Se ha expuesto un nuevo método para ocultar la verdadera ubicación de un sitio web a los usuarios del navegador web móvil Chrome.
En una publicación en su blog personal el sábado, el investigador de seguridad James Fisher dijo que los phishers pueden engañar a los usuarios para que entreguen sus credenciales en sitios legítimos a operadores de sitios maliciosos.
Fisher explicó que los estafadores pueden aprovechar la capacidad de Mobile Chrome para ocultar la barra de direcciones cuando un usuario se desplaza por una página web insertando una barra de direcciones que permite que los sitios web falsos se hagan pasar por sitios legítimos, como sitios bancarios.
Peor aún, los estafadores pueden crear una «cárcel de desplazamiento» en la que los usuarios no pueden ver la URL real de una página incluso si se desplazan hasta la parte superior.
«Los usuarios creen que se están desplazando hacia arriba en una página», escribe Fisher, «¡pero en realidad se están desplazando hacia arriba en una cárcel de desplazamiento! Como un sueño en Inception, los usuarios creen que están en su navegador, pero no están realmente desplazándose hacia arriba». cárguelos en el navegador en el navegador».
Tabla de Contenidos
pedazo de pastel
Si bien el descubrimiento de Fisher no es una buena noticia para los consumidores, parece ser un contratiempo porque la URL real de una página web aparecerá inicialmente en la barra de direcciones, señaló el director de Mac & Mobile, Thomas Reed. malwarebytesun fabricante de software de ciberseguridad con sede en Santa Clara, California.
«Se necesita un conjunto muy específico de comportamientos de los usuarios para que funcione», dijo a TechNewsWorld. «Sin embargo, puedo ver que algunas personas muestran estos comportamientos, por lo que definitivamente es un problema».
Sin embargo, «no creo que sea una amenaza grave porque los usuarios solo necesitan prestar atención a la barra de URL cuando visitan el sitio por primera vez», dijo Reed. «Honestamente, no creo que vaya a ser ampliamente utilizado, si es que alguna vez».
Señaló que los ataques homógrafos son mucho más fáciles para las personas que suplantan información personal. En este tipo de ataque, los estafadores toman el nombre de dominio y reemplazan caracteres que a primera vista se asemejan a los caracteres originales. Por ejemplo, puede reemplazar la letra «O» con cero o la letra «l» con uno.
Cameron Palan, analista senior de investigación de amenazas en Webroot, una firma de seguridad de Internet en Broomfield, Colorado, dijo que el ataque que Fisher describió fue una demostración de prueba de concepto en lugar de algo en el juego de herramientas de un pirata informático.
«Este no es un ataque que se encuentre en la naturaleza, y si Chrome se actualiza rápidamente, es posible que nunca afecte a los usuarios», dijo a TechNewsWorld.
Google, propietario del navegador Chrome, no respondió a nuestra solicitud de comentarios para esta historia.
Bajo ROI para los piratas informáticos
El investigador principal de seguridad, Jonathan Tanner, dice que es poco probable que esta táctica de phishing represente una amenaza significativa para los consumidores. Barracuda Redescon sede en Campbell, California.
«La capacidad técnica y el tiempo requerido para lograr esto con éxito harán que sea poco probable que se vea mucho en la naturaleza, y Google, y posiblemente otros fabricantes de navegadores, sin duda lo verán antes de que se convierta en un parche común para las páginas de phishing. ”, dijo a TechNewsWorld.
«Dudo que las recompensas de implementar este enfoque valgan el trabajo», dijo. «Es poco probable que esta técnica por sí sola resulte en un aumento significativo en el seguimiento de los usuarios phishing».
A diferencia de algunos ataques de navegador, esto no se basa en vulnerabilidades, observó Mounir Hahad, director de Threat Labs. Redes de enebrouna empresa de ciberseguridad y rendimiento con sede en Sunnyvale, California.
«Es una artimaña», dijo a TechNewsWorld.
«No hay forma de forzar una descarga de contenido malicioso, activar la ejecución remota de código o cualquier actividad maliciosa», dijo Haad.
«Es solo un truco visual que podría hacer que algunas personas crean que están visitando un sitio web diferente al que realmente están visitando», continuó.
Hahad señaló que este tipo de travesuras no tiene por qué limitarse a Chrome móvil. «Otros navegadores y otros sistemas operativos tienen diferentes implementaciones que pueden permitir versiones menos sofisticadas de este truco».
los consumidores se protegen
Aunque el ataque a la barra de direcciones falsa está diseñado para ser encubierto, los consumidores alertas pueden reconocerlo.
«Los consumidores pueden reconocer este tipo de ataque cuando el sitio web en la barra de direcciones cambia inesperadamente después de desplazarse hacia abajo en una página web y no parece responder a las interacciones como se esperaba», explicó Hahad.
«Toca una barra para probarla», agrega Palan de Webroot. «Los falsos son inútiles. Además, el recuento de etiquetas actual que se muestra en la barra falsa puede no ser el mismo que su propio recuento de etiquetas».
Una vez que los usuarios comienzan a desplazarse hacia abajo en la página, puede ser difícil distinguir los navegadores falsos de los reales, dice el defensor de la privacidad Paul Bischoff. comparar tecnologíaun sitio web de revisión, asesoramiento e información sobre productos de seguridad para el consumidor con sede en Maidstone, Kent, Reino Unido.
«La mejor manera de detectar una falsificación es anotar la URL de la página real antes de desplazarse hacia abajo», dijo a TechNewsWorld.
Tanner de Barracuda advierte que los consumidores deben tener cuidado con los enlaces a las pantallas de inicio de sesión.
«Mejor aún, ingrese manualmente la URL completa y correcta de cualquier sitio en el que desee iniciar sesión. Esto debería ser suficiente para que los usuarios se protejan», aconseja.
«Si bien es novedoso, este ataque no es particularmente significativo y es poco probable que se use mucho en la naturaleza, por lo que las medidas generales de seguridad deberían ser suficientes», agregó Tanner.
Problema creciente
Sería un poco anómalo que las barras de direcciones falsas como las describió Fisher se hicieran populares en los círculos de phishing.
«La mayoría de las campañas de phishing son independientes de la plataforma», dijo Bischoff. «No importa si los encuentra en un dispositivo móvil o en una computadora de escritorio».
Reed de Malwarebytes señaló que los ataques de phishing son muy comunes en los dispositivos móviles.
«Sin embargo, una ventaja para los usuarios de dispositivos móviles es la disponibilidad de aplicaciones para la mayoría de los sitios que los atacantes quieren suplantar», dijo.
«Por ejemplo, si es cliente de Bank of America, es más probable que use la aplicación de Bank of America en su dispositivo móvil que el sitio web de Bank of America», señaló Reid.
“Sin embargo, si los atacantes logran que los usuarios móviles hagan clic en un enlace, aún pueden atrapar a una gran cantidad de víctimas”, dijo.
El analista de amenazas Jonathan Olivera explica que los ataques de phishing dirigidos a dispositivos móviles pueden estar en aumento debido al rápido crecimiento de la industria. red centrípetaun proveedor de soluciones de ciberseguridad con sede en Heddon, Virginia.
«Los malos siempre irán tras las áreas con más usuarios», dijo a TechNewsWorld.
«Los desarrolladores de aplicaciones y plataformas móviles tienen un incentivo para producir tantos productos como sea posible para satisfacer a su base de usuarios», dijo Oliveira, «y esto lleva a que muchos de estos productos tengan vulnerabilidades de seguridad».