Aza Raskin, un desarrollador de Mozilla, ha publicado un interesante artículo donde nos previene de una nueva posible forma de phishing o ingeniería social: El tabnabbing.
La idea de esta estafa cibernética es muy simple: Mientras el usuario explora la red abriendo múltiples pestañas en su navegador, una página maliciosa cambia su contenido mientras el usuario no está mirando. Para entenderlo bien, nada mejor que ver el siguiente vídeo.
A New Type of Phishing Attack from Aza Raskin on Vimeo.
Cuando el usuario no está visualizando la pestaña que contiene la web maliciosa, esta última aprovecha para cambiar su aspecto. En este ejemplo, cuando el usuario regresa a dicha pestaña, la página maliciosa tiene una apariencia similar a Gmail, lo que podría hacernos pensar que la sesión ha terminado por falta de actividad e inducir a más de uno de nosotros a introducir nuestro nombre de usuario y contraseña.
Fijaros que, aunque el aspecto de la página ha cambiado, la URL sigue siendo la misma, por lo que el engaño solo tendría éxito con usuarios de nivel limitado o si nos despistamos.
Este tipo de técnicas se pueden aplicar a diferentes tipos de web y su objetivo es el robo de contraseñas, datos bancarios, etc. Según Raskin, la mejor manera de evitar estos ataques sería cambiar a la autenticación basada en el navegador, que evitaría estas confusiones con URL falsas.
Ya sé que este tipo de entradas se desvía un poco de la temática habitual de Noticias Ubuntu, pero puesto que todos utilizamos navegadores con pestañas, me ha parecido oportuno compartirla.
En cualquier caso, es de agradecer que existan desarrolladores como Aza Raskin, los cuales se devanan los sesos para llamar nuestra atención sobre este tipo de cuestiones, incluso mucho antes de que a cualquier cracker del mundo se le haya ocurrido empezar a explotarlas.
De momento, esta técnica solamente funciona en Firefox y Google Chrome.
lunes, 31 de mayo de 2010
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario