Seguritecnia 368

48 SEGURITECNIA Octubre 2010 Seguridad en Entidades Financieras sejan los fabricantes de Seguridad, apuestan por la autenticación múl- t ip l e (usuar i o+cont r aseña+c l ave d e a c c e s o p o r t e c l a d o v i r - t ua l ; usua r i o+cont r as eña+DNI e ; usuario+contraseña+fecha de naci- miento, etc.). trónica, claves de acceso, DNIe, tecla- dos virtuales, https ( Hypertext Trans- fer Protocol Secure, que hace que la transferencia de datos sea segura y ut i l i zado pr incipalmente por en- tidades bancarias). . . Aunque prácti- camente todas ellas, así como acon- de correo electrónico, de documentos de identificación, etc., a otros crimina- les. Por poner un ejemplo, los datos de una tarjeta de crédito pueden cos- tar hasta 25 dólares, en caso de que la cuenta bancaria cuente con ‘salud’. Incluso, para proteger su informa- ción, los ciberdelincuentes llevan a ci- frar sus comunicaciones. Por desgra- cia, como decíamos anteriormente, la tecnología en manos de ‘los malos’ da tan buenos resultados que, a ve- ces, pasa inadvertida por las solucio- nes que presentan los fabricantes de Seguridad. Y ya manejan el suficiente dinero como para invertir en I+D+i. Hispasec nos dice que hoy se en- cuentran con más de dos millones de malware nuevo al mes, entre los que se mueven específicos para banca. Y todos ellos con el mismo objetivo: obtener ingresos. Viendo las ‘armas’ que utilizan los delincuentes, el potencial que tienen y el desbordamiento de los propios técnicos, ¿es realmente sólo cuestión de sentido común? Que la responsa- bilidad de que estén protegidos los usuarios de banca online recaiga ex- clusivamente en ellos, confiando en su voluntad y en las herramientas que habitualmente tienen a mano (antivi- rus, antiphishing , cor tafuegos. . .), es algo difícil de plantear. Más cuando sabemos que algunos productos de seguridad no son capaces de ‘captu- rar’ determinado malware , troyanos o downloaders , entre otros. Pero tenemos que decir que las en- tidades f inancieras protegen a sus clientes y apuestan también por la I+D+i y por la aplicación de solucio- nes que protejan la información de los usuarios y que obstaculicen lo menos posible la usabilidad del ca- nal online a sus clientes: firma elec- Tabnabbing’, el nuevo ‘phishing’ que entra en juego El pasado 25 de mayo, Aza Raskin, gurú americano experto en diseño de interfaces, descubrió un nuevo phishing que funciona a través de las pes- tañas del navegador, llamado Tabnabbing. Esta nueva técnica, que parece que afecta a casi todos los navegadores, la explicaba muy bien Sergio de los Santos, de Hispasec, en su una-al-dia de dicha fecha, y que pasamos a resu- mir. Decía De los Santos que Tabnabbing “puede ser utilizado para realizar ataques de phishing un poco más sofisticados, ya que está basado en una técnica que permite modificar el aspecto de una página cuando no tiene el “foco” de la pestaña del navegador”. Este experto comentaba que “el ataque es ingenioso, aunque tiene sus limitaciones”. El funcionamiento del nuevo phishing se centra, según la explicación de Hispasec, en que: “Un usuario navega hacia la página del atacante, que no tiene por qué simular ningún banco o página de login . Simplemente es una página más equipada con un código JavaScript que hará el “truco”. La vícti- ma cambia de pestaña (o de programa, lo importante es que pierda el foco) y sigue con sus visitas cotidianas a otras páginas. Mientras, la web del ata- cante cambia por completo gracias al JavaScript: el favicon [iconos de favo- ritos], el título, el cuerpo... todo excepto el dominio, lógicamente. La página ahora podría parecerse a (por ejemplo) la web de login de Gmail. La víctima, vuelve a la pestaña más tarde y piensa que ha caducado su sesión. Introduce su contraseña y ésta viaja hacia el atacante. Se supone que el usuario bajará la guardia puesto que, hasta ahora, se supone que una pestaña no “muta” a nuestras espaldas y por tanto, si aparece como “Gmail”, por ejemplo, es que lo hemos visitado previamente. Los usuarios que mantengan habitualmente muchas pestañas abiertas, saben que es fácil olvidar qué se está visitando exactamente en cada momento”. Para prevenir esta amenaza, Sergio de los Santos aconseja: “Fijarse en las URLs antes de introducir contraseñas, como siempre. Desactivar JavaScript para las páginas en las que no se confíe, ya sea a través de la Zonas para Internet Explorer o No-Script para Firefox”. Para ver la información completa: http://www.hispasec.com/unaal- dia/4231 La tecnología en manos de ‘los malos’ da tan buenos resultados que, a veces, pasa inadvertida por las soluciones que presentan los fabricantes de Seguridad. Y ya manejan el suficiente dinero como para invertir en I+D+i