La mitad de las webs de phishing tienen HTTPS y candado verde: cuidado con donde entras

Virus

Cuando visitamos una página web en la que tenemos que introducir nuestras credenciales, lo primero que hacemos es buscar el candado o el https en la URL. Sin embargo, una nueva investigación de PhishLabs ha demostrado que ese consejo ya no sirve de nada, ya que el 49% de las páginas de phishing que intentan robar tus datos tienen el candado verde y HTTPS en la URL.

El 49% de las páginas web phishing son HTTPS

El año pasado sólo el 35% de las páginas web de phishing eran HTTPS, pero este año la cifra ha aumentado hasta el 49%. Los hackers saben lo que miran los usuarios en una URL, y por ello intentan darle el aspecto más legítimo posible, ya que una web HTTP ahora aparece como “No segura”. En la encuesta realizada por la compañía, el 80% de los usuarios creían que el hecho de que una web tuviera el candado verde implicaba que era real y segura.

Como sabemos, HTTPS lo único que dice es que los datos que se están transmitiendo entre el navegador y la web están cifrados mediante SSL (Secure Sockets Layer). Sin embargo, una vez que llegan al destino, pueden descifrarse. Algunas URL son directamente falsas a simple vista, con dominios que empiezan por “xn—“ (conocidas como punycode). Sin embargo, otras parecen tan reales que usan URL muy parecidas.

Una web HTTP no es segura, pero una HTTPS también puede no serlo

En Chrome, las páginas punycode son marcadas como no seguras con bastante rapidez. Este es el caso de Bibox, un portal de intercambio de criptomonedas. Una web falsa que intenta suplantarla muestra el dominio bỉbox.com/login, pero en realidad redirige a https://www.xn--bbox-vw5a[.]com/login, que es un dominio falso y así lo marcan como tal Chrome y Firefox.

sitio web inseguro chrome

Todo esto hace que tengamos que tener muchísimo cuidado con los enlaces a los que accedemos. Lo más seguro es que los tengamos guardados en marcadores, o que accedamos a ellos escribiéndolos manualmente en el cajón de la URL, así como buscarlos en Google. Pinchar en enlaces que encontramos por la red, o que podemos recibir en emails de phising, nos puede exponer a este tipo de ataques. Por tanto, una página HTTP va a ser siempre 100% insegura, pero que una página sea HTTPS no indica que sea totalmente segura.

Escrito por Alberto García

Fuente > Slashgear

Continúa leyendo
  • lookmeandnotouchme

    Algo falla cuando tantas webs de phishing son capaces de usar HTTPS mientras que otras tantas webs legítimas aún no se han pasado a usarlo ya

    • Pienso que el mensaje es confuso y/o la gente se confunde.
      Cuand odicen WEB SEGURA no es que es de confianza, sino que los datos van encriptados entre tu navegador y el servidor, NADA MAS

      Por otro lado, la generacion de un certificado de encriptacion cuesta apenas unos dolares y es de libre venta, total, es un certificado de encriptacion, o TU mismo puedes generar uno, y no tiene nada de malo

      Por otro lado, NO es necesario y a muchas personas nos incomoda eso de que diga deque una pagina NO es segura, si por ejemplo, la pagina de mi negocio es NETAMENTE informativa, NO pide datos a nadie, es simplemente mucha info tecnica, mis servicios y otras cosas, porque debo usar HTTPS si no hay necesidad de encriptacion, mas bien, mientras mas libre es mejor.

      Yo no voy a pagar (alguna gente he escuchado que piensan que esta manbiobra de google deque todo sea HTTPS es porque ellos tambien venden certificados) donde no necesito encriptacion.

      • lookmeandnotouchme

        Exacto, el uso de HTTPS cifra la conexión entre servidor y cliente (Navegador), no obstante, el hecho de que tu web no pida datos no significa que HTTPS sea inútil para tu web. Me explico: HTTPS no solo cifra los datos que se piden/solicitan tales como nombres de usuario, contraseñas, cookies etc. también cifra el nombre de la web, el HTML, el css, etc. Esto sirve para que terceros no puedan saber no solo los datos que envías/recibes, sino también qué webs visitas entre otras cosas, mediante un man-in-the-middle

        En tu caso, no es que sea completamente necesario, más bien preferible. En todo caso, antes me refería a empresas más grandes e importantes cuyas webs no usan HTTPS a pesar de los muchos datos que manejan

        • Entendido perfectamente, pero mis dos paginas para evitar hackeos, y tonterias asi es HTML puro y duro standar. jajaja. Sencillita, sin meter nada, ni CSS ni nada, algunas estan con php porque hago tonterias como que si es navidad, el muñequito de linux este vestido de Santa Claus….. (if month=12 jajaja….. do this)…

          Entonces me da rabia que ponga ES INSEGURO y la gente cree que mi negocio es una ESTAFA…

          Al igual, que mucha gente cuando le dice SEGURO… mira Google me dice que la pagina es segura, puedo comprar aqui, y tiene la pinta de una tienda estafa de esas que hay miles… que no tienen ni direccion ni telefono y los precios a la mitad del menor valor nunca antes en amazon jajaja

          • AlexReq

            Certificado ssl gratis de cloudflare y problema resuelto.

  • Así en principio que una web tenga HTTPS y un candado verde debería indicar que esta web es segura, pero realmente una web solo es segura si tiene activado HSTS (HTTP Strict Transport Security o Seguridad de Transporte HTTP estricto) y su certificado está dado por una empresa de certificación de confianza. Si la web está autofirmada desconfiar.

    Además la manera más fácil de saber si una web tiene HSTS es probando su versión no segura, si redirecciona automáticamente a su persión segura es que lo tiene activado. Otra de las formas es que si os aparece un indicador de problema de certificado tampoco os dejará saltárselo. También impide el secuestro de cookies que puede revelar mucha información. De todas formas tampoco hay una seguridad del 100% con HSTS pero es bastante mejor tenerla activada.

    Salu2

    • eoiuijlkg

      HTTPS solo significa que la comunicación va cifrada, aunque el sitio sea ilegal.

      HSTS solo te garantiza que la comunicación al completo va a ser cifrada, html, cookies, imágenes, todo y eso lo puedes hacer hasta con un certificado autofirmado y en un sitio ilegal.

      Un certificado firmado por una autoridad de confianza tampoco te garantiza que el sitio sea legal. La conexión puede ser https, con hsts, con un certificado legítimo que no da ninguna alerta y aún así ser falsa, por ejemplo este sitio, que en chrome canta en la URL pero Firefox se lo traga: (lo omito porque no me aceptan el mensaje por la url, es el domino de apple pero con un caracter que no es la ele sino que se le parece)

      Parece Apple, tiene certificado válido por Lets Encrypt y la conexión es https, pero no es Apple es falso.

      Un certificado firmado por una autoridad válida solo te garantiza que los datos que el certificado muestra fueron verificados pero no todos los certificados verifican todos los datos. Lets Encrypt no verifica si tú eres quién dice ser, tan solo verifica que tú eres el dueño de esa web aunque la web sea falsa.

      Lo que debéis mirar es si el certificado verifica la identidad del propietario y el propietario es el que corresponde, en este caso Apple, cosa que Lets Encrypt no hace y por eso podemos crear webs falsas con Lets Encrypt.

      Y si el certificado verifica la entidad, junto al candado aparecerá el cartel “Apple INC”, mientras que si no fue verificada, solo aparecerá el candado.

      Nota: Para que Firefox muestre los caracteres punycode, en about:config buscad network.idn_show_punycode y ponedlo en true, de lo contrario (url omitida) colará como si fuese de Apple

      La diferencia, que no se ve, es que la ele de apple en realidad es un caracter especial algo así como la i mayúscula que se parece a una ele.

  • Fernand0

    Impresionante lo de la estafa de referencia (intercambia por un carácter prácticamente idéntico) es tiempo de poner mas atención a lo que uno accede.

    • Yeah, y me costo un mundo, yo decia, pero si dice lo mismo… y no, lleva como un acento o no se que simbolito arriba!

  • Pingback: Artículo: La mitad de las webs de phishing tienen HTTPS Y candado verde: cuidado con donde entras » Ciberseguridad para principiantes()

  • Pingback: Half of the phishing websites have HTTPS and a green padlock – Naaju()