Ataque «Browser in browser»: un nuevo esquema de phishing
Hablamos de un esquema astuto para robar contraseñas y cómo evitar que un sitio de phishing lo engañe.
Al menos así es como sucede casi siempre. Pero hoy hablaremos de un ataque que funciona de manera diferente: muestra a la víctima una dirección segura y perfectamente correcta. Sin embargo, vayamos en orden.
¿Por qué hay errores tipográficos en las direcciones de los sitios de phishing?
El hecho es que la dirección del dominio, la que vemos en la barra de direcciones, es única y siempre está «asignada» a un propietario. Para iniciar un sitio web, debe comunicarse con una organización especial que registra nombres de dominio: verificarán en la base de datos internacional si la dirección que ha elegido no está ocupada y, si es gratuita, la escribirán «para usted».
Como resultado, resulta que es imposible registrar un sitio falso con una dirección exactamente igual a la real. Puede iniciar un dominio que se parezca mucho al de otra persona, por ejemplo, en la zona .co de Colombia en lugar de la .ca canadiense. Pero si observa la dirección con cuidado, aún es fácil darse cuenta.
Por lo tanto, en lugar de registrar dominios, las mentes especialmente sofisticadas sugirieron dibujar la dirección correcta directamente en su página, ¡junto con la ventana del navegador!
El esquema de tal ataque, llamado «Browser in a Browser», fue descrito por un investigador de seguridad y pentester bajo el sobrenombre de mr.d0x. Llamó la atención sobre el hecho de que las herramientas modernas de creación de páginas web (herramientas HTML, CSS y JavaScript) le permiten representar casi cualquier cosa, desde campos de cualquier color y forma hasta animaciones que simulan elementos de interfaz en movimiento. Entonces, con su ayuda, puede dibujar una página completa de otra persona dentro de la suya.
Para el experimento, el investigador eligió ventanas emergentes de autenticación a través de un servicio de terceros. Debes haberte topado con ellos: aparecen cuando, en lugar de registrarte en algún sitio, seleccionas algo como «Iniciar sesión con Google» o «Iniciar sesión con Apple», etc. Esto es bastante conveniente: no necesita inventar y recordar una nueva contraseña, esperar enlaces o códigos de confirmación. Al mismo tiempo, dicho registro es bastante seguro: al usarlo, se abre la página del servicio, la contraseña para la que ingresa y el sitio al que ingresa de esta manera no la recibe ni siquiera por un tiempo.
Si la víctima hace clic en este botón, aparece una ventana de inicio de sesión familiar frente a él, por ejemplo, a través de Microsoft, Google o Apple, con la dirección correcta, el logotipo, los campos de entrada y todos los elementos habituales de la interfaz. La ventana puede incluso mostrar las direcciones correctas al pasar el mouse sobre el botón «Iniciar sesión» y el enlace «Olvidé mi contraseña».
El problema es que esta no es realmente una ventana separada: todo este esplendor se dibuja dentro de la página que intenta engañar al usuario. Y si ingresa su nombre de usuario y contraseña aquí, no se enviarán a Microsoft, Google o Apple, sino directamente al servidor del atacante.
Cómo entender que la ventana de entrada de contraseña es falsa
Aunque visualmente la ventana de autenticación fraudulenta no se delata, aún es posible identificar una falsificación.
Las ventanas de autenticación genuinas son ventanas del navegador y se comportan en consecuencia. Se pueden expandir a pantalla completa, minimizar y mover libremente por la pantalla. Los elementos falsos de la interfaz «pertenecen» a la página en la que se encuentran. Dentro de sus límites -es decir, dentro de la ventana del navegador- también pueden moverse libremente y bloquear botones e imágenes, pero no pueden salir “al exterior”. Esto te ayudará a reconocerlos.
Para comprobar si el formulario de inicio de sesión que tiene delante es falso, puede intentar lo siguiente:
- Minimice la ventana del navegador sobre la que apareció. Al mismo tiempo, la ventana real con el formulario de autenticación debe permanecer en la pantalla si es una ventana y no una pestaña, y esto es exactamente lo que este método intenta imitar.
- Mueva la ventana alrededor de la pantalla: muévala a la barra de direcciones y arriba; si la ventana es real, se superpondrá al marco superior del navegador.
Si la ventana con el formulario de autenticación se comporta de manera extraña: se minimiza junto con otra ventana, se detiene debajo de la barra de direcciones o se «desliza» debajo de ella, entonces no es real. Y no puede ingresar sus credenciales allí.
¿Podría ser más fácil de defender?
También hay buenas noticias. Aunque el ataque del navegador en el navegador no es tan fácil de reconocer con el ojo humano, la computadora no puede ser engañada con su ayuda. Después de todo, no importa lo que un sitio peligroso dibuje dentro de sí mismo, la dirección real sigue siendo la misma, y esto es exactamente lo que es importante para una solución de seguridad.
- Utilice un administrador de contraseña para todas las cuentas. Comprueba la dirección real de la página y nunca introducirá tus credenciales en los campos de un sitio desconocido, por muy similar que sea a algo conocido.
- Instale una solución de seguridad confiable con un módulo anti-phishing. También verifica la URL por usted y le advierte a tiempo si la página es peligrosa.
Y, por supuesto, no se olvide de la autenticación de dos factores. Enciéndalo siempre que sea posible, incluso en todas las redes sociales. Entonces, incluso si los atacantes roban sus credenciales, no podrán iniciar sesión en su cuenta sin un código de un solo uso, que no les llegará a ellos, sino a usted.
Para una protección más confiable de cuentas especialmente valiosas, es mejor usar tokens de hardware U2F (el representante más famoso es Yubikey). El sistema verifica no solo la dirección del recurso web, sino también su conocimiento de la clave de cifrado. Por lo tanto, no será posible llevar a cabo un sistema de autenticación de este tipo, incluso si el sitio original y su gemelo parecen dos gotas de agua.