Componentes

El error del navegador podría permitir el phishing sin correo electrónico

?Como Hacer que Google Chrome deje de Bloquear Nuestras Descargas 2019?

?Como Hacer que Google Chrome deje de Bloquear Nuestras Descargas 2019?
Anonim

El phishing en sesión (pdf) brinda a los malos una solución al mayor problema al que se enfrentan los estafadores en la actualidad: cómo llegar a nuevas víctimas. En un ataque de phishing tradicional, los estafadores envían millones de mensajes falsos de correo electrónico disfrazados para parecer que provienen de compañías legítimas, como bancos o compañías de pago en línea.

Esos mensajes a menudo son bloqueados por el software de filtrado de spam, pero con el phishing en sesión, el mensaje de correo electrónico se elimina de la ecuación y se reemplaza por una ventana emergente del navegador.

[Más información: cómo eliminar el malware de su PC con Windows]

Así es como un ataque funcionaría: los malos piratearían un sitio web legítimo y plantarían código HTML que se asemejaría a una ventana emergente de alerta de seguridad. La ventana emergente luego le pedirá a la víctima que ingrese la contraseña y la información de inicio de sesión, y posiblemente responda otras preguntas de seguridad utilizadas por los bancos para verificar la identidad de sus clientes.

Para los atacantes, la parte difícil sería convencer a las víctimas de que este pop el aviso previo es legítimo Pero gracias a un error encontrado en los motores de JavaScript de todos los navegadores más utilizados, hay una manera de hacer que este tipo de ataque parezca más creíble, dijo Amit Klein, director de tecnología de Trusteer.

Estudiando la forma en que navegan use JavaScript, Klein dice que ha encontrado una manera de identificar si alguien está o no conectado a un sitio web, siempre que use una determinada función de JavaScript. Klein no nombraría la función porque daría a los delincuentes una manera de lanzar el ataque, pero ha notificado a los fabricantes de los navegadores y espera que el error finalmente se repare.

Hasta entonces, los delincuentes que descubran la falla podrían escribir código que controle si los internautas están conectados, por ejemplo, a una lista predeterminada de 100 sitios bancarios. "En lugar de simplemente mostrar este mensaje aleatorio de phishing, un atacante puede volverse más sofisticado al sondear y descubrir si el usuario está actualmente conectado a uno de los 100 sitios web de instituciones financieras", dijo.

"El hecho de que usted" Actualmente, la sesión actual otorga mucha credibilidad al mensaje de phishing ", agregó.

Los investigadores de seguridad han desarrollado otras formas de determinar si una víctima ingresa a un sitio determinado, pero no siempre son confiables. Klein dijo que su técnica no siempre funciona, pero que puede usarse en muchos sitios, incluidos bancos, minoristas en línea, juegos y sitios de redes sociales.