lunes, 23 de enero de 2017

SSL - Los ataques de phishing nunca van a pasar de moda

Los ataques de phishing nunca van a pasar de moda

A pesar que los inicios de sesión se han vuelto más restrictivos con nuevos métodos de protección, los atacantes adaptan sus anzuelos para que los usuarios de internet caigan en sus trampas.
Investigadores han descubierto una nueva técnica de phishing (víagHacks), más elaborada que antes y la cual se asegura que hasta el usuario más precavido ignore que está en peligro.
Primero los atacantes comprometen cuentas de Gmail para servir como anzuelo. Éstas servirán para enviar correos electrónicos a los contactos con archivos adjuntos, tomando como referencia los mensajes enviados anteriormente. Además, los destinatarios creerán que son legítimos porque los correos son de alguien que conocen.

Lo que no esperan es que, al abrir el documento adjunto, serán redirigidos a una supuesta página de inicio de sesión de Google. Dependerá de la ingenuidad y poca atención del usuario para caer en la trampa, ya que la única manera directa de saberlo es viendo la URL que aparece en la barra de direcciones.


Para ser específicos, la página de inicio de sesión de Google comienza con la dirección https://accounts.google.com/, pero una víctima de phishing podrá ver que la URL empieza con data:text/html, por lo cual los navegadores no pueden verificar si se trata de una página segura.

A veces los usuarios se darán cuenta que son víctimas de phishing porque la dirección carga una página con un archivo PDF incrustado, el cual en ocasiones los redirige a otra página diciéndoles que han cerrado sesión.
Si bien no es el único que debe prestar atención a este tipo de ataques, Google estaría considerando añadir un identificador de seguridad a las direcciones que comiencen con data: o blob:. Sin embargo, nada está decidido y por ahora la única forma de evitar ser víctimas de phishing es ver la URL en la barra de direcciones de cada página web de inicio de sesión.

Los atacantes inician sesión en su cuenta de forma inmediata una vez que llegan las credenciales, y utilizan uno de sus archivos adjuntos reales, junto con una de sus líneas de asunto, y la envían a las personas en su lista de contactos.
Por ejemplo, entraron en la cuenta de un estudiante, sacaron un archivo adjunto con un horario de práctica del equipo atlético, generaron la captura de pantalla y, a continuación, emparejados que con una línea de asunto que fue tangencialmente relacionado, y enviado por correo electrónico a los demás miembros del equipo atlético. "

Los atacantes acceden a su cuenta muy rápidamente. Puede ser automatizado o pueden tener un equipo de pie junto a las cuentas de proceso, ya que se ven comprometidos, una vez que tengan acceso a su cuenta, el atacante también tiene acceso completo a todos sus mensajes de correo electrónico enviados y recibidos incluyendo en este punto y puede descargar todo el lote.
Ahora que ellos controlan su dirección de correo electrónico, sino que también podría poner en peligro una amplia variedad de otros servicios que se utilizan mediante el mecanismo de restablecimiento de contraseña, incluidas otras cuentas de correo electrónico, los servicios SaaS que se utilicen y mucho más.
Lo que he descrito anteriormente es un ataque de phishing que se utiliza para robar nombres de usuario y contraseñas de Gmail. Se está utilizando en este momento con una alta tasa de éxito. Sin embargo, esta técnica se puede utilizar para robar las credenciales de muchas otras plataformas con muchas variaciones de la técnica básica.


¿Cómo protegerse contra este ataque de phishing?

" Compruebe la barra de dirección en su navegador para asegurarse de que está en el sitio correcto antes de firmar en la que eviten los ataques de suplantación de identidad que roban su nombre de usuario y contraseña.".

En el ataque anterior, que hizo exactamente eso y vio ' accounts.google.com ' en la barra de direcciones, por lo que siguió adelante y ha iniciado sesión.

Para protegerse contra ello, tiene que cambiar lo que está revisando en la barra de direcciones.
Esta técnica de phishing utiliza algo llamado un "URI de datos 'para incluir un archivo completo en la barra de direcciones del navegador. Al mirar hacia arriba en la barra de direcciones del navegador y ve 'data: text / html ....' que es en realidad una muy larga cadena de texto. Si ensancha hacia fuera la barra de dirección se ve así:


Hay una gran cantidad de espacio en blanco que he eliminado. Pero en el extremo derecho se puede ver el comienzo de lo que es un pedazo muy grande de texto. Esto es en realidad un archivo que se abre en una nueva pestaña y crea una página de acceso a Gmail falsa completamente funcional que envía sus credenciales para el atacante.
Hay una gran cantidad de espacio en blanco que he eliminado. Pero en el extremo derecho se puede ver el comienzo de lo que es un pedazo muy grande de texto. Esto es en realidad un archivo que se abre en una nueva pestaña y crea una página de acceso a Gmail falsa completamente funcional que envía sus credenciales para el atacante.
Como se puede ver en el extremo izquierdo de la barra de direcciones del navegador, en lugar de "https" que tiene "datos: text / html ', seguido de los habituales' https: //accounts.google.com.... '. Si usted no está prestando mucha atención va a ignorar los "datos: text / html 'preámbulo y asumir la dirección URL es seguro.

Usted probablemente está pensando que eres demasiado inteligente para caer en esto, resulta que este ataque ha alcanzado, o casi capturado varios usuarios técnicos que, o bien han twitteado, en blogs o comentarios al respecto. Hay una razón específica por qué esto es tan eficaz que tiene que ver con la percepción humana. Que describo en la siguiente sección.

¡Cómo protegerse!


Al iniciar sesión en cualquier servicio, compruebe la barra de direcciones del navegador y verificar el protocolo, a continuación, compruebe el nombre de host. Se debe tener este aspecto en Chrome al acceder a Gmail o Google:


Asegúrese de que no hay nada antes de que el nombre de host 'accounts.google.com' distinta 'https: //' y el símbolo de bloqueo. También debe tomar nota especial del color verde como símbolo de bloqueo que aparece a la izquierda. Si no puede verificar el protocolo y verificar el nombre de host, detenga y piense en lo que acaba de elecciones para llegar a la página de registro.

Habilitar autenticación de dos factores si está disponible en todos los servicios que utiliza. GMail llama a esto "2- verificación de paso" y se puede averiguar cómo habilitarlo en esta página, la habilitación de autenticación de dos factores hace que sea mucho más difícil para un atacante para acceder a un servicio que utilice, incluso si se las arreglan para robar su contraseña usando esta técnica. 

Me gustaría señalar que hay una cierta discusión que indica incluso autenticación de dos factores no puede proteger contra este ataque. Sin embargo, no he visto una prueba de concepto, así que no puedo confirmar esto.

 

¿Por qué Google no va a solucionar este problema y lo que debe hacer?


La respuesta de Google a un cliente:

"La barra de direcciones sigue siendo uno de los pocos componentes de interfaz de usuario de confianza de los navegadores y es el único que puede ser tomado como referencia en cuanto a qué origen son los usuarios que están visitando. Si los usuarios no prestan atención a la barra de direcciones, el phishing y el ataque de suplantación son - evidentemente - trivial. Desafortunadamente así es como funciona la web, y cualquier solución que tratar de detectar, por ejemplo, páginas de phishing en función de su aspecto sería fácilmente bypassable en cientos de formas. Los datos: parte URL aquí no es tan importante como usted podría tener una suplantación de identidad en cualquier página http [s] igual de bien ".

Google ha modificado el comportamiento de la barra de direcciones en el pasado para mostrar un color verde protocolo cuando una página está usando HTTPS y un icono de bloqueo para indicar que es seguro.


También utilizan una forma diferente de mostrar el protocolo cuando una página es insegura, marcándolo rojo con una línea a través de él:


Durante este ataque, un usuario no ve ni verde ni roja. Ellos ven el texto negro ordinario:


Es por ello que este ataque es tan eficaz. En el diseño de interfaz de usuario y en la percepción humana, elementos que están conectados por propiedades visuales uniformes son percibidos como más relacionados de lo que los elementos que no están conectados. En este caso los "datos: text / html" y el nombre de host de confianza son del mismo color. Eso sugiere que nuestra percepción de que están relacionados y los "datos: texto html / 'sea parte no importa o se puede confiar.
Lo que Google tiene que hacer en este caso es cambiar la forma de "datos: text / html 'se muestra en el navegador. Puede haber casos en los que sea seguro, por lo que podría utilizar un color ámbar con un icono único. Eso sería alertar a nuestra percepción de una diferencia y nos gustaría examinar más de cerca.
                                                                                        

Actualización: ¿Cómo comprobar si su cuenta ya está comprometida


Para utilizar esta función, vaya a la parte inferior de la bandeja de entrada y haga clic en "Detalles" (muy pequeño en la esquina inferior derecha de la pantalla). Esto le mostrará todas las sesiones activas, así como su historia reciente inicio de sesión. Si ve los inicios de sesión activa de fuentes desconocidas, puede obligar a cerrarlos. Si hay inicios de sesión en su historia de los lugares que no conoces, que puede haber sido hackeado

Actualización: Declaración oficial de Google

Esta es una actualización a las 11:30 pm PST el martes 17 de enero de 2017.

" Somos conscientes de este problema y continuar reforzando nuestras defensas contra ella. Ayudamos a proteger a los usuarios contra ataques de suplantación de identidad en una variedad de maneras, incluyendo: la detección basada en el aprendizaje automático de mensajes de phishing, Safe advertencias de navegación que notifican a los usuarios de los enlaces peligrosos en mensajes de correo electrónico y navegadores, que impiden la cuenta sospechosa inicios de sesión, y mucho más. Los usuarios también pueden activar la verificación en dos pasos para la protección de cuentas adicionales. "
Aaron Stein de Google Comunicaciones. 



Si necesita de mayor información de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.
Contáctanos en:
Mail:  ventas@SeguridadAmerica.com


Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com

Graciela Gonzalez












Fuente:








No hay comentarios.:

Publicar un comentario

Populares