Un investigador de ciberseguridad ha compartido detalles de una nueva campaña de ataque que ha sido específicamente diseñada para dispositivos móviles.
Así como una anterior campaña que este mismo investigador sacó a la luz, el nuevo ataque de phishing esta también basado en la idea de que una página web maliciosa podría verse y sentirse como una ventana de navegador para engañar aún a los usuarios más vigilantes y obtener sus credenciales y contraseñas.
Antoine Vincent Jebara, co-fundador y CEO del software de administración de contraseñas Myki, compartió un nuevo video demostrando cómo los atacantes pueden reproducir comportamiento nativo de iOS, barra de enlace y efectos de animación de Safari de manera muy realista en una página web presentando páginas falsas de inicio de sesión, sin la necesidad de abrir o redirigir a los usuarios a una nueva pestaña.
Nuevo ataque de phishing simula animación y diseño del Navegador móvil
Como puedes ver en el vídeo, un website malicioso que luce como Airbnb sugiere al usuario a autenticarse usando su cuenta de Facebook, pero al hacer click, la página muestra un vídeo falso de cambio de pestaña pensado para engañar a los usuarios haciéndoles creer que sus navegadores se están comportando de manera normal.
La página de inicio de sesión de Facebook es en definitiva falsa y está sólo posicionada encima de la página real haciendo creer que es una página de Facebook auténtica”, Jebara dijo.
“Desde el momento en que los usuarios acceden al sitio web malicioso, ellos son manipulados para realizar acciones que parecen legítimas, todo con la intención de generar confianza, para que escriban la contraseña de sus cuentas de Facebook en la última etapa del ataque.”
Si los usuarios no son muy atentos a los detalles y fallan al encontrar diferencias mínimas, podrían tarde o temprano terminar colocando su usuario y contraseña en la página de phishing, dejando el camino libre a los atacantes para que tomen sus credenciales.
“Este ataque es pobremente implementado y contiene muchas fallas desde un punto de vista de proceso y diseño. Los formularios ‘Ingresar Con Facebook’ son presentados en una ventana externa en Safari, no como una pestaña adicional a la que el usuario es dirigido, puesto que la URL de origen aún aparece en forma minimizada en la barra de navegación del falso Facebook”, dijo Jebara.
“Aunque los hackers podrían probablemente implementar esta campaña en una manera más realista, en su forma actual, la mayoría de usuarios caerían en este ataque, puesto que los detalles son relativamente sutiles, y más importante aún, al usuario se le muestran acciones ‘familiares’, lo cual puede bloquear la parte del cerebro que hace que se dude de la legitimidad de las páginas”.
Cómo protegerse contra estas nuevas maneras de ataque de phishing
Debería tenerse en consideración que tales ataques avanzados de phishing no están limitados solamente a Facebook, el navegador de Safari o usuarios de iOS, también podrían fácilmente adaptarse para atacar a dispositivos Android o cualquier otro sitio social.
Los cibercriminales pueden elegir como blanco diferentes plataformas creando un sitio web que automáticamente muestre diferentes versiones de las páginas de phishing basándose en el sistema operativo del dispositivo móvil y el navegador que las víctimas estén usando.
Debido a que no hay claras líneas guía para descubrir estos ataques creativos de phishing, se te recomienda lo siguiente si quieres prevenir ser atacado:
- Usar administradores de contraseñas que sólo auto-rellenen credenciales en dominios legales, evitando que des tu contraseña en sitios web falsos.
- Habilitar autenticación de dos factores, donde sea que esté disponible, previniendo que los hackers accedan a tus cuentas online incluso si de alguna manera han logrado robar tus credenciales.
A parte de esto, Jebara además sugiere a los usuarios preguntarse a sí mismos “¿Por qué se me está pidiendo ingresar?” o “¿No estoy ya logueado en este sitio?” cuando los hackers intenten simular las páginas de inicio de sesión de sitios web populares para los que ya tienes una app en tu smartphone.
Los ataques de phishing son aún unas de las más fuertes amenazas tanto para usuarios como para compañías, y los hackers continúan intentando nuevas y creativas maneras de engañarte para que les provees detalles sensibles, como contraseñas y datos bancarios, que luego podrán usar para robar tu dinero o robar tus cuentas online.
Fuente: TheHackerNews