211service.com
Un portal a sus contraseñas
Un ladrón que quiera ganar dinero robando información confidencial en línea puede ingresar a los sistemas bancarios que almacenan esos datos o tomarlos mientras viajan a través de una conexión insegura. Pero en estos días, es mucho más fácil lanzarse al phishing, en otras palabras, convencer a los usuarios de Internet desprevenidos de que entreguen esa información ellos mismos. Para hacer esto, los phishers generalmente diseñan versiones falsas de sitios web reales, como un banco o un minorista en línea, y atraen a los internautas involuntarios para que ingresen sus datos de inicio de sesión o los detalles de su tarjeta de crédito. Una táctica común es engañarlos con un correo electrónico que dice provenir de un banco real, pero que en realidad contiene enlaces a uno de los sitios falsos de los phishers.
Sin embargo, las posibles víctimas se están familiarizando con este ataque básico de phishing, y muchos proveedores de correo electrónico y navegadores han introducido contramedidas para protegerlas. Así que los phishers están buscando nuevas formas de picar a los incautos, dice Amit pequeño , CTO de Trusteer , con sede en Tel Aviv, Israel. Por ejemplo, el sitio de microblogging Twitter se utiliza cada vez más para distribuir enlaces de phishing.
No obstante, Klein dice que el ataque [básico] no será tan exitoso en el futuro como lo ha sido hasta ahora, y en un esfuerzo por prevenir futuros ataques de phishing, su compañía está buscando mejores formas de estafar a las personas para que les quiten dinero en efectivo antes. los malos pueden. Una nueva táctica preocupante que están explorando algunos phishers, dice Klein, consiste en piratear un sitio web legítimo para inyectar código malicioso que abre una ventana emergente solicitando nombres de usuario y contraseñas individuales para un sitio bancario. Sin embargo, este enfoque tiene un valor limitado, ya que la mayoría de los usuarios sospecharán de la solicitud repentina.
A vulnerabilidad en los principales navegadores descubiertos recientemente por Trusteer podría hacer que este truco sea mucho más peligroso, al permitir el phishing en la sesión y un ataque más personalizado. Con esta nueva vulnerabilidad, un phisher podría detectar, a través del sitio pirateado, cuando un usuario ya había iniciado sesión en un sitio web bancario. El sitio pirateado podría lanzar una ventana emergente advirtiendo al usuario que su sesión ha expirado y pidiéndole que vuelva a ingresar sus datos de inicio de sesión. Es menos probable que este enfoque levante una bandera roja, dice Klein, ya que la ventana emergente no aparece completamente de la nada.

Phishing 2.0 : Una vulnerabilidad descubierta recientemente por la compañía de seguridad Trusteer permitiría a los atacantes lanzar ventanas emergentes que coincidan con las de un banco en el que un usuario ya haya iniciado sesión, como se muestra arriba.
La vulnerabilidad principal descubierta por los investigadores israelíes es una falla del navegador web que permite al phisher ver qué otros sitios web está visitando una persona. Klein explica que una determinada función de JavaScript, comúnmente utilizada por minoristas en línea, instituciones financieras y otros sitios, deja una huella que revela que el usuario ha iniciado sesión en ese sitio. Klein dice que las protecciones como los bloqueadores de ventanas emergentes no necesariamente descarrilarían el ataque porque el sitio pirateado podría modificarse para que parezca una solicitud para iniciar sesión nuevamente.
Creo que es genial que estemos tratando de identificar lugares adicionales de ataques de phishing como este, dice Nitesh Dhanjani , investigador de seguridad independiente que estudia métodos y tendencias de phishing. Por el momento, dice Dhanjani, este tipo de ataque está más allá de las habilidades técnicas del phisher promedio. El listón es demasiado bajo para entrar en el juego del phishing, por lo que los phishers no tienen motivos para convertirse en una comunidad sofisticada, dice. Sin embargo, a medida que los usuarios están mejor protegidos contra los tipos más básicos de ataque, dice, el listón técnico para los phishers podría comenzar a subir: quizás sea aquí cuando veremos técnicas un poco más avanzadas incorporadas en los kits de phishing.
Klein dice que Microsoft, Apple y Mozilla le han dicho que planean emitir arreglos para la vulnerabilidad del navegador descubierta por Trusteer. Añade que los usuarios pueden protegerse si tienen cuidado de cerrar sesión en los sitios bancarios y de comercio electrónico antes de visitar otros sitios web.