Esta sofisticada técnica vuelve casi imposible detectar ataques de phishing
Nos lo han dicho innumerables ocasiones: antes de hacer clic en una página, debes revisar la URL. Lo primero es lo primero, el consejo probado pero no siempre infalible es que debemos verificar que la URL del sitio muestre ” https”. La presencia de HTTPS en una URL indica que el sitio está protegido con cifrado TLS/SSL .
Ojalá fuera tan fácil evitar los sitios de phishing. En realidad, la confiabilidad de las URLs no ha sido absoluta durante mucho tiempo. Esto debido a cosas como los ataques homógrafos que intercambian caracteres de apariencia similar para crear URLs nuevas con apariencia idéntica pero maliciosas. Asimismo, existen ataques como el secuestro de DNS, en el que subvierten las consultas del sistema de nombres de dominio (DNS).
Pero eso no es lo más peligroso. Ahora, hay una forma más de engañar a los objetivos para que entreguen información confidencial, con una artimaña de codificación que es invisible a simple vista. La novedosa técnica de phishing, descrita la semana pasada por el pentester e investigador de seguridad mr.d0x, se llama ataque de navegador en el navegador (browser-in-the-browser – BitB).
El nuevo método aprovecha las opciones de inicio de sesión único (SSO) de terceros integradas en sitios web. En estos casos los sitios web emiten ventanas emergentes para la autenticación, como “Iniciar sesión con Google”, Facebook, Apple o Microsoft.
El investigador usó Canva como ejemplo. En la ventana de inicio de sesión de Canva que se muestra a continuación, la ventana emergente pide a los usuarios que se autentiquen a través de su cuenta de Google.