15 jul. 2010

"Nueva" técnica de phishing abusa de error en Bit.ly y TinyURL

A raíz de una denuncia que recibimos en Segu-Info nos encontramos con lo que parece ser una nueva forma de abuso del servicio de acortadores de URLs. Ya habíamos dado cuenta de este tipo de mal uso hace tres meses como se puede ver aquí, pero lo que observamos parece ser algo nuevo.

El correo falso (phishing) utiliza el servicio de acortador para el enlace engañoso pero en lugar de utilizar el enlace usual del acortador con el formato http://bit.ly/wxyz utilizan http://www.bancobradesco.com.br.bit.ly/wxyz. De esta forma el usuario que ha aprendido a revisar el enlace posando el puntero sobre el mismo, verá efectivamente el nombre correcto del banco y si no presta mucha atención, ignorará el resto acostumbrado a algunas letras sin sentido usuales en direcciones web, pero es una trampa!

 Detalle del engaño con acortadores de URLs vulnerables

Luego si el usuario cae en el engaño será redirigido por el enlace acortado al un sitio web abusado que contiene una conocida página falsa del banco.

Sitio web falso para robo de credenciales bancarias

Desde Segu-Info hicimos la denuncia del caso de phishing a Bit.ly por el enlace corto maliciosos y apenas 5 minutos después nos responden que fue desactivado tal como se ve en la captura.


Investigando sobre este uso abusivo de Bit.ly vemos en MyWOT que por lo menos desde mayo pasado viene siendo utilizada este tipo de metodología.

Un relevamiento realizado por Segu-info muestra que al menos dos de los acortadores de URLs más difundidos son "vulnerables" a este tipo de abuso:

Acortadores de URLs Vulnerables:
Acortadores de URLs No Vulnerables:
  • http://urlcorta.es/  (* reparado luego de ser notificado del problema)
  • http://saf.li/
  • http://is.gd/
  • http://w3t.org/
  • http://byze.us/
  • http://soso.bz/
  • http://tra.kz/
  • http://fur.ly/
  • http://goo.gl/
Recuerden que los bancos no envían este tipo de mensajes. Recomendamos a los lectores prestar atención  a los enlaces y observarlos cuidadosamente antes de caer en una trampa.

Raúl de la Redacción de Segu-Info

Actualización 22:40 - Hemos reportado el problema a los tres acortadores que encontramos vulnerables. De TinyURL nos respondió su fundador diciendo que "considerarán hacer un cambio para prevenir ese tipo de abusos". También respondieron de Bit.ly pero hasta ahora con poca suerte, sólo responden que el enlace ya fue bloqueado. Al parecer aun no dimos con un ser humano que lea el problema que reportamos :-). Pero seguiremos intentando. El tercer caso de urlcorta.es recien hemos podido denunciar el problema ya que costó conseguir una dirección de contacto.

Raúl y Cristian de la Redacción de Segu-Info

Actualización 16-jul 10:30 - Recibimos respuesta de Marcos el autor de urlcorta.es que ya ha corregido la "vulnerabilidad", ¡Muchas gracias Marcos!

Actualización 12:00: Bit.ly sigue ignorando y no entendiendo el problema. Por favor vota en ese enlace para que Bit.ly solucione el problema.

Raúl de la Redacción de Segu-Info

5 comentarios:

  1. Justamente hace unos días me encontré con algo parecido a esto, si podés darte una vuelta por mi blog, sería un placer. Muy buen artículo.

    ResponderBorrar
  2. Perdón acá está: http://viviendolared.blogspot.com

    ResponderBorrar
  3. Sin duda alguna, siempre excelentes articulos. Felicidades Heinrich!

    ResponderBorrar
  4. Hola Black,

    Interesantes artículos y análisis. Felicitaciones por el excelente trabajo.

    Saludos.

    ResponderBorrar
  5. Otra técnica que he encontrado para esconder las URLs al usuario:

    http://www.sysadmit.com/2014/11/phishing-con-data-uri-scheme.html

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!