El phishing y la poca preocupación para combatirlo

El phishing es una de las técnicas de robo de identidad e información más fácil de explotar, no porque el hacerlo sea sencillo, sino por las empresas y la gente que no se preocupa de proteger su información. Si bien esta técnica muchas veces requiere de ingenieria social (más aún cuando es un ataque dirigido), conocimientos basicos de programación y/o diseño o desarrollo web, es explotado muchas veces por personas no muy expertas y no necesariamente “hackers”.
El phishing se puede lograr de varias formas, entre las más conocidas están la duplicación de sitios web y mediante la vulnerabilidad XSS. Esta última facilita a la anterior.

Básicamente, ¿Qué es el phishing?

Definamos phishing como una tecnica de “pesca” para robar información privada/personal de personas y/o empresas.

¿Cómo se lleva acabo esta técnica?

Puede resultar tan sencillo como intentar engañar a un niño, pues hacemos creer a una persona algo que no lo es con la finalidad de que esta persona nos entregue datos confidenciales y/o privados, por ejemplo, mediante un formulario de login a un sistema (universidad, banco, etc) falsificado.

A las empresas parece importarle poco el tema de seguridad en este aspecto, segun mi experiencia y estudios realizados por mi (ver en este blog), la vulnerabilidad XSS es una de las más comunes y es la que nos permite robar informacion de muchas formas usando la identidad de la empresa/sitio web vulnerable.

Tomemos como ejemplo una de las páginas que he publicado con este vulnerabilidad, que aun no lo solucionan. Corresponde al sitio web de la “Direccion de bibliotecas, archivos y museos” DIBAM, la URI vulnerable es:
https://www.dibam.cl/error.asp?cadena=a&pagina=[XSS]

Podemos insertar cualquier código javascript o html, como prueba de concepto vamos a insertar un iframe apuntando a google:

https://www.dibam.cl/error.asp?cadena=a&pagina=%3Ciframe%20src=https://google.cl%20frameborder=0%20width=660%3E%3C/iframe%3E

dibam-1

De este mismo modo, pudimos haber hecho referencia a un sitio con un login modificado, haciendonos pasar por “dibam” y pidiendo informacion privada a usuarios. De esta misma forma, podemos hacer referencia desde el siti o”dibam.cl” a algun fichero infectado con algun troyano, virus, etc.

Respecto al javascript, todo codigo javascript ejecutado si bien se ejecuta en por el lado del cliente, lo que no significa ningun riesgo para el servidor, hay que dejar en claro que todo el código javascritp será ejecutado en el contexto del sitio web, por lo que será posible el acceso a cookies, etc lo que nos permitirá robar las cookies para logearnos en algún sistema.

2 comentarios

  1. Uh, tiempo que estuve practicando esto igual que el pharming , buen aporte en tu blog Zerial.

    Espero buenas nuevas por los proyectos de Insecurity.

    bless.

  2. Hace ya un buen tiempo que vengo pensando en un post de phishing, pero por falta de tiempo no pude escribir. Es realmente preocupante la poca bola que se le da al phishing en las empresas y lo susceptible que es la gente a ser engañada.
    El XSS es tan común como peligroso, no solamente como técnica de phishing, sino también como mecanismo de infección.
    Tu post es realmente un buen ejemplo de la gravedad del asunto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.