En un ataque tradicional de phishing, el malhechor envía millones de mensajes falsos en el correo electrónico que se enmascaran como si vinieran de compañías legítimas.
Pero investigadores del proveedor de seguridad Trusteer dicen que el "phishing en sesión", un nuevo tipo de ataque, podría ayudar a los delincuentes a robar credenciales de bancos en línea, sustituyendo el mensaje en el correo electrónico por una ventana emergente en el navegador. Los estafadores pudieran piratear un sitio legítimo para plantar código HTML que aparenta ser una ventana emergente con alerta de seguridad que solicita a la víctima introducir su contraseña de acceso y responder preguntas de seguridad utilizadas por el banco para verificar la identidad de sus clientes.
Para los atacantes, la parte más difícil sería convencer a las víctimas de que la notificación en la ventana del explorador es legítima. Pero debido a un error encontrado en motores de búsqueda JavaScript de todos los navegadores más populares, existe una manera de hacer este ataque más creíble, dice Amit Klein, jefe de tecnología de Trusteer.
Estudiando el uso de Java Script en los navegadores, dice Klein, encontró una forma de determinar si alguien ha penetrado en el sitio de la Red, siempre y cuando use una determinada función JavaScript. Klein ha notificado a los fabricantes de naavegadores y espera que en algún momento aparezca un parche de seguridad para arreglar este error.
Entretanto, los malhechores que encuentren la brecha podrían escribir un código que verifica si algún cibernauta ha entrado en, digamos, cualquiera de los sitios de una lista predeterminada de 100 sitios bancarios. “En lugar de hacer aparecer esta ventana como un mensaje aleatorio de “phishing”, un atacante puede ser más ingenioso sondeando y averiguando si el usuario está realmente conectado a uno de los 100 sitios de instituciones financieras en la Red", dice Klein.
-Robert McMillan