28 de mayo de 2010

Nueva forma de Phishing: Tab-nabbing

Extremadamente peligrosa por su novedosa forma de engañar al usuario el "Tab-nabbing" o captura de pestañas ha llegado al vecindario de los ataques de phishing, mostrándo a quienes creían que los filtros anti-phishing habían terminado con el problema del abuso de esta técnica de robo de credenciales que aún falta mucho por hacer.

Esta nueva modalidad, se basa como primer orden en la infección de sitios con vulnerabilidades de cualquier tipo que permitan insertar código javascript en sus páginas. Desde un simple abuso de FTP por fuerza bruta, hasta técnicas avanzadas de Cross Site Scripting (XSS) son algunas de las herramientas de siempre para infectar sitios que no tienen las medidas de seguridad necesarias o cuyos programadores han descuidado la desinfección de los datos que reciben en formularios y otro tipo de entradas de información.

Esto desde ya lo hace muy peligroso, ya que el problema principal es que ya no se usa el e-mail como vector de ingreso. El usuario en este caso simplemente visitará un sitio que conoce como legal, pero que se encuentra infectado.

La técnica a partir es muy creativa e innovadora y se apoya en el constante uso por todos nosotros de múltiples pestañas o "tabs" de navegación. Mientras cargamos una cosa esperamos por otra y así ya nos hemos acostumbrado a hacer de las pestañas una de las más usadas herramientas del navegador.

En pasos cortos y sencillos la estafa sucede de la siguiente manera:

  1. El usuario navega en una pestaña el sitio infectado el cual se comporta normalmente como siempre sin levantar sospecha.
  2. Una vez que decide dejarlo y abrir otra pestaña, el javascript que infesta el sitio infectado empieza a escanear el historial de navegación.
  3. Cuando el javascript del sitio infectado identifica que ha sido navegada la página original que el atacante intenta simular, sin que el usuario se de cuenta cambia la página infectada que está en la pestaña que se ha dejado atrás por la página de phishing. 
  4. Como si esto fuera poco, extrae el icono pequeño que el sitio original usa para identificar sus pestaña (favicon.gif) y lo coloca junto con el título nuevo en la pestaña que contiene la página fraudulenta. Todo esto mientras el usuario navega en otra pestaña.
  5. El usuario en algún momento regresa a la pestaña en donde está la página fraudulenta pero como la ventana ya ha sido abierta y revisada con anterioridad rara vez se fija en la dirección de la misma o en el certificado y asume que ha navegado una pestaña de más o que su sesión con el sitio original ha caducado.
  6.  El usuario inserta el código de acceso y su clave sin problemas. Como en muchos casos la sesión del sitio original no muere hasta cerrar el navegador, la página fraudulenta lo redirige hacia el sitio original sin que el suaurio se entere que le han robado los datos y sin que quede rastro visible en el navegador a menos que se vaya a ver directamente a verificar el historial de navegación.
¿Que les parece?

A continuación les coloco un enlace a un vídeo que aunque está en inglés muestra de forma sencilla el proceso. Fíjense bien como cambia el icono de la pestaña mientras el usuario navega otra.

Aunque creo que ya han entendido la técnica y la gravedad de la misma, voy a explicarles porqué es tan peligrosa:
  • El sitio atacante solo aparece si el usuario navega en otra pestaña el sitio original. Esto hace que los ataques sean mucho más certeros.
  • La página atacante por la misma razón será denunciada más tarde, es decir tendrá más tiempo de vida útil y por ende los filtros ant-phishing la indexarán más tarde.
  • Es una técnica totalmente nueva, o que hace que exista una ventana de oportunidad para el ataque mayor.
  • Las vulnerabilidades de los sitios comunes son muchas, por lo que conseguir sitios para sembrar el código en javascript que procesa el ataque es muy fácil. Como prueba hace unos meses unos hackers rusos infectaron una media de 2 millones de sitios para efectos de generar tráfico en sitios que pagaron sus servicios.
Hasta la próxima.

Entradas populares