domingo, 4 de mayo de 2008

Variables del Phishing - Ataque oculto

Más allá de las técnicas de la ofuscación ya mostradas, un phisher puede hacer uso del HTML, DHTML y de otros códigos programables que pueden interpretar los navegadores de Internet de los clientes y manipular la información visible en ellos. En muchos casos el atacante utilizará estas técnicas para falsear el contenido (particularmente la fuente del contenido de la página) simulando ser del sitio verdadero

Los vectores más comunes incluyen:
1. Marcos ocultos: Los marcos es un método popular de ocultar el ataque debido a la uniformidad de los navegadores y su fácil codificación. Por ejemplo, se definen dos marcos. El primer marco contiene la información legítima del sitio URL, mientras que el segundo marco - ocupando el 0% del interfaz del browser - referencia el contenido elegido por los Phishers. La página enlazada dentro del marco oculto se puede utilizar para llevar el contenido adicional (p.e. contenido de eliminación de la página o substitución gráfica), recibiendo la información confidencial tal como SessionID o algo más nefasto; por ejemplo ejecutar código de grabación de la pantalla y grabación de pulsaciones de teclado de los códigos secretos. Este ataque se apoya:

· Ocultar el origen del atacante. Solamente la URL del marco principal será visible desde el interfaz del navegador a menos que el usuario siga un enlace con el atributo destino a “_top”.

· Proporcionan una falsa seguridad HTTPS (que fuerza el browser a exhibir un candado o una llave similar a sitio seguro) para el contenido de los sitios, mientras que todavía se usa el HTTP inseguro para el de la página oculta y sus operaciones.

· Ocultando código HTML a la victima. Los clientes no podrán ver el código oculto de las páginas con las funciones estándares ver origen de la fuente.

· Carga imágenes y contenido HTML en segundo plano para su uso maliciosa más tarde.
· Las propiedades de la página solo mostraran en la mayoría de navegadores los datos del marco visible.

· Almacenar e implementar operaciones en segundo plano que informarán al atacante de los movimientos de la victima en el sitio real.

· Combinado con programación del navegador, es posible variar la barra de herramientas del mismo; incluyendo la información de URL y cabeceras de página.

2. Anulando contenido de páginas: Existen varios métodos para eliminar el contenido de una página. Uno de los métodos más populares es insertar contenido falso dentro de una página es utilizar la función de DHTML - DIV. La función del DIV permite que un atacante ponga el contenido en un “contenedor virtual”, dando una posición y un tamaño absolutos con el método del STYLE, puede ser colocado para ocultar o reemplazar (posicionándolo encima) el contenido subyacente. Este contenido malévolo se puede enviar con una URL larga o refiriéndose a un script almacenado. Este método permite que un atacante construya una página completa (incluyendo gráficos y los elementos de auxiliares de código script) encima de la página verdadera.

3. Substitución gráfica: Mientras que es posible sobreescribir el contenido de la página fácilmente con múltiples métodos, un problema para los Phishers es el de las pistas visuales específicas del navegador a un ataque. Estas pistas incluyen la URL presentado dentro del campo de direcciones, el candado seguro que representaba un HTTPS de conexión cifrada, y el origen de la página. Un método común usado para vencer estas pistas visuales está con el uso de los scripting del navegador (tales como Javascript, VBScript y Java) para posicionar gráficos especialmente creados con la información falsa. Un ejemplo: el atacante utiliza una barra de direcciones y un candado seguro falsos cuidadosamente colocados en la zona para ocultar la información verdadera. Mientras que el Phisher debe utilizar gráficos adecuados al software del navegador, es trivial para realizar esta falsedad de Web que los atacantes determinen el tipo del navegador y la versión exacta con simples consultas de código. Así el atacante puede preparar las imágenes para una gama de navegadores usuales y preparar su página para que se utilicen las imágenes apropiadas.
Es importante observar que los ataques de Phishing en el pasado han combinado la substitución gráfica con código scripting adicional para falsificar otra funcionalidad del browser. Los ejemplos incluyen:
· Implementando funcionalidad click-derecho y menú acceso.

· Presentando falsos pop-ups igual que lo haría el verdadero navegador o la Aplicación de la Web

· Exhibiendo falsos certificados SSL cuando visualizamos las propiedades de seguridad, a través del uso de imágenes

· Usando simples comandos embebidos de HTML, un atacante puede secuestrar el escritorio del cliente entero y construir un interfaz falso para capturar y para manipular lo que ve el cliente. Se hace esto usando los comandos window.createPopup() y popup.show().

2 comentarios:

nrl_neus dijo...

En lo referente a la informática, se le llama frame en inglés a lo que en castellano se conoce como marco o cuadro, dependiendo de a qué se le aplica y variando entonces su significado final en función de ello:
1. En gráficos por computadora, contenido de una pantalla de datos o su espacio de almacenamiento equivalente.
2. En comunicaciones, bloque fijo de datos transmitidos como una sola entidad. También llamado packet (paquete).
3. En autoedición, caja movible y de tamaño flexible, que contiene una imagen gráfica.
4. En inteligencia artificial, estructura de datos que contiene una descripción general de un objeto, que se deriva de conceptos básicos y de la experiencia.

Jéssica dijo...

El famoso truco del "marco oculto" no es más que una página madre que contiene un frame que cubre toda la pantalla; es decir, un frame al 100%.


El único cuidado es que, al activar enlaces externos, abran otro navegador, así se evita mostrar una página ajena con la dirección, lo que podria ser ilegal.
La falta de regulación de internet, pone en peligro inminente a los desarrollistas y programadores cibernéticos, de posibles demandas por el uso de tecnologías que den cabida a interpretaciones equivocadas.

El mostrar una página ajena con la dirección de nuestro sitio, podría ser considerado apropiación del contenido, violación de los derechos de autor, o cualquier otro delito que los abogados deseen incluir.

Jéssica Castilla

Web Statistics