phishing Kit y si bien puede probarse gratuitamente, tiene un precio de más de 700 euros. Además, se trata de un sistema universal, vamos, que vale para cualquier banco.

No hace falta decir que se trata de algo peligroso y evidentemente ilegal.

Recordemos que el phishing lo que hace es hacerte creer que estás en una página web real de un banco o comercio online, y vas introduciendo determinados datos sin saber que en esos momentos se está recopilando esa información personal y sensible.

Vía | Consumer.
Imagen de Tecfa.

En el mundo de la seguridad informática nos queda el consuelo que, cuando se usan técnicas nuevas para atacar al usuario, es probablemente debido a que las antiguas ya no funcionan tan bien como esperaba el atacante. Es decir, se gana una pequeña batalla.

Ahora que los navegadores se han puesto serios en la lucha contra el phishing, incorporando Internet Explorer, Firefox y Opera barras que nos avisan de la peligrosidad de un sitio, los que envían este tipo de mensajes se están viendo obligados a reaccionar.

Y lo están haciendo pasándose al Flash, el popular formato de Adobe, a la hora de crear las páginas falsas donde intentan que los usuarios den sus datos. Lo hacen en un intento de evitar a los programas que analizan el HTML para ver si la página es válida. Al ser Flash un formato compilado no se puede analizar su contenido.

Los ficheros Flash imitan a la perfección a la página original e intentan que el usuario dé los datos de su tarjeta de crédito. Un usuario avezado se dará cuenta de la diferencia, pero muchas otros no sabrán ver que la página está hecha en Flash en lugar de HTML corriente, así que alerta ante este tipo de casos.

Vía | Blog de F-Secure.

Que si es mejor el antiphising de Firefox, que si es mejor el de Internet Explorer 7,... cada compañía defiende, evidentemente, su propio producto. Pero según un estudio independiente realizado en la universidad Carnegie Mellon que ha comparado diez antiphishing distintos. ninguno de ellos es efectivo.

Cinco de ellos detectaron un 85% de las páginas de phishing, mientras que el resto no llegaron al 50%. Pero lo que puede ser más problemático es que la mayoría generaban falsos positivos, es decir, que detectaban como phishing páginas que eran legítimas.

Estos dos problemas hacen que los usuarios sin demasiados conocimientos de seguridad informática no puedan estar n unca seguros de cuando una página es confiable y cuando no lo es, lo que puede ser aun peor. La opción será estar siempre atento a las páginas que visitamos, nunca abrir enlaces que nos lleguen en mensajes de correo y comprobar las opciones de HTTPS para certificar que la página que creemos estar visitando es la que esperamos.

Vía | Net Security.