Nuevo ataque phishing que utiliza direcciones falsas en Chrome
Hoy en día, los estafas en Internet se suceden todos los días, especialmente
cuando estamos despistados con nuestro smartphone. Normalmente, una buena
práctica de seguridad es consultar constantemente la URL que estamos visitando.
Pero a partir de ahora, esto puede no ser suficiente.
Un desarrollador - James Fisher - encontró una posible vulnerabilidad de
seguridad de Google Chrome, que podría ser explotada por los hackers para
implementar ataques de phishing. Este desarrollador consiguió de forma bastante
simple, hacer que Google Chrome para Android, presenté su barra de direcciones ,
una url que no sea real.
Para probar esta vulnerabilidad, James ha puesto este método en su propio sitio
personal, donde los usuarios podrían ser engañados pensando que estar en el
sitio web del popular banco HSBC. Fisher llamó a esta herramienta de 'T
he
inception bar', claramente inspirado en la popular película con Leonardo DiCaprio, y será fácil percibir por qué.
¡Cómo funciona 'The inception bar' y, porque es tan peligroso!
Cuando se visita una página en Google C
hrome para Android, el encabezado donde
se muestra la dirección URL desaparece tan pronto como haces un poco de scroll
hacia abajo. Aunque cuando se regresa a la parte superior de la página, el
navegador vuelve a mostrar la barra original, Fisher encontró una forma bastante
fácil para evitar que esto suceda, presentando una barra de direcciones con una
dirección URL falsa.
La forma en que describió este proceso es simple, explicando que básicamente
'atrapa' al usuario dentro de una 'prisión de scroll'. Es decir, es como si se
quedara atrapado dentro de su propio navegador, sin saber que eso está
sucediendo. Si esto se combina con un comando para evitar que el usuario pueda
usar la función “atrás” este nuevo método de phishing para
Android puede ser
realmente peligroso.
Los hackers pueden aprovechar esta vulnerabilidad para implementar este método
de pishing que podrían poner en riesgo a millones de usuarios, sin que éstos
puedan defenderse. Este tipo de phishing es habitualmente muy simple, y tiene
como objetivo principal conseguir información personal de sus víctimas. Más
concretamente, engaña a las víctimas presentando una réplica de una página de
login, de una institución (banco, red social, paypal, etc.), haciendo que los
usuarios faciliten sus datos de login pensando que están accediendo a su cuenta.
Hasta ahora, una de las formas más eficaces de evitar estas situaciones es
mediante la verificación de la URL de la página. Sin embargo, con esta nuevo
método eso nos podría servir de muy poco.
¿Cómo te puedes proteger de este tipo de scam?
Con este tipo de Phishing es casi imposible protegerte, si empieza a ser
implementado. Al bloquear / desbloquear tu smartphone, cuando Google Chrome
vuelve a aparecer, puedes ver las dos barras de direcciones al mismo tiempo. Sin
embargo, a menos que empieces a sospechar de todas las páginas que visitas, es
casi imposible detectar la suplantación
Hasta ahora no ha surgido ningún tipo de información sobre esta vulnerabilidad
de Google Chrome, ni hay constancia de que está siendo explotada por los
hackers. Esperemos que las revelaciones de James Fischer permitan a la empresa
de Mountain View corregir esta vulnerabilidad antes de que comiencen a surgir
ataques indiscriminados a usuarios
.
Fecha: 29-04-19
Categoría: Internet
Leer Más
Todas las noticias
