Phishing por HTTPS: del pronóstico a la realidad

El día de ayer el portal Segu-Info reportó un ataque de estas características a un importante banco argentino. El ataque comienza con los medios tradicionales, un correo electrónico enlazando a un sitio web donde se aloja una versión simulada del home banking. Lo interesante de esta caso particular es que, tal como muestra la imagen, el sitio trabajaba sobre el protocolo HTTPS:

Phishing por HTTPS

El ataque se completa solicitando al usuario, no solo los datos ya presentados, sino también toda su tarjeta de coordenadas que utiliza en la banca en línea.

¿Cuáles son las implicancias de estos ataques? Que tal como escribiera en el 2009, los usuarios suelen confiar en el protocolo HTTPS, y suelen tener la falsa creencia de que un ataque de este tipo solo funciona por HTTP.

Incluso en su momento recuerdo haber tenido la necesidad de clarificar lo dicho sobre los certificados, porque incluso empresas proveedoras del servicio no comprendían la importancia de alertar a los usuarios sobre esta (por entonces) posible amenaza. Hoy, podemos confirmar que los atacantes están aprovechando este vector de ataque, y que sigue siendo probable que sigan ocurriendo.

Las predicciones que realizamos desde ESET hace ¡dos años! hoy son una realidad. Por entonces, compartíamos este concepto que vale la pena repasar luego del incidente reportado el día de ayer:

  • “Al acceder a un sitio que posea un formulario donde se ingresa información personal, debe verificarse que el mismo utilice el protocolo HTTPS”… VERDADERO
  • “Un sitio donde se ingresa información confidencial que no posee HTTPS no es seguro”…VERDADERO
  • “Utilizando el protocolo HTTPS, la información es cifrada”… VERDADERO
  • “Siempre que un sitio posea HTTPS será seguro”… FALSO

Estos conceptos deben estar muy claros por el usuario. Ese fue el motivo por el cual escribimos aquel post hace dos años y hoy, con la consumación de ataques en Latinoamérica con estas características, vale la pena repasar: los ataques de phishing por HTTPS no son frecuentes, pero son posibles. ¡A cuidarse!

Sebastián Bortnik
Coordinador de Awareness & Research

Fuente: ESET

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: