Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/11/2011
Problema greu en tots els navegadors moderns podria obrir les portes al Phishing
Utilitzant algunes propietats especials dels enllaços (anchors) de HTML, és possible enganyar completament un usuari fent-li creure que està en un altre domini, inclús si este usuari comprova la URL abans d'introduir els seus credencials. L'atac consistix a crear un enllaç que apunta a gmail (per exemple) i una vegada l'usuari està interactuant amb gmail, és possible "segrestar" la pestanya/finestra del navegador i substituir la web que està veient per una còpia falsa, en qüestió de milisegons i sense que l'usuari veja res.
Una de les coses que més preocupa als usuaris d'internet, de hui en dia, és la phishing. Hi ha centenars de pàgines web que imiten la portada de PayPal, eBay, pàgines de banca electrònica, etc.
Històricament, este tipus de pàgines han fet ús de tots els mecanismes possibles per a enganyar l'usuari i fer-li creure que està en una pàgina legitima i que ha d'introduir les seues credencials. Una tècnica habitual hui en dia és el tabnabbing, que consistix a carregar una pàgina normal i corrent, amb un bloc (blog) per exemple, i quan la pàgina perd el focus, reemplaçar-la per una pàgina idèntica a gmail, amb favicon inclòs.
La carrera per la ciberpesca (phishing) ha arribat a tal punt, que els estafadors han desenrotllat tot un arsenal de trucs bruts i rebuscats per a fer-nos creure que estem en gmail.com i no en una web que el suplanta.
Una manera habitual utilitzada pels usuaris (i quasi l'única per a un usuari de peu) de comprovar que estan interactuant amb gmail.com i no amb una web que el suplanta, és comprovar la barra d'adreces (URL).
Comprovar la URL per a veure que el domini coincidix abans d'introduir els credencials sol ser una bona idea; tanmateix, durant la investigació d'un error de programació (bug), molt estrany en una pàgina web (no relacionat amb tot açò), se m'ha ocorregut una manera curiosa i enginyosa d'enganyar a l'usuari, inclús si este comprova la URL.
El truc es pot fer-se a partir d’una funcionalitat “poc” coneguda de HTML. En HTML és possible enllaçar a una pàgina en un altre domini i forçar que s'òbriga en una finestra/pestanya nova. Quan l'usuari fa clic en l'enllaç, s'obri una nova finestra o pestanya (depén de la configuració) amb la web enllaçada.
No obstant això, l'etiqueta anchor (la que proporciona els enllaços) té un atribut anomenat ‘objectiu’ que servix per a especificar quina forma es va a obrir en este enllaç, en una nova finestra, en la mateixa, etc.
Si utilitzem un valor arbitrari per a l’objectiu, com per exemple “lol”, l'enllaç s'obri en una nova finestra. Però si es fa clic en un altre enllaç, que tinga també definit objectiu al mateix valor, en compte d'obrir-se una altra nova finestra/pestanya, es redirecciona la pestanya oberta originàriament.
Açò obri les portes a un atac, en què l'usuari fa clic en un enllaç que el porta a GMail, l'usuari comprova la URL i és efectivament gmail.com. No obstant això, al fer clic en l'enllaç i obrir-se GMail, la pàgina original, des de la qual l'usuari ha arribat a GMail, s'ha quedat oberta en una altra pestanya/finestra. Llavors, s'activa un temporitzador que en X segons redirecciona gmail.com a una altra web, amb l'aspecte de gmail, però que li diu que la sessió ha expirat.
Esta redirecció pot arribar a ser MOLT ràpida i invisible per a l'usuari, que tornaria a introduir els credencials, ja que ja va a comprovar la url.
Més informació en el post original