Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/11/2012
Netcraft advertix del creixement de phishing basat en adjunts HTML
Els atacs de phishing es basen normalment en un vincle plantat en un missatge de correu electrònic intel·ligentment dissenyat per a convéncer els usuaris d’entregar les seues dades personals. No obstant això, en l’últim període, el nombre de fraus de pesca que utilitzen adjunts HTML ha augmentat considerablement, informa Netcraft.
Els experts han identificat recentment un atac de pesca que té com a objectiu als clients de Barclays.
Els correus electrònics tenen el text següent:
"Estimat client de Barclays OnlineSM:
Els servicis tècnics del Banc Barclays estan realitzant un manteniment de programari planificat. Et demanem encaridament que visites el formulari adjunt per a iniciar el procés de confirmació dels teus comptes en línia.
Per a començar, per favor descàrrega el formulari i seguix les instruccions en la pantalla.
Nota: Esta instrucció ha sigut enviada a tots els clients del banc i és obligatori seguir-la. Gràcies per la seua cooperació.
Salutacions
Siguen Gilchrist
Director de Banking Digital"
L’arxiu adjunt conté un formulari que demana als destinataris que escriguen el seu nom, data de naixement, número de telèfon bancari de cinc dígits, número de compte i codi de tipus de compte.
Quan es polsa el botó Actualitzar, tota la informació s’envia a un servidor web remot a través d’una sol·licitud POST.
Els experts creuen que els lladres preferixen adjuntar les seues pàgines web malicioses directament als correus electrònics perquè d’esta manera és menys probable que siguen bloquejades pels sistemes antipesca. A més, el contingut de l’arxiu adjunt és ofuscat per a impedir que les solucions de seguretat l'identifiquen com una amenaça.
Estos tipus d’estafes són anomenats atacs de pesca "drop site" perquè l’única URL implicada és la del lloc on es col·loca la informació robada.
"Estos llocs drop poden ser difícils de reconéixer sense el correu de pesca. Generalment, la pàgina de 'drop' simplement processa els detalls de la víctima i no proporciona cap indicació sobre la seua verdadera naturalesa. Alguns llocs d’este tipus readrecen a la pàgina web real de l’objectiu", va explicar Vince Zarola de Netcraft.
"Açò podria suscitar la sospita dels grups antipesca, però no pot proporcionar prou evidència perquè puguen bloquejar la direcció URL sense el correu adjunt".
No obstant això, estos atacs poden ser bloquejats per les solucions de seguretat si poden detectar la sol·licitud POST que s’utilitza per a enviar la informació robada als ciberdelinqüents.