Herramienta definitiva para evitar ataques de phising

Después de este titular tan amarillista, viene la historia del triunfo de la concienciación en los usuarios y sobretodo, del sentido común.

Voy a poneros en situación: hace unos años, sugerí a mi padre que pidiera al banco una cuenta para operar por Internet. Inmediatamente, él vio las ventajas de la banca online: transferencias entre cuentas instantáneas, ver el saldo en el momento…

Como buen hijo, le di las recomendaciones de seguridad básicas:

  • Nunca acceder al banco pulsando sobre un enlace.
  • Buscar que el certificado de la web sea reconocido.
  • Que aparezca el candado en la barra inferior.
  • Nunca poner todas las coordenadas de la tarjeta.
  • Y por último, que usara el sentido común y que si veía algo extraño, que desconfiara.

Normalmente, con las tres primeras recomendaciones ya es suficiente para detectar páginas fraudulentas, pero ayer tuvo que utilizar por primera vez las dos últimas. Mi padre, como muchas tardes, se disponía a hacer un control sobre sus cuentas e hizo lo mismo que siempre hace, escribió en la barra del navegador http://www.ruralvia.com, luego visitó la página de acceso y se encontró con lo siguiente:

Mentalmente, comprobó los sistemas de seguridad: certificado,candado y que él había puesto la dirección. Así que introdujo su usuario, NIF y password e intentó acceder. Pero se encontró con lo siguiente:

El texto que se ve en la imagen (muy convincente) indicaba lo siguiente:

“Hemos mejorado mucho nuestro sistema de seguridad. Por eso tenemos que reactivar las tarjetas de coordenadas. Pedimos disculpas por las molestias temporales. Por favor, introduzca las siguientes coordenadas”

Una vez leído esto, le saltaron las alarmas y decidió dejar la consulta de las cuentas a un lado hasta que yo pudiera revisar el sistema. Gracias a ese sentido común, su dinero está intacto.

En la parte técnica, y a falta de un análisis mas exhaustivo, el troyano detectaba que el navegador se estaba conectando a la web del banco. En el proceso, inyectaba código javascript en la página html, y mediante estilos css, escondía todas las recomendaciones de seguridad que aparecen en la página original. También modificaba el botón de enviar para que apareciera la pantalla de las coordenadas, y por último, tenía un keylogger esperando a que se escribieran las coordenadas.

¿Cual es el gran problema? El problema era que realmente se estaba conectando a la página de ruralvia, y en el caso de poner el usuario y password correctos, aparecía la página original. Por esto el certificado era el correcto y aparecía el candado.

Ésta es la página original de ruralvia, comprueben las diferencias:

Para finalizar, recomendar a todos los lectores que usen el sentido común y desconfíen si notan la página diferente o ven alguna cosa extraña. Por lo demás, pasen un buen fin de semana.

Comments

  1. Por el texto que aparece se trata de un troyano tipo Zeus.

  2. Este tipo de casos y troyano es muy muy muy común y el comportamiento es el habitual. No veo que el articulo aporte algo nuevo sobre un tema harto trillado y cansino.

  3. Si, se trata de un Troyano Zeus que a dia de hoy solo es detectado por media docena de antivirus, asi que hay que tener cuidado.

  4. ¿Se te olvidó recomendarle a tu padre que se instalara y mantuviera actualizado un antivirus?.
    Creo que la seguridad no es algo que puedas compartimentar: phising, malware, adware, etc. Las diferencias son muy difusas. Además, tampoco se puede simplificar en un check list, y menos ser estática, sin revisiones o actualizaciones.
    La seguridad es una filosofía, un método de trabajo.

  5. David (#1), el artículo puede no aportar nada nuevo, pero no es, para nada, un tema trillado y cansino, especialmente para el público no especializado.

  6. @Rafa El antivirus estaba actualizado, y no detectó el troyano. Lo que pretendia transmitir con el articulo es exactamente lo que has dicho, que aunque los check list fallen (como en este caso), el sentido común es nuestra mejor arma contra los ataques, sobretodo para personas no técnicas.

