Un nuevo ataque de phishing indetectable emula páginas HTTPS reales

Escrito por Alberto García
Software

Los navegadores web son la puerta a Internet que nos permiten navegar por los millones de páginas de la red. Es primordial que estos navegadores estén a la última en cuando a seguridad se refiere, y por ello constantemente se están sacando parches para arreglar vulnerabilidades. De momento, hay una vulnerabilidad no parcheada en Chrome, Firefox y Opera que permite realizar un ataque de phishing prácticamente indetectable para el usuario.

Ataque de phishing: Chrome y Firefox, vulnerables

Este método de phishing ha sido descubierto por un investigador de seguridad chino. Con él, el atacante hace creer que el usuario está visualizando páginas reales HTTPS, pero en realidad no lo está haciendo. Con ello, se busca intentar robar credenciales de acceso a las páginas a las que emula este método.

El truco que se esconde detrás de este ataque es sencillo. Mediante un método conocido desde el año 2001, llamado ataque homográfico, los atacantes registran dominios con letras similares a las que se usan normalmente. Este ejemplo lo encontramos por ejemplo con la “a” (U+0041) de nuestro teclado, con la “а” (U+0041) que se encuentra en los teclados de alfabetos cirílicos como el ruso. Muchos navegadores usan Punycode para representar caracteres Unicode en la URL para evitar este tipo de ataques. Gracias a ello, se convierte Unicode al ASCII utilizado por el International Domain Names System.

phishing-apple

Esta transformación sólo se realiza con idiomas como el japonés o el chino (短.co pasa a ser xn--s7y.co), pero en otros idiomas como es el caso del ruso no se hace. Este fallo es lo que ha aprovechado el investigador para registrar el dominio xn--80ak6aa92e.com, que aparece como “apple.com” en los navegadores que son vulnerables ante este ataque, entre los que se incluyen Chrome, Firefox y Opera. Safari e Internet Explorer no están afectados. En la URL la página aparece como segura al tener un certificado HTTPS, pero no proviene del servidor real de Apple. Cuando un dominio empieza por el prefijo “xn--“, esto indica al navegador que el dominio usa Punycode en lugar de Unicode, por lo que traduce la “a” a carácter cirílico en lugar de ASCII.

Todavía no está parcheado en las versiones estables

Mozilla está trabajando en estos momentos en arreglar la vulnerabilidad, mientras que Google ya la ha parcheado en Chrome Canary 59, y estará disponible en la versión estable final de Chrome 58, que verá la luz a finales de abril. Mientras tanto, tened cuidado con las páginas que visitáis, e intentad escribir siempre manualmente la URL cuando vayáis a acceder a sitios sensibles que os pidan introducir vuestras credenciales.

phising

Una opción que tienen los usuarios de Firefox para desactivar Punycode y evitar mientras tanto este ataque es:

  1. Escribir about:config en la barra de direcciones y presionar Enter.
  2. Escribir Punycode en la barra de búsqueda.
  3. Buscar el parámetro titled: network.IDN_show_punycode, y hacer doble click para que el parámetro pase a estar en verdadero (true).

Fuente > xudongz