26 de noviembre de 2008

Los Fuzzy URLs y el Phishing

Dentro de la lista de vulnerabilidades que normalmente existen en los sitios cuyos usuarios han sido victimas de phishing se encuentra una que aunque muy simple, es culpable en gran parte de que los ataques de phishing sean más eficientes.

Ya que lo más importante a la hora de hacer el phishing (desde el punto de vista del atacante) es ocultar la verdadera dirección a donde se está enviando al usuario al hacer clic, una de las técnicas más comunes es la del uso del "fuzzy URL" o lo que serían direcciones muy parecidas en las que una simpe letra puede ser colocada en otra posición o reemplazada por otra parecida.

Por ejemplo:

WWW.MIBANCO.COM puede ser reemplazado por
WWW.MIBANC0.COM o por
WWW.MlBANCO.COM

¿Dónde está la diferencia? ¿Puede el ojo del usuario convencional verificar la diferencia?
La verdad no es fácil, incluso para el usuario experimentado. Además recuerde que cuando se muestran en el la barra de dirección estas variantes no se pueden comparar una al lado de la otra. En el primer caso hemos reemplazado la "O" con un cero y en el segundo la "i" mayúscula con una "L" minúscula (las escribo precisamente al revés ahora para que pueda apreciar la diferencia).

Este tipo de cambios es muy normal en los dominios de los phishers, sin embargo hay otros casos interesantes de los que debemos tener cuidado.

Normalmnete se peude leer perfectamnete un tetxo si se manteinen la cantdiad de lertas de cada palbara y la priemra y últmia lerta de cada una, como etse ejemlpo lo demeustra...

Por tanto aunque no sea tan evidente como en el ejemplo anterior (y esa es precisamente la ventaja) se puede confundir con facilidad por ejemplo www.soficredito.com con www.socifredito.com ¿Cierto?

Lo anterior solo demuestra que una protección simple de las empresas para proteger a sus usuarios contra el phishing debe ser el adquirir una serie de dominios (al costo actual no es gran esfuerzo y menos para un banco) para evitar que los phishers los usen. Normalmente no pasan de 3 o 4 variantes por dominio que al costo actual no son más de 35 a 40 dólares anuales.

Es importante recordar que la seguridad no debe depender de una gran super solución ya que en caso de que esta fuese violada el sistema quedaría completamente indefenso, sino por el contrario debe conformarse de una serie de soluciones eficientes que entorpezcan el camino del atacante.



No hay comentarios.:

Entradas populares