XSS y CSRF en sitios web de Bancos: Ellos mismos facilitan el phishing

Se está poniendo de moda el phishing y el robo de datos bancarios para realizar transferencias no deseadas, cada vez son mas los usuarios afectados y muchos de ellos no logran recuperar su dinero, simplemente el banco no responde. Por un lado tienen razón, ya que quien entregó su información personal y privada fueron ellos mismos, pocas veces este tipo de robos son debido a una falla/bug/vulnerabilidad que afecte directamente al banco.

Imagen tomada de quejasyfraudes.infoEn Chile, los bancos tienen una campaña contra el phishing donde se limitan a entregar manuales y decir “no ingreses tus datos donde no debes”, pero realmente no se preocupan de tener mecanismos de validación y protección, permitiendo que cualquier persona pueda suplantar su identidad y usar la confianza que tiene el usuario en el sitio.
Existe un sitio llamado “avispate.cl“, que supuestamente es para hacer un llamado a la gente y educar para que no caigan en este tipo de trampas y no entreguen información a cualquier sitio.

Bien, por un lado tenemos que los usuarios entregan información a personas que no corresponden, que caen en las trampas pero por otro lado, algo que es claramente responsabilidad del banco: Hacer que sus sitios y sistemas sean 100% seguros!

Los bancos en lugar de ayudar a los usuarios y prevenir este tipo de ataques, prefieren cobrar:

En secureless, comenzamos a trabajar en una investigación en busca de vulnerabilidades XSS, CSRF y otras que puedan afectar directamente al usuario. Nuestro propósito es dejar en claro que los bancos deben ser competentes y responder por las fallas de seguridad que tienen. Hasta ahora, según nosotros, como este tipo de vulnerabilidades no les afecta a ellos, sino que afecta a los clientes, entonces no se preocupan lo suficiente.
El proyecto consiste en publicar estas vulnerabilidades diariamente durante un par de dias, demostrar y dejar al descubierto este tipo de negligencia. Comenzaremos por Chile, luego seguiremos atacando bancos de otros paises.

Sobre XSS y CSRF …

Las vulnerabilidades XSS permiten realizar modificaciones en los sitios web por el lado del cliente, cuando una entidad bancaria con certificado ssl (https) tiene este tipo de vulnerabilidad, se combierte en un sitio potencial para ser atacado y sus usuarios los afectados. Por ejemplo, si un sitio permite inyectar código html o javascript, facilmente podriamos poner un iframe que ocupe todo el ancho y alto del navegador, y que el usuario no se de cuenta que está visitando a otra página.

Por otro lado tenemos los ataques CSRF, que combinado con XSS, practicamente es posible hacer lo que queramos con el usuario: llevarlo de un sitio a otro, pasar parametros de un sitio falso a uno verdadero, etc.

3 comentarios

  1. muy buen post, buena iniciativa por lo demas….
    saludos

  2. Me surgieron varias preguntas mediante esta publicación. Creo que los bancos están sacando provecho a las fallas de seguridad vendiendo seguros de robos lo cual lo hayo un abuso por parte de los bancos creo al igual que tu y otros amigos de la red ellos tienen que responder por la seguridad de sus clientes en todo momento. Las falencias de están entidades financieras se deben dar a conocer. Así la gente sabrá a quien confía su dinero saludos.

  3. sufri estfa, trabferencia electornica sin mi autorizacion a taves de la pagina web del Bancoestado.cl, y ahora el banco no se hace responsable por que no tenia seguro, necesito informacion legal, tecnico, donde la pagina del banco es vulnerable…..para apelar con una base ante el banco estado….
    favor enviar antecedentes a
    victor-2513@hotamil.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.