"Nueva" técnica de phishing abusa de error en Bit.ly y TinyURL
A raíz de una denuncia que recibimos en Segu-Info nos encontramos con lo que parece ser una nueva forma de abuso del servicio de acortadores de URLs. Ya habíamos dado cuenta de este tipo de mal uso hace tres meses como se puede ver aquí, pero lo que observamos parece ser algo nuevo.
El correo falso (phishing) utiliza el servicio de acortador para el enlace engañoso pero en lugar de utilizar el enlace usual del acortador con el formato http://bit.ly/wxyz utilizan http://www.bancobradesco.com.br.bit.ly/wxyz. De esta forma el usuario que ha aprendido a revisar el enlace posando el puntero sobre el mismo, verá efectivamente el nombre correcto del banco y si no presta mucha atención, ignorará el resto acostumbrado a algunas letras sin sentido usuales en direcciones web, pero es una trampa!
Luego si el usuario cae en el engaño será redirigido por el enlace acortado al un sitio web abusado que contiene una conocida página falsa del banco.
Desde Segu-Info hicimos la denuncia del caso de phishing a Bit.ly por el enlace corto maliciosos y apenas 5 minutos después nos responden que fue desactivado tal como se ve en la captura.
Investigando sobre este uso abusivo de Bit.ly vemos en MyWOT que por lo menos desde mayo pasado viene siendo utilizada este tipo de metodología.
Un relevamiento realizado por Segu-info muestra que al menos dos de los acortadores de URLs más difundidos son "vulnerables" a este tipo de abuso:
Acortadores de URLs Vulnerables:
Raúl de la Redacción de Segu-Info
Actualización 22:40 - Hemos reportado el problema a los tres acortadores que encontramos vulnerables. De TinyURL nos respondió su fundador diciendo que "considerarán hacer un cambio para prevenir ese tipo de abusos". También respondieron de Bit.ly pero hasta ahora con poca suerte, sólo responden que el enlace ya fue bloqueado. Al parecer aun no dimos con un ser humano que lea el problema que reportamos :-). Pero seguiremos intentando. El tercer caso de urlcorta.es recien hemos podido denunciar el problema ya que costó conseguir una dirección de contacto.
Raúl y Cristian de la Redacción de Segu-Info
Actualización 16-jul 10:30 - Recibimos respuesta de Marcos el autor de urlcorta.es que ya ha corregido la "vulnerabilidad", ¡Muchas gracias Marcos!
Actualización 12:00: Bit.ly sigue ignorando y no entendiendo el problema. Por favor vota en ese enlace para que Bit.ly solucione el problema.
Raúl de la Redacción de Segu-Info
El correo falso (phishing) utiliza el servicio de acortador para el enlace engañoso pero en lugar de utilizar el enlace usual del acortador con el formato http://bit.ly/wxyz utilizan http://www.bancobradesco.com.br.bit.ly/wxyz. De esta forma el usuario que ha aprendido a revisar el enlace posando el puntero sobre el mismo, verá efectivamente el nombre correcto del banco y si no presta mucha atención, ignorará el resto acostumbrado a algunas letras sin sentido usuales en direcciones web, pero es una trampa!
Detalle del engaño con acortadores de URLs vulnerables
Luego si el usuario cae en el engaño será redirigido por el enlace acortado al un sitio web abusado que contiene una conocida página falsa del banco.
Sitio web falso para robo de credenciales bancarias
Desde Segu-Info hicimos la denuncia del caso de phishing a Bit.ly por el enlace corto maliciosos y apenas 5 minutos después nos responden que fue desactivado tal como se ve en la captura.
Investigando sobre este uso abusivo de Bit.ly vemos en MyWOT que por lo menos desde mayo pasado viene siendo utilizada este tipo de metodología.
Un relevamiento realizado por Segu-info muestra que al menos dos de los acortadores de URLs más difundidos son "vulnerables" a este tipo de abuso:
Acortadores de URLs Vulnerables:
- http://tinyurl.com/ (nos informan que están trabajando en la solución)
- http://bit.ly/
http://urlcorta.es/(solucionado y gracias Marcos por el agradecimiento)
- http://urlcorta.es/ (* reparado luego de ser notificado del problema)
- http://saf.li/
- http://is.gd/
- http://w3t.org/
- http://byze.us/
- http://soso.bz/
- http://tra.kz/
- http://fur.ly/
- http://goo.gl/
Raúl de la Redacción de Segu-Info
Actualización 22:40 - Hemos reportado el problema a los tres acortadores que encontramos vulnerables. De TinyURL nos respondió su fundador diciendo que "considerarán hacer un cambio para prevenir ese tipo de abusos". También respondieron de Bit.ly pero hasta ahora con poca suerte, sólo responden que el enlace ya fue bloqueado. Al parecer aun no dimos con un ser humano que lea el problema que reportamos :-). Pero seguiremos intentando. El tercer caso de urlcorta.es recien hemos podido denunciar el problema ya que costó conseguir una dirección de contacto.
Raúl y Cristian de la Redacción de Segu-Info
Actualización 16-jul 10:30 - Recibimos respuesta de Marcos el autor de urlcorta.es que ya ha corregido la "vulnerabilidad", ¡Muchas gracias Marcos!
Actualización 12:00: Bit.ly sigue ignorando y no entendiendo el problema. Por favor vota en ese enlace para que Bit.ly solucione el problema.
Raúl de la Redacción de Segu-Info
Justamente hace unos días me encontré con algo parecido a esto, si podés darte una vuelta por mi blog, sería un placer. Muy buen artículo.
ResponderBorrarPerdón acá está: http://viviendolared.blogspot.com
ResponderBorrarSin duda alguna, siempre excelentes articulos. Felicidades Heinrich!
ResponderBorrarHola Black,
ResponderBorrarInteresantes artículos y análisis. Felicitaciones por el excelente trabajo.
Saludos.
Otra técnica que he encontrado para esconder las URLs al usuario:
ResponderBorrarhttp://www.sysadmit.com/2014/11/phishing-con-data-uri-scheme.html