Nuevo método de Phishing puede exponer tus datos privados.

Esteban Suárez

El usuario mr.d0x ha revelado una nueva técnica de Phishing que puede estar afectándonos a todos en este momento.

Tal es el caso del ataque Browser in Browser, El cual mediante unas plantillas para los sitios más utilizados por los usuarios permitiría la suplantación de sitios genuinos para robar sus credenciales y con ello lograr el acceso a información privada.

El review de dicho ataque fue expuesto en un extenso artículo en el que el experto informático demuestra como llevar a cabo dicho ataque y que puede ser encontrado en el siguiente link Review de Mr.d0x y las plantillas para dicho ataque pueden ser descargadas en Github.

Cómo funciona el ataque

Cuando un usuario se auténtica en un sitio web a través de Google, Apple, Microsoft, etc se provee una ventana flotante en la que se debe proveer la autenticación deseada.‌‌

Ventana de autenticación para iniciar sesión dentro de Canvas

El ataque ocurre al replicar mediante HTML/CSS la ventana como si fuera la genuina, se combina un iFrame que apunta al servidor del atacante junto con un diseño web similar al del sitio del que se desean obtener las credenciales haciendo casi indistinguible el ataque.‌‌

Ataque dirigido a Facebook

Se puede utilizar fácilmente JavaScript para hacer que la ventana se muestre al hacer clic en un link o un botón de esta manera muy pocas personas pueden darse cuenta de que estan siendo victimas de un ataque.

Superposición de ventanas.

Normalmente en una llamada legítima al servidor de autenticación debe lucir como este:

 

<a href="https://gmail.com">Google</a>

Pero si está JavaScript habilitado el ataque se haría de la siguiente forma:

 

 <a href="https://gmail.com" onclick="return launchWindow();">Google</a> function launchWindow()
{
  // Launch the fake authentication window return false; 
  // This will make sure the href attribute is ignored 
}

Conclusión

Con esta técnica el usuario objeto del ataque se convertirá en víctima del mismo al escribir la contraseña en dicha ventana.