SSL - Los ataques de phishing nunca van a pasar de moda
Los ataques de phishing nunca van a pasar de moda
A pesar que los inicios de sesión se han vuelto más restrictivos con
nuevos métodos de protección, los atacantes adaptan sus anzuelos para que los
usuarios de internet caigan en sus trampas.
Investigadores han descubierto una nueva técnica de phishing (víagHacks),
más elaborada que antes y la cual se asegura que hasta el usuario más precavido
ignore que está en peligro.
Primero los atacantes comprometen cuentas de Gmail para servir como anzuelo. Éstas
servirán para enviar correos electrónicos a los contactos con archivos
adjuntos, tomando como referencia los mensajes enviados anteriormente. Además,
los destinatarios creerán que son legítimos porque los correos son de alguien
que conocen.
Lo que no esperan es que, al abrir el documento adjunto, serán
redirigidos a una supuesta página de inicio de sesión de Google. Dependerá de la
ingenuidad y poca atención del usuario para caer en la trampa, ya que la única
manera directa de saberlo es viendo la URL que aparece en la barra de
direcciones.
Para ser específicos, la página de inicio de sesión de Google comienza
con la dirección https://accounts.google.com/, pero una víctima de phishing podrá ver que la URL empieza con data:text/html,
por lo cual los navegadores no pueden verificar si se trata de una página
segura.
A veces los usuarios se darán cuenta
que son víctimas de phishing porque la dirección carga una página con un
archivo PDF incrustado, el cual en ocasiones los redirige a otra página diciéndoles
que han cerrado sesión.
Si bien no es el único que debe prestar atención a este tipo de ataques, Google estaría considerando añadir un identificador de seguridad a
las direcciones que comiencen con data: o blob:.
Sin embargo, nada está decidido y por ahora la única forma de evitar ser
víctimas de phishing es ver la URL en la barra de direcciones de cada página
web de inicio de sesión.
" Los atacantes inician sesión en su cuenta de
forma inmediata una vez que llegan las credenciales, y utilizan uno de sus
archivos adjuntos reales, junto con una de sus líneas de asunto, y la envían a
las personas en su lista de contactos.
Por
ejemplo, entraron en la cuenta de un estudiante, sacaron un archivo adjunto con
un horario de práctica del equipo atlético, generaron la captura de pantalla y,
a continuación, emparejados que con una línea de asunto que fue tangencialmente
relacionado, y enviado por correo electrónico a los demás miembros del equipo
atlético. "
Los atacantes acceden a su cuenta muy
rápidamente. Puede ser automatizado o pueden tener un equipo de pie junto
a las cuentas de proceso, ya que se ven comprometidos, una vez que tengan
acceso a su cuenta, el atacante también tiene acceso completo a todos sus
mensajes de correo electrónico enviados y recibidos incluyendo en este punto y
puede descargar todo el lote.
Ahora que ellos controlan su dirección de correo
electrónico, sino que también podría poner en peligro una amplia variedad de
otros servicios que se utilizan mediante el mecanismo de restablecimiento de
contraseña, incluidas otras cuentas de correo electrónico, los servicios SaaS
que se utilicen y mucho más.
Lo que he descrito anteriormente es un ataque de
phishing que se utiliza para robar nombres de usuario y contraseñas de
Gmail. Se está utilizando en este momento con una alta tasa de
éxito. Sin embargo, esta técnica se puede utilizar para robar las
credenciales de muchas otras plataformas con muchas variaciones de la técnica
básica.
¿Cómo
protegerse contra este ataque de phishing?
" Compruebe la barra de dirección en su
navegador para asegurarse de que está en el sitio correcto antes de firmar en
la que eviten los ataques de suplantación de identidad que roban su nombre de
usuario y contraseña.".
En el ataque anterior, que hizo exactamente eso y
vio ' accounts.google.com ' en la barra de direcciones, por lo
que siguió adelante y ha iniciado sesión.
Para protegerse contra ello, tiene que cambiar
lo que está revisando en la barra de direcciones.
Esta técnica de phishing utiliza algo llamado un
"URI de datos 'para incluir un archivo completo en la barra de direcciones
del navegador. Al mirar hacia arriba en la barra de direcciones del
navegador y ve 'data: text / html ....' que es en realidad una muy larga cadena
de texto. Si ensancha hacia fuera la barra de dirección se ve así:
Hay una gran cantidad de espacio en blanco que he
eliminado. Pero en el extremo derecho se puede ver el comienzo de lo que
es un pedazo muy grande de texto. Esto es en realidad un archivo que se
abre en una nueva pestaña y crea una página de acceso a Gmail falsa
completamente funcional que envía sus credenciales para el atacante.
Hay una gran cantidad de espacio en blanco que he eliminado. Pero en el extremo derecho se puede
ver el comienzo de lo que es un pedazo muy grande de texto. Esto es en realidad un archivo que se
abre en una nueva pestaña y crea una página de acceso a Gmail falsa
completamente funcional que envía sus credenciales para el atacante.
Como se puede ver en el extremo izquierdo de la barra de direcciones del
navegador, en lugar de "https" que tiene "datos: text / html ',
seguido de los habituales' https: //accounts.google.com.... '. Si usted no está prestando mucha
atención va a ignorar los "datos: text / html 'preámbulo y asumir la dirección
URL es seguro.
