25 may 2010

Nueva forma de phishing: el tabnabbing

En Internet, todo se mueve muy deprisa. También el malware, y las nuevas formas de phishing. Por suerte, ese nuevo método no ha sido descubierto por un hacker malicioso, sino por un desarrollador en Mozilla, Aza Raskin. La idea es simple: cuando el usuario no esté mirando la pestaña, cambiamos su aspecto para que parezca otra.

Este ataque puede ser realmente efectivo. No somos pocos los que acostumbramos a trabajar con varias pestañas, y lo que nos guía es su icono y su título. Tal y como pone como ejemplo Aza Raskin, el desarrollador de Mozilla que lo ha publicado, si hacemos clic en la pestaña con el icono de Gmail y vemos que nos pide hacer login otra vez porque no ha habido actividad, lo haríamos prácticamente sin dudar. Sin embargo, lo que podríamos estar haciendo es proporcionar nuestra información a terceras partes.


El alcance de un ataque de este tipo en una página muy visitada podría ser desastroso, combinando con otras vulnerabilidades y conociendo si el usuario ya ha hecho login o no. Simplemente como ejemplo: accedes a un artículo en Genbeta, a la que previamente han descubierto una vulnerabilidad XSS, mediante un enlace acortado para ocultar la URL. Cuando llegas, lees el artículo, y dejas la pestaña abierta. Con la vulnerabilidad XSS, se ejecuta el código malicioso y la página cambia a la pantalla de login de GMail. Entras en esa pestaña creyendo que es el Gmail real, introduces tus datos, y automáticamente ya han sido mandados a un tercero. Es sorprendentemente fácil caer, ¿verdad?

Pueden hacer la prueba en el artículo de Aza Raskin, que cambia a la pestaña de Gmail si pierde el foco durante un tiempo. Funciona sólo en Chrome y Firefox. Según Raskin, la mejor manera de evitar estos ataques sería cambiar a la autenticación basada en el navegador, que evitaría estas confusiones con URL falsas.

Vía | DownloadSquad
Más información | Aza Raskin
Vídeo | Vimeo

0 comentarios: