26 ene. 2009

Ataques de phishing "In-session"

Este boletín de seguridad trata de una sofisticada y muy eficaz técnica de ataque de phishing que se lleva a cabo mientras el usuario está en una sesión activa con una aplicación web segura de banca, de corretaje, u otra aplicación web sensible.

El phishing es por lejos la forma más fácil para robar credenciales de acceso para acceder a cuentas en línea segura. A los efectos de este documento, vamos a utilizar la banca online como nuestra aplicación de ejemplo. Varias utilidades permiten a los defraudadores copiar la página de acceso de cualquier banco y crear un sitio Web fraudulento en cuestión de minutos. Una vez que el sitio web está en marcha y funcionando los delincuentes pueden empezar a invitar a las personas al ingresos de sesión ("login"), por lo general utilizando mensajes de correo electrónico simulando ser enviados por el banco en cuestión.

El mayor desafío que los phishers enfrentan ahora es convencer a los usuarios a abrir estos mensajes de correo electrónico maliciosos y hacer clic en los enlaces que llevan a los sitios web fraudulentos. La creciente sofisticación de los mecanismos de filtrado de spam desplegados por los ISP y los usuarios finales es lo que hace más difícil a estos mensajes de correo electrónico llegar a sus objetivos. Además, los usuarios son cada vez más sensibles a las amenazas de seguridad y son más desconfiados de los correos electrónicos del "banco".
________________________________________
Este es un Alerta de Seguridad que Ud. solicitó para ayudarlo a proteger su cuenta.
Su cuenta ha sido limitada.
Ha excedido el número de tres (3) intentos fallidos de ingreso.
Para destrabar su cuenta, por favor ingrese a su cuenta.
Gracias por si cooperación.
Saludos
________________________________________
Ejemplo de Correo reciente de Phishing

Muchos de los últimos ataques de phishing pretenden ser advertencias de seguridad, alertando a los usuarios sobre actividades sospechosas en su cuenta u ofreciendo un nuevo "mecanismo de seguridad". Sin embargo, esta táctica de infundir miedo también está perdiendo eficacia.

Los ataques de phishing más sofisticados utilizan información personal sobre la víctima para que el correo electrónico parezca más auténtico. Estos ataques selectivos también son conocidos como "spear phishing" (phishing arpón). El estafador recopila información sobre la víctima de los sitios web de redes sociales y otros recursos y la utiliza para generar un correo electrónico muy digno de crédito.

Recientemente el grupo de investigación Trusteer ha estado investigando la próxima generación de ataques de phishing con un enfoque específico en lo que llamamos ataques "in-session".

Un ataque de phishing "in-session" sucede mientras la víctima está en una sesión de una aplicación de banca en línea y, por tanto, hay mucha más probabilidad de éxito. Un típico escenario de ataque se produciría de la siguiente manera. Un usuario inicia sesión en su banca en línea para realizar algunas tareas. Dejando esta ventana del navegador abierta, el usuario acceda después a otros sitios web. Poco tiempo después aparece una ventana emergente, supuestamente del sitio web de la banca, que pide al usuario que vuelva a escribir su nombre de usuario y contraseña, porque la sesión ha caducado, o completar una encuesta de satisfacción del cliente, o participar en una promoción, etc. Dado que el usuario ha ingresado recientemente al sitio web de la banca, él o ella no sospecharan que esta ventana emergente sea fraudulenta y, por tanto, proporcionarán los datos solicitados.

Para que un ataque de phishing "in-session" tenga éxito, son necesarias las siguientes condiciones:
  1. Un sitio web base debe estar comprometido, a partir del cual el ataque puede ser lanzado
  2. El programa malicioso (inyectado en la página web comprometida) debe ser capaz de identificar en qué página web está conectado el usuario víctima.
La primera condición se consigue con facilidad, ya que más de dos millones de sitios web legítimos son conocidos por estar comprometidos por delincuentes, y cientos más están en peligro de serlo cada día. Cada uno de estos puede ser utilizado como base de este ataque. Una vez que el sitio web se ve comprometido, el atacante inyecta el código en el sitio web. Este código no cambia la apariencia de la página web y no descarga programas maliciosos a la PC del usuario. Por lo tanto es muy difícil de detectar. Este código está diseñado para la búsqueda de sitios web de banca en línea al que los visitantes se encuentran actualmente conectados, y presentarles una ventana emergente que dice ser de la página web de banca a la que está conectado. Estas ventanas emergente solicitan datos de ingreso e información personal.

La identificación de sitios web a los que el usuario está conectado es más difícil de lograr, pero no imposible. Por ejemplo, en 2006 en el Blog de ha.ckers.org se discute un método que intenta cargar imágenes que son sólo accesibles a los usuarios que han iniciado sesión. Si el código maligno del sitio web es capaz de cargar la imagen, esto confirma que el usuario está conectado. Si falla, entonces el usuario no está conectado. Sin embargo, la mayoría de sitios web no protegen las imágenes con un login. En lugar de eso, las almacenan en un servidor distinto que no requiere autenticación.

Recientemente el CTO de Trusteer Amit Klein y su grupo de investigación descubrieron una vulnerabilidad en el Motor de JavaScript de los principales navegadores - Internet Explorer, Firefox, Safari y Chrome - que permite a un sitio web para comprobar si un usuario no está conectado a otro sitio web. La fuente de la vulnerabilidad es una función específica de JavaScript. Cuando esta función es llamada, deja una huella temporal en la computadora y cualquier otro sitio web puede identificar esta huella. Los sitios web que utilizan este función de una cierta manera son fáciles de ubicar. Muchos sitios web, incluidas las instituciones financieras, comercios en línea minoristas, los sitios web de redes sociales, de juegos, y de apuestas utilizan esta función y pueden ser localizados.

Para llevar a cabo este ataque, la página web comprometida necesita mantener una lista de sitios web que quiere comprobar. No hay límite en el número de URLs que un sitio web comprometido puede comprobar si tienen usuarios conectados. Simplemente le hace al navegador una pregunta simple: "está el usuario actualmente conectado a este sitio web "y el navegador puede responder" sí "o" no ". Una vez que el sitio web comprometido identifica un sitio web al que el usuario está conectado, puede inyectar un mensaje pop-up en el navegador pretendiendo ser de la página web legítima, pidiendo las credenciales e información privada.

Para protegerse de los ataques de phishing "in-session", Trusteer recomienda que los usuarios:
  1. Implementen herramientas de seguridad del navegador web
  2. Cerrar siempre la sesión de la banca en línea y otras aplicaciones sensibles o cuentas antes de navegar a otros sitios web.
  3. Ser muy desconfiados de las ventanas emergentes (pop ups) que aparecen en una sesión Web si usted no ha hecho clic en un hipervínculo.
Traducido para blog de Segu-info por Raúl Batista

Fuente: http://www.trusteer.com/files/In-session-phishing-advisory-2.pdf

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!