Nuevo método de Phishing puede exponer tus datos privados.
El experto informático mr.d0x ha revelado una nueva técnica de Phishing que mediante el ataque BITB (Browser in Browser) permite el robo de tus datos privados.
El usuario mr.d0x ha revelado una nueva técnica de Phishing que puede estar afectándonos a todos en este momento.
Tal es el caso del ataque Browser in Browser, El cual mediante unas plantillas para los sitios más utilizados por los usuarios permitiría la suplantación de sitios genuinos para robar sus credenciales y con ello lograr el acceso a información privada.
El review de dicho ataque fue expuesto en un extenso artículo en el que el experto informático demuestra como llevar a cabo dicho ataque y que puede ser encontrado en el siguiente link Review de Mr.d0x y las plantillas para dicho ataque pueden ser descargadas en Github.
Cómo funciona el ataque
Cuando un usuario se auténtica en un sitio web a través de Google, Apple, Microsoft, etc se provee una ventana flotante en la que se debe proveer la autenticación deseada.
En la imagen anterior se muestra la ventana de autenticación para iniciar sesión dentro de Canvas.
El ataque ocurre al replicar mediante HTML/CSS la ventana como si fuera la genuina, se combina un iFrame que apunta al servidor del atacante junto con un diseño web similar al del sitio del que se desean obtener las credenciales haciendo casi indistinguible el ataque.La imagen más abajo muestra el ataque dirigido hacia Facebook.
Muy pocas personas podrían darse cuenta de que están siendo víctimas de un ataque.
Se puede utilizar fácilmente JavaScript para hacer que la ventana se muestre al hacer clic en un link o un botón.
Ejemplo
Superposición de ventanas.
Normalmente en una llamada legítima al servidor de autenticación debe lucir como este:
<a href="https://gmail.com">Google</a>
Pero si está JavaScript habilitado será muy difícil poder darse cuenta del ataque. En este caso quedaría de la siguiente forma:
<a href="https://gmail.com" onclick="return launchWindow();">Google</a> function launchWindow(){ // Launch the fake authentication window return false; // This will make sure the href attribute is ignored }
Conclusión
Con esta técnica el usuario objeto del ataque se convertirá en víctima del mismo al escribir la contraseña en dicha ventana.