  7. Concientizacion y Culturizacion, son mejor que cualquier antivirus con respecto al ejemplo esta muy bueno saludos y gracias por el aporte.

  8. pueden ver aqui

    http://aald.webatu.com/?p=163#more-163

    algo que estaba viendo hace un momento y son las 10 contraseñas mas usadas en la red, mucha gente no pone mucha atencion a esto para una contraseña es algo seria y debe ser inteligente a la hora de crear una

  9. Pero aunque tu padre hubiese dado las coordenadas en la página falsa, ¿qué hay de la responsabilidad del banco en que se puedan “robar” los datos de usuario, NIF y contraseña en su propia página https? (esos datos no se pedían en la página intrusa). Porque para acceder luego a la cuenta y poder operar, hay que disponer de esos tres datos, que a todas luces han sido insuficientemente protegidos en la página del banco ¿no?

  10. Periplo, el banco no tiene responsabilidad de ningún tipo, ya que todo el ataque se lleva a cabo en la parte del usuario. El banco puede poner innumerables medidas de protección, pero al final, si un equipo está infectado, hay muchas formas de acceder a la información que se transmite.

  11. Manuel, pero al banco cabe exigirle garantías de que el código de su página no pueda ser manipulado, ni para ocultar parte del código html ni, por supuesto, para que datos como la contraseña puedan ser capturados. Pienso que sí que hay responsabilidad legal por parte del banco en este tema. El usuario engañado puede introducir datos en la página intrusa y el banco alegar que la página no es suya, pero la realidad es que el usuario ha llegado a la página falsa a través de la página real del banco, no a través de ningún enlace extraño. De alguna manera, el banco ha “permitido” que su página sea manipulada por un tercero y esto induzca a engaño al usuario que accede a la página igual que lo ha hecho siempre. Eso por un lado. Y por otro, lo que planteaba al principio, que aunque el usuario introduzca datos en la página falsa, el banco debe garantizar que los que introduce en la suya real están a salvo de ser capturados por terceros.

  12. Tienes que tener en cuenta que la página a la que el usuario accede es totalmente válida, pero existe un programa intermedio, instalado en el equipo del usuario, que modifica la página para eliminar ciertos contenidos. No se puede responsabilizar al banco por la seguridad de los equipos de los usuarios.

    Dicho de otra forma, el banco no puede garantizar que los ficheros correspondientes a la página del banco y descargados por el navegador en el equipo del usuario no son modificados por el propio usuario o terceros. El banco puede implantar medidas para dificultar la suplantación o modificación no autorizada de su página, pero en último término, debe ser el usuario quien vele por la seguridad de su propio equipo.

    Piensa que hay otros medios de hacer esto. Por ejemplo, instalando un keylogger el usuario puede estar accediendo a la página legítima sin saber que un programa registra todas sus acciones. O de otra forma, modificando el DNS o introduciendo una entrada en Windows\System32\drivers\etc\hosts, de modo que tanto la URL como el contenido de la página serían 100% idénticos al de la página legítima.

Trackbacks

  1. […] This post was mentioned on Twitter by 4v4t4r, Security Art Work and David Lladro, David Lladro. David Lladro said: RT @Securityartwork: David Lladró acaba la semana con la herramienta definitiva contra ataques de Phishing: http://bit.ly/caMDVe (o nuevos troyanos, si quieren) […]

  2. […] Una de ellas consiste en inyectar elementos falsos en las páginas para solicitar información confidencial, esto sucede solamente en las computadoras de los usuarios infectados y suele ser difícil de detectar a simple vista (ver ejemplo de una página bancaria modificada). […]

  3. […] todos estos problemas hay ciertas salvaguardas, pero la principal herramienta de que disponemos es el sentido común y seguir unas buenas prácticas. Si no nos hace falta escanear cierto código, no lo hagamos y lo […]