No se deje engañar por estas técnicas avanzadas de phishing

Muchos correos electrónicos fraudulentos son dolorosamente obvios para los usuarios web experimentados. Los errores ortográficos, los escenarios absurdos y los archivos adjuntos dudosos suelen ser signos claros de travesura.

En realidad, sin embargo, no todos los intentos de phishing son tan flagrantes, y asumir que lo son puede generar una falsa sensación de seguridad. Algunos están tan cuidadosamente elaborados que son capaces de engañar incluso a los usuarios más expertos.

Los correos electrónicos de phishing son especialmente convincentes cuando abusan de algunas de las técnicas avanzadas que discutimos en este artículo.

Explotación de vulnerabilidades web comunes para crear enlaces maliciosos

Cuando pensamos en las vulnerabilidades de los sitios web, nos vienen a la mente imágenes de hacks a gran escala y violaciones de datos desastrosas . Pero las vulnerabilidades más comunes son mucho más peatonales.

Por lo general, no resultan en una toma de control completa de un sitio web, sino que brindan a los atacantes algún tipo de pequeña ganancia, como el acceso a información privilegiada o la capacidad de insertar un poco de código malicioso en una página.

Ciertos tipos de vulnerabilidades permiten aprovechar el dominio de un sitio para crear una URL que parece originarse en la página del sitio, pero que en realidad está bajo el control del pirata informático.

Estas URL "legítimas" son extremadamente útiles para los estafadores de correo electrónico porque es más probable que eludan los filtros o escapen a la atención de las víctimas.

Redirecciones abiertas

Los sitios web a menudo tienen la necesidad de redirigir a los usuarios a otro sitio (o una página diferente en el mismo sitio) sin usar un enlace regular. Una URL de redireccionamiento puede tener un formato como:

 http://vulnerable.com/go.php?url=<some url>

Esto puede ayudar a las empresas a realizar un seguimiento de los datos importantes, pero se convierte en un problema de seguridad cuando cualquiera puede aprovechar una redirección para crear un enlace a cualquier página de la web.

Por ejemplo, un estafador podría explotar su confianza en vulnerable.com para crear un enlace que realmente lo envíe a evil.com :

 http://vulnerable.com/go.php?url=http://evil.com

Redirigir en la Búsqueda de Google

La búsqueda de Google tiene una variante de este problema. Cada enlace que ves en una página de resultados de búsqueda es en realidad una redirección de Google que se parece a esto:

 https://www.google.com/url?<some parameters>&ved=<some token>&url=<site's url>&usg=<some token>

Esto les ayuda a realizar un seguimiento de los clics con fines analíticos, pero también significa que cualquier página indexada por Google en realidad genera un enlace de redireccionamiento desde el propio dominio de Google, que podría usarse para phishing.

De hecho, esto ya ha sido explotado varias veces en la naturaleza, pero aparentemente Google no lo considera una vulnerabilidad suficiente para eliminar la funcionalidad de redireccionamiento.

Secuencias de comandos entre sitios

La secuencia de comandos entre sitios (comúnmente abreviada a XSS) ocurre cuando un sitio no desinfecta adecuadamente la entrada de los usuarios, lo que permite a los piratas informáticos insertar código JavaScript malicioso.

JavaScript le permite modificar o incluso reescribir completamente el contenido de una página.

XSS toma un par de formas comunes:

• XSS reflejado : el código malicioso es parte de la solicitud a la página. Esto podría tomar la forma de una URL como http://vulnerable.com/message.php?<script src = evil.js> </script>
• XSS almacenado : el código JavaScript se almacena directamente en el propio servidor del sitio. En este caso, el enlace de phishing puede ser una URL totalmente legítima sin nada sospechoso en la propia dirección.

Relacionado: Cómo los piratas informáticos utilizan secuencias de comandos entre sitios

No se deje engañar

Para evitar ser engañado por uno de estos enlaces turbios, lea atentamente la URL de destino de cualquier enlace que encuentre en sus correos electrónicos, prestando especial atención a cualquier cosa que pueda parecer un redireccionamiento o un código JavaScript.