Usted probablemente está pensando que eres demasiado
inteligente para caer en esto, resulta que este
ataque ha alcanzado, o casi capturado varios usuarios técnicos que, o bien
han twitteado, en blogs o comentarios al
respecto. Hay una razón
específica por qué esto es tan eficaz que tiene que ver con la percepción
humana. Que describo en la
siguiente sección.
¡Cómo protegerse!
Al iniciar sesión en
cualquier servicio, compruebe la barra de direcciones del navegador y verificar
el protocolo, a continuación, compruebe el nombre de host. Se
debe tener este aspecto en Chrome al acceder a Gmail o Google:
Asegúrese de que no
hay nada antes de que el nombre de host 'accounts.google.com' distinta 'https:
//' y el símbolo de bloqueo. También
debe tomar nota especial del color verde como símbolo de bloqueo que aparece a
la izquierda. Si no puede verificar el protocolo y verificar el
nombre de host, detenga y
piense en lo que acaba de elecciones para llegar a la página de registro.
Habilitar
autenticación de dos factores si está disponible en todos los servicios que
utiliza. GMail llama a esto
"2- verificación de paso" y se puede averiguar cómo habilitarlo en
esta página, la habilitación de autenticación de dos factores hace que
sea mucho más difícil para un atacante para acceder a un servicio que utilice,
incluso si se las arreglan para robar su contraseña usando esta técnica.
Me gustaría señalar
que hay una cierta discusión que indica incluso autenticación de
dos factores no puede proteger contra este ataque. Sin embargo, no he visto una prueba de
concepto, así que no puedo confirmar esto.
¿Por qué Google no va a solucionar este problema y lo que debe hacer?
La
respuesta de Google a un cliente:
"La barra de direcciones
sigue siendo uno de los pocos componentes de interfaz de usuario de confianza
de los navegadores y es el único que puede ser tomado como referencia en cuanto
a qué origen son los usuarios que están visitando. Si los usuarios no
prestan atención a la barra de direcciones, el phishing y el ataque de
suplantación son - evidentemente - trivial. Desafortunadamente así es como funciona la web, y cualquier solución que
tratar de detectar, por ejemplo, páginas de phishing en función de su aspecto
sería fácilmente bypassable en cientos de formas. Los
datos: parte URL aquí no es tan importante como usted podría tener una
suplantación de identidad en cualquier página http [s] igual de bien ".
Google ha modificado
el comportamiento de la barra de direcciones en el pasado para mostrar un color
verde protocolo cuando una página está usando HTTPS y un icono de bloqueo para
indicar que es seguro.
También utilizan una
forma diferente de mostrar el protocolo cuando una página es insegura,
marcándolo rojo con una línea a través de él:
Durante este ataque,
un usuario no ve ni verde ni roja. Ellos
ven el texto negro ordinario:
Es por ello que este
ataque es tan eficaz. En el
diseño de interfaz de usuario y en la percepción humana, elementos
que están conectados por propiedades visuales uniformes son percibidos como más
relacionados de lo que los elementos que no están conectados. En
este caso los "datos: text / html" y el nombre de host de confianza
son del mismo color. Eso sugiere
que nuestra percepción de que están relacionados y los "datos: texto html
/ 'sea parte no importa o se puede confiar.
Lo que Google tiene
que hacer en este caso es cambiar la forma de "datos: text / html 'se
muestra en el navegador. Puede
haber casos en los que sea seguro, por lo que podría utilizar un color ámbar
con un icono único. Eso sería
alertar a nuestra percepción de una diferencia y nos gustaría examinar más de
cerca.
Actualización: ¿Cómo
comprobar si su cuenta ya está comprometida
Para
utilizar esta función, vaya a la parte inferior de la bandeja de entrada y haga
clic en "Detalles" (muy pequeño en la esquina inferior derecha de la
pantalla). Esto le mostrará todas las sesiones activas, así como su
historia reciente inicio de sesión. Si ve los inicios de sesión activa de
fuentes desconocidas, puede obligar a cerrarlos. Si hay inicios de sesión
en su historia de los lugares que no conoces, que puede haber sido hackeado
Actualización: Declaración
oficial de Google
Esta es una actualización a las 11:30 pm PST el martes 17 de enero de
2017.
" Somos
conscientes de este problema y continuar reforzando nuestras defensas contra
ella. Ayudamos a proteger a los usuarios contra ataques de
suplantación de identidad en una variedad de maneras, incluyendo: la detección
basada en el aprendizaje automático de mensajes de phishing, Safe advertencias
de navegación que notifican a los usuarios de los enlaces peligrosos en
mensajes de correo electrónico y navegadores, que impiden la cuenta sospechosa
inicios de sesión, y mucho más. Los usuarios también pueden activar la verificación
en dos pasos para la protección de cuentas adicionales. "
Aaron Stein de Google Comunicaciones.
Si necesita de mayor información de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.
Contáctanos en:
Mail: ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com
Visitemos en: www.seguridadamerica.com
Graciela Gonzalez |
Fuente:
Comentarios
Publicar un comentario