Tendencias 21. Ciencia, tecnología, sociedad y cultura




Una nueva técnica de phising aumenta el riesgo de robo de datos por Internet

Trusteer advierte que ha descubierto vulnerabilidades en los principales navegadores que podrían producir “phishing” y ataques más adaptados


El grupo de investigación de la empresa de seguridad por Internet, Trusteer, ha informado de la aparición de un nuevo tipo de phising. Este grupo ha detectado una vulnerabilidad en una función de JavaScript de los principales buscadores que permite al estafador identificar a un usuario de una determinada página web comprometida. A partir de esta identificación recibiríamos un pop up personal y dirigido, que nos pediría información sobre nuestros datos personales, cuentas, etcétera. Por Juan R. Coca.




Una nueva técnica de phising aumenta el riesgo de robo de datos por Internet
Una nueva técnica de phising aumenta el riesgo de robo de datos por Internet
Trusteer, una empresa de seguridad en la red, ha anunciado recientemente la identificación de un nuevo método de ataque de phishing. Este sistema está diseñado para engañar a los usuarios a la hora de entregar información confidencial tras haber iniciado su sesión. Con el descubrimiento de este nuevo peligro saltan las alarmas en los usuarios de banca electrónica.

Suponga que quiere comprobar si se ha realizado un ingreso en su cuenta corriente. Accede a la página del banco, inserta las correspondientes claves pero, de golpe, la página envía un pop-up que le advierte que su sesión ha finalizado e insta al usuario a volver a introducir sus datos bancarios. En ese preciso momento, le acabamos de facilitar nuestros datos al hacker.

La banca electrónica, así como la banca móvil, son posibilidades muy interesantes para los usuarios. De hecho, como se ha informado previamente en esta revista, algo más de un 20% de los jóvenes estadounidenses ya emplean la banca móvil. El problema es que, además de ser una interesante opción para nosotros, también lo es para los estafadores que, a través del phishing, quieren apoderarse de nuestro dinero y datos.

Condiciones necesarias para el phising

Pese a la normal preocupación que trae consigo este tipo de información, es necesario advertir dos cosas. Primero, es necesario que el sitio web se encuentre en una situación comprometida, para que el ataque pueda ser efectivo. Segundo, el malware –introducido previamente en la base web de la entidad– debe tener la capacidad de identificar a la posible víctima conectada.

Tal y como advierte Trusteer, la primera condición es relativamente sencilla, ya que, según ellos, existen más de 2 millones de páginas webs comprometidas. Además, cada día se cuentan por cientos las nuevas páginas que pueden estar en peligro. La segunda condición, identificación del usuario que está conectado a una web, es algo mucho más complicado, aunque esta empresa advierte que no es imposible.

Qué es el phishing

El "phishing" es una estafa por Internet, cuyo objetivo fundamental es el obtener de los usuarios sus datos, claves, cuentas bancarias, etc. La idea de esta técnica es bastante sencilla. Consiste en suplantar la imagen corporativa de una empresa o entidad pública haciéndonos creer que le estamos dando nuestros datos al sitio oficial

La comisión de seguridad en la red de la Asociación de internautas, en su página web, nos dice que las cuatro formas más comunes por las que se produce el phishing son las siguientes.

A través de SMS a nuestro móvil solicitando los datos personales, a través de una llamadas de teléfono pidiendo que le facilitemos esa información, a través de la aparición de ventanas emergentes y el correo electrónico (que es el más conocido).

En nuestra pantalla aparecerá un mensaje personalizado que da la sensación de ser legítimo. Para ello, el estafador ha realizado una labor de información previa recopilando información en las web de redes sociales, así como en otros recursos posibles. De este modo, el mensaje que nos llega está muy dirigido y personalizado.

La nueva estafa

La novedad de este nuevo phising, informa el grupo de investigación de Trusteer, consiste en que el uso de los buscadores para comprobar si un usuario está o no conectado a un determinado sitio web.

La vulnerabilidad proviene de una función de JavaScript de los principales navegadores: Explorer, Firefox, Safari y Chrome. Cuando esta función se emplea, deja una huella temporal en el ordenador y cualquier otro sitio web puede identificarla. Precisamente, los sitios web de las redes sociales, de juegos, juegos de azar, instituciones financieras, etcétera utilizan esta función.

Con la intención de proteger a los usuarios, en este informe se hacen una serie de recomendaciones. La primera es implementar las herramientas de seguridad de nuestro navegador. La segunda es salir de la banca on line, de otras aplicaciones y de nuestras cuentas, antes de navegar por otros sitios web. La tercera, y básica, es la sospechar de todos los pop ups que nos aparezcan si no hemos hecho clic en un determinado hipervínculo.


Jueves, 22 de Enero 2009
Juan R. Coca
Artículo leído 5816 veces


Nota


Comente este artículo

1.Publicado por David el 22/01/2009 14:44
Muy agradecido con toda la información que nos brindan a diario, con su permiso divulgare sus artículos para hacerlos llegar a mas personas, en especial este articulo cuya información es importante para mantenernos al día con las amenazas de este tipo...

2.Publicado por OCEAN's el 23/01/2009 14:22
Conclusión:

* Configurar las interfaces de Internet para bloquear el 100% de las ventanas emergentes sin permiso (pop-ups)

* Ante una publicidad engañosa de tipo "pulse aquí" simulando formar parte del sitio anfitrión no-inteligente, realizar quejas masivas a los proveedores de esos sitios web de confianza (Redes sociales, facebook, hi5, etc., a los proveedores de juegos por internet, a los servicios online de bancos y cajas, etc.) para que realicen una limpieza y definan sus reglas de criterios éticos para la publicidad engañosa por Internet.

* Idem para las asociaciones de usuarios de Internet.

* Ser cauteloso.


Nuevo comentario:
Twitter

Los comentarios tienen la finalidad de difundir las opiniones que le merecen a nuestros lectores los contenidos que publicamos. Sin embargo, no está permitido verter comentarios contrarios a las leyes españolas o internacionales, así como tampoco insultos y descalificaciones de otras opiniones. Tendencias21 se reserva el derecho a eliminar los comentarios que considere no se ajustan al tema de cada artículo o que no respeten las normas de uso. Los comentarios a los artículos publicados son responsabilidad exclusiva de sus autores. Tendencias21 no asume ninguna responsabilidad sobre ellos. Los comentarios no se publican inmediatamente, sino que son editados por nuestra Redacción. Tendencias21 podrá hacer uso de los comentarios vertidos por sus lectores para ampliar debates en otros foros de discusión y otras publicaciones.

Otros artículos de esta misma sección
< >

Viernes, 21 de Octubre 2016 - 10:30 Edificios que diagnostican su propio estado interior

Lunes, 17 de Octubre 2016 - 10:30 Crean un dedal que permite oír a los sordos