Para ser justos, esto no siempre es fácil. La mayoría de nosotros estamos acostumbrados a ver las URL de los sitios que visitamos con un montón de "basura" añadida después del dominio, y muchos sitios utilizan la redirección en sus direcciones legítimas.

Codificación de URL en enlaces maliciosos

La codificación de URL es una forma de representar caracteres usando el signo de porcentaje y un par de caracteres hexadecimales, usados ​​para caracteres en URL que podrían confundir su navegador. Por ejemplo, / (barra diagonal) se codifica como % 2F .

Considere la siguiente dirección:

 http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6D

Una vez decodificada la codificación de URL, se resuelve en:

 http://vulnerable.com/go.php?url=http://evil.com

¡Sí, es una redirección abierta!

Hay un par de formas en que un atacante podría aprovechar esto:

• Es posible que algunos filtros de seguridad de correo electrónico mal diseñados no decodifiquen correctamente las URL antes de escanearlas, lo que permite el paso de enlaces descaradamente maliciosos.
• Usted, como usuario, puede ser engañado por la forma extraña de la URL.

El impacto depende de cómo maneja su navegador los enlaces con caracteres codificados en URL. Actualmente, Firefox los decodifica por completo en la barra de estado, lo que mitiga el problema.

Chrome, por otro lado, solo los decodifica parcialmente, mostrando lo siguiente en la barra de estado:

 vulnerable.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.com

Esta técnica puede ser particularmente efectiva cuando se combina con uno de los métodos anteriores para generar un enlace malicioso desde un dominio confiable.

Cómo evitar ser engañado : Nuevamente, inspeccione cuidadosamente las URL de cualquier enlace que encuentre en los correos electrónicos, prestando especial atención a los posibles caracteres codificados en la URL. Tenga cuidado con los enlaces con muchos signos de porcentaje. En caso de duda, puede utilizar un decodificador de URL para ver la forma real de la URL.

Técnicas avanzadas para omitir filtros

Algunas técnicas apuntan específicamente a engañar a los filtros de correo electrónico y al software anti-malware en lugar de engañar a las propias víctimas.

Modificación de logotipos de marca para omitir filtros

Los estafadores suelen hacerse pasar por empresas de confianza al incluir sus logotipos en los correos electrónicos de phishing. Para combatir esto, algunos filtros de seguridad escanearán las imágenes de cualquier correo electrónico entrante y las compararán con una base de datos de logotipos de empresas conocidas.

Eso funciona bastante bien si la imagen se envía sin cambios, pero a menudo hacer algunas modificaciones sutiles en el logotipo es suficiente para evitar el filtro.

Código ofuscado en archivos adjuntos

Un buen sistema de seguridad de correo electrónico analizará todos los archivos adjuntos en busca de virus o malware conocido, pero a menudo no es muy difícil pasar por alto estos controles. La ofuscación del código es una forma de hacer esto: el atacante modifica el código malicioso en un enredo elaborado y enredado. El resultado es el mismo, pero el código es difícil de descifrar.

A continuación, se ofrecen algunos consejos para evitar quedar atrapado por estas técnicas:

• No confíe automáticamente en las imágenes que ve en los correos electrónicos.
• Considere bloquear las imágenes por completo en su cliente de correo electrónico.
• No descargue archivos adjuntos a menos que confíe absolutamente en el remitente.
• Sepa que incluso pasar un escaneo de virus no garantiza que un archivo esté limpio.

Relacionado: Los proveedores de correo electrónico más seguros y cifrados

El phishing no va a ninguna parte

La verdad es que no siempre es fácil detectar intentos de phishing. Los filtros de correo no deseado y el software de monitoreo continúan mejorando, pero muchos correos electrónicos maliciosos aún se escapan. Incluso los usuarios avanzados con experiencia podrían ser engañados, especialmente cuando un ataque involucra técnicas particularmente sofisticadas.

Pero un poco de conciencia es muy útil. Si se familiariza con las técnicas de los estafadores y sigue las buenas prácticas de seguridad, puede reducir sus posibilidades de convertirse en una víctima.