Una nueva estafa de phishing (suplantación de identidad), que se dirige a obtener las contraseñas de bancos y PayPal y otros datos de los consumidores que los criminales utilizan para saquear las cuentas privadas, está diseñada para burlar la seguridad integrada en los navegadores Firefox y Chrome Web.
Como parte de su esquema de seguridad, estos navegadores reciben las direcciones URL de sitios de phishing conocidos y no permiten ir a ellos a menos que los usuarios lo permitan de manera específica. Pero una técnica descubierta por M86 Security Labs les permite ir alrededor de esta protección de lista negra.
La nueva táctica no requiere que las víctimas visiten sitios Web falsos para rellenar los formularios que parecen ser legítimos y revelen contraseñas, números de cuenta, números de Seguro Social y similares. En cambio, los spammers envían los formularios HTML como archivos adjuntos a correos electrónicos. Cuando las víctimas llenan los formularios y hacen clic para enviarlos, los datos se envían a través del navegador a través de una solicitud POST a servidores PHP Web que han sido controlados por los hackers (piratas informáticos).
“A pesar de que con el POST se envía información al servidor web remoto del hacker, Google Chrome y Mozilla Firefox no detectan ninguna actividad maliciosa”, dice el blog. “Las campañas de phishing con meses de antigüedad, no son detectadas, por lo que parece que esta táctica es muy eficaz”.
Los navegadores no ven en esta actividad como maliciosa, en parte porque no son muchos los servidores de PHP comprometidos que son reportados por lo que sus direcciones URL no conforman listas negras. La mayoría de los usuarios no son lo suficientemente sofisticados como para discernir la dirección del envío de datos en PHP, dice M86 en un blog.
Además, debido a que el script PHP no muestra ningún código HTML en el navegador, la URL a la que se envían los datos es difícil de comprobar como un sitio de “phishing”, dicen en el blog.
En un caso concreto que describe M86, el servidor PHP involucrados se habían instalado en la página web de Frito-Lay que había sido comprometida. Después de tomar los datos de la víctima, el script PHP redirige el navegador a la compañía legítima con la que la víctima pensó que estaba tratando originalmente.
Por Tim Greene, World Network (EUA)