Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/03/2013
10 anys de phishing: l’eficàcia de la simplicitat (i II)
Els atacs de phishing fa ja més de 10 anys que circulen, però en realitat no va ser fins 2003 que es van popularitzar. Contra entitats espanyoles, potser va ser un poc més tard. 10 anys després, el phishing continua funcionant pràcticament igual que quan va començar, i inclús algunes mesures per a donar-li credibilitat intentades durant esta última dècada han sigut descartades pels atacants en favor de la senzillesa... perquè no val la pena. Continua sent igual d’efectiu.
Més evolució
Els casos de pesca més "evolucionats" fan MitM (intermediari, home al mig). Consistix en el fet que la pàgina falsa arreplega el nom d'usuari i la contrasenya de l’usuari i els prova contra la web real del banc. Si no són vàlids, mostra un missatge d’error. Açò dóna realisme a la pesca, i inclús hui es continua usant, encara que només en els casos més sofisticats.
Cap a 2007, a mesura que les entitats bancàries implantaven les targetes de coordenades, els atacas de phishing simplement van començar a demanar totes les dades de la targeta. L’usuari, convençut que com més codis de la targeta es demanen, més consciència de seguretat mostra el banc ("com més contrasenyes més segur"), omplia de grat totes les coordenades. Esta tècnica continua sent amplíssimament usada hui en dia.
I, des de llavors, no s’han fet grans avanços tècnics. Puntualment, per a millorar la difusió, es van intentar atacs del tipus SMiShing (que va tindre un cert repunt en 2011), però el cost associat només és assumible per les màfies més consolidades. Consistia en l’enviament, en compte d’un correu brossa o de missatges en fòrums, d'un SMS amb l’enllaç al lloc fals.
Així que continua funcionant el simple fet de penjar un web semblant al del banc en alguna URL (en té igual el tipus, o si resulta o no pareguda a l’objectiu) i enviar per correu electrònic un suposat avís del banc que hi apunta. Els intents de millorar el sistema s’han quedat en el camí, i la base continua sent eficaç i barata per als atacants, que seguixen una economia d’esforç habitual en qualsevol mercat. De fet, fa poc publicàvem que el 66% dels atacs de pesca es pengen en pàgines compromeses, la qual cosa habitualment significa que les URL no s’assemblen gens ni miqueta a l’original i no es protegixen per SSL.
Contramesures
El curiós és que, a pesar que els atacants no han evolucionat, les contramesures per part dels "bons" sí que ho han fet, però cap no ha contrariat massa els phishers.
Llegiu la notícia completa en Hispasec.