Los nuevos ataques de "phishing" son capaces de burlar las direcciones de seguridad 'https'
La compañía de seguridad en Internet Hispasec alerta en su página web de que los estafadores de "phishing" ya son capaces de engañar a los usuarios incluso cuando estos ven que la dirección de la web es 'https', lo que indica que la página es segura. Ni siquiera el icono del candado que aparece en la parte inferior del navegador certifica ya que se encuentra en el servidor seguro del banco. Según el análisis de Hispasec, el 12 por ciento las páginas de los bancos españoles puede sufrir ataques de estas características.
(Libertad Digital) La denuncia de Hispasec echa por tierra la principal recomendación realizada por las entidades "online", expertos y asociaciones de internautas, que hasta el momento aconsejaban comprobar siempre que se estaba accediendo de forma segura al banco por Internet. Para ello, señalaban, debían consultar que la URL del navegador comenzara por "https://" seguido del nombre de la entidad y pinchar sobre el candado que aparece en la parte inferior del navegador para comprobar el certificado de seguridad.
Cumplir estos dos requisitos era suficiente para cerciorarse de que se estaba navegando en una web segura. Sin embargo, un estudio sobre "phishing avanzado" elaborado por Hispasec con el fin de prevenir futuras técnicas de ataques, ha detectado varios casos que hacen "inútiles las recomendaciones anteriores". Según afirma la compañía en su web, los estafadores aprovechan una vulnerabilidad "muy común en aplicaciones webs, como es el Cross-Site Scripting (XSS), para modificar el contenido de la web que el usuario visualiza en su navegador". Cuando se explota este error pueden llevarse a cabo ataques de "phishing" avanzados. "Este tipo de ataque permite al usuario comprobar el certificado de seguridad del web de la entidad que está visitando sin que pueda observar nada irregular", comentan desde Hispasec.
Esta nueva circunstancia reabre el debate de la seguridad de la banca en Internet. Sin embargo, aquellos que abogaban por que la responsabilidad recayera sobre los propios usuarios se han quedado sin argumentos. Por ello, desde Hispasec se propone que, ante "las implicaciones técnicas y de la dificultad que entrañaría
a los usuarios detectar este nuevo tipo de phishing", la responsabilidad de mantener la seguridad del sitio web recaiga sobre la entidad bancaria afectada debido a que es posible "llevarlo a cabo aprovechando vulnerabilidades en la programación de su web, y no se facilitan al usuario mecanismos adicionales para poder prevenir y detectar el fraude de forma sencilla".
No obstante, eso no evita que los usuarios deban extremar las precauciones, por ejemplo ignorando los enlaces a una entidad bancaria que lleguan a través de correo electrónico. "Para evitar este nuevo tipo de ataque se recomienda que los usuarios escriban de forma manual y directa la dirección web de su banco en el navegador", propone Hispasec.
Cumplir estos dos requisitos era suficiente para cerciorarse de que se estaba navegando en una web segura. Sin embargo, un estudio sobre "phishing avanzado" elaborado por Hispasec con el fin de prevenir futuras técnicas de ataques, ha detectado varios casos que hacen "inútiles las recomendaciones anteriores". Según afirma la compañía en su web, los estafadores aprovechan una vulnerabilidad "muy común en aplicaciones webs, como es el Cross-Site Scripting (XSS), para modificar el contenido de la web que el usuario visualiza en su navegador". Cuando se explota este error pueden llevarse a cabo ataques de "phishing" avanzados. "Este tipo de ataque permite al usuario comprobar el certificado de seguridad del web de la entidad que está visitando sin que pueda observar nada irregular", comentan desde Hispasec.
Esta nueva circunstancia reabre el debate de la seguridad de la banca en Internet. Sin embargo, aquellos que abogaban por que la responsabilidad recayera sobre los propios usuarios se han quedado sin argumentos. Por ello, desde Hispasec se propone que, ante "las implicaciones técnicas y de la dificultad que entrañaría
a los usuarios detectar este nuevo tipo de phishing", la responsabilidad de mantener la seguridad del sitio web recaiga sobre la entidad bancaria afectada debido a que es posible "llevarlo a cabo aprovechando vulnerabilidades en la programación de su web, y no se facilitan al usuario mecanismos adicionales para poder prevenir y detectar el fraude de forma sencilla".
No obstante, eso no evita que los usuarios deban extremar las precauciones, por ejemplo ignorando los enlaces a una entidad bancaria que lleguan a través de correo electrónico. "Para evitar este nuevo tipo de ataque se recomienda que los usuarios escriban de forma manual y directa la dirección web de su banco en el navegador", propone Hispasec.
En Tecnociencia
0
comentarios
Servicios
- Radarbot
- Libro