Los trucos para hacer caer a los usuarios y robarles información son cada vez más ingeniosos y peligrosos. En este caso, Aza Raskin, un desarrollador de Mozilla, descubrió una nueva forma de phishing muy efectiva que realmente da miedo.
Si bien es difícil culpar a los navegadores de no proteger del phishing a los usuarios, ya que son éstos los que voluntariamente entregan su información (claro que sin darse cuenta), el tabnagging explota algunos huecos de seguridad de Firefox y Chrome para poder conseguir su objetivo.
Cómo funciona el ataque:
- El usuario accede a un sitio que parece normal.
- A través de un Javascript oculto en esa página, se detecta el momento en que el usuario se puso a ver otras pestañas abiertas y luego de pasados unos segundos sin que vuelva a abrir aquella pestaña…
- Se remplaza el favicon (ese ícono que identifica a las páginas abiertas) con el de Gmail y le cambia el título a la pestaña por «Gmail: Email from Google», y la página cambia su aspecto por uno muy similar al de Gmail. Todo esto sucede en un segundo, sin que el usuario se de cuenta ya que está concentrado mirando otras pestañas.
- Entonces, como el usuario tiene muchas pestañas abiertas, el ícono y el título de Gmail actúan como un anzuelo muy poderoso. Nuestra memoria es muy maleable y débil, especialmente cuando nuestra atención no estaba puesta en ello. Por eso, al ver una pestaña de Gmail, el usuario asume que fue «deslogueado» y va a proveer muy contento toda su información de login, claro que en una página que no es Gmail, aunque se le parece mucho.
- Después de que el usuario ingresó toda su información de login, y que ésta se envió al servidor del hacker, se redirige al usuario a la página de Gmail verdadera para que no sospeche nada.
En definitiva, el usuario entregó toda su información sin darse cuenta.
Para más información sobre esta nueva técnica de phishing les recomiendo visitar la página de Aza Raskin, el desarrollador de Mozilla que descubrió esta nueva «vulnerabilidad» que afecta tanto a Chrome como a Firefox. Allí también van a poder ver cómo funciona esto «en vivo».
La solución
Según el desarrollador de esta nueva técnica, esta nueva «debilidad» no es más que otra prueba de lo importante que es que Firefox incorpore un administrador de cuentas que se haga cargo de toda nuestra información de login sin que tengamos que ingresar manualmente estos datos cada vez.
Por suerte, este administrador ya está disponible como add-on experimental y, aparentemente, será incluido en las versiones de Firefox venideras.
Visto en: usemoslinux.blogspot.com
Sé el primero en comentar