Técnicas de phishing para ataques de phishing
La mayoría de los métodos de phishing utilizan alguna forma de engaño técnico diseñado para hacer que un enlace en un correo electrónico (y el sitio web engañoso al que conduce) parezca pertenecer a una organización verdaderamente legítima. Errores ortográficos en las URL o el uso de subdominios son tácticas comunes utilizadas en el phishing. En la URL de ejemplo siguiente, /, la URL parece llevarle al subdominio "Ejemplo" del sitio web "Su banco"; de hecho, esta URL apunta al sitio web "Ejemplo" del subdominio "Su banco" (es decir, phishing); . Otra táctica común es hacer que el texto ancla de un enlace parezca legítimo, cuando en realidad el enlace conduce a un sitio de ataque de phishing.
Otro método antiguo es utilizar enlaces falsos que contengan el símbolo '@'. Originalmente, esto se utilizaba como un método de inicio de sesión automático que implicaba un nombre de usuario y una contraseña (a diferencia del estándar). Por ejemplo, se puede engañar a un usuario ocasional de Internet haciéndole creer que esto abrirá una página web en , cuando en realidad dirige el navegador a una página en , que se abrirá normalmente con el nombre de usuario, independientemente del nombre de usuario proporcionado. Estas URL están deshabilitadas en Internet Explorer, mientras que Mozilla Firefox y Opera muestran un mensaje de advertencia y le dan al usuario la opción de continuar navegando en el sitio o cancelar.
También se ha identificado un problema en la forma en que los navegadores web manejan los nombres de dominio internacionales (IDN), lo que podría provocar que URL de apariencia idéntica conduzcan a URL diferentes, posiblemente maliciosas, en el sitio web. Aunque la vulnerabilidad conocida como suplantación de IDN o ataques homógrafos es bien conocida, los phishers corren un riesgo similar al utilizar servicios de reenvío de nombres de dominio en sitios web de buena reputación para disfrazar sus URL maliciosas. Una vez que una víctima visita un sitio de phishing, el engaño no termina ahí. Algunas estafas de phishing utilizan comandos de JavaScript para alterar la barra de direcciones. Esto se logra colocando una imagen de la barra de direcciones de una URL legítima para cubrir la barra de direcciones, o cerrando la barra de direcciones original y volviendo a abrirla con una URL nueva y legítima.
Los atacantes pueden incluso explotar vulnerabilidades en sus propios scripts en sitios web acreditados contra sus víctimas. Este tipo de ataque, también conocido como cross-site scripting, es particularmente problemático porque lleva a los usuarios directamente a la página web de su propio banco o servicio, donde todo, desde la dirección web hasta el certificado de seguridad, parece ser correcto. Si bien, de hecho, el enlace al sitio ha sido manipulado para llevar a cabo el ataque, es muy difícil de detectar sin conocimientos profesionales. Esta vulnerabilidad se utilizó contra PayPal en 2006.
También hay un paquete de phishing de intermediario versátil descubierto por RSA Information Security Company. Proporciona una interfaz simple y fácil de usar para que los phishers recreen de manera convincente el sitio web y capturen la información del usuario. Entrada de datos de registro del sitio web falso.
Para evitar que los textos relacionados con el phishing sean escaneados por la tecnología anti-phishing, los phishers han comenzado a utilizar Flash para crear sitios web. Se parecen mucho a sitios web reales, pero ocultan el texto dentro de objetos multimedia. En el ejemplo de phishing de PayPal (ver a la derecha), los errores ortográficos en el correo electrónico y la presencia de enlaces a dominios que no son de PayPal (que se muestran en el cuadro rojo de la barra de estado) son pistas de que se trata de un intento de phishing. Otro tipo de phishing es el sorteo sin saludo personal, aunque la visualización de datos personales no garantiza su legitimidad. Una comunicación legítima de PayPal siempre saluda al usuario por su nombre real, en lugar de un saludo genérico como "Estimado titular de cuenta" o "Estimado titular de cuenta". Otros signos de fraude de mensajes son simples errores ortográficos, mala gramática y amenazas de suspensión de la cuenta si el destinatario no sigue las instrucciones del mensaje.
Tenga en cuenta que muchos correos electrónicos de phishing, al igual que un correo electrónico real de PayPal, incluirán una advertencia importante para no revelar nunca su contraseña para evitar ataques de phishing. El hecho de que adviertan a los usuarios sobre la posibilidad de ataques de phishing y proporcionen enlaces a sitios web que explican cómo evitar o reconocer dichos ataques es lo que hace que el correo electrónico de phishing sea tan falso y fácil de engañar.
En este ejemplo, el correo electrónico de phishing advierte a los usuarios que PayPal nunca le pedirá información confidencial. Fiel a su palabra, la carta no solicita información confidencial, sino que invita a los usuarios a hacer clic en un enlace para "confirmar" su cuenta. Este paso conducirá a estas víctimas a un sitio de phishing diseñado para parecerse al sitio de PayPal; Allí, a estas víctimas se les pedirá información personal y confidencial. En los servidores web RapidShare, el phishing es un método común para obtener acceso a cuentas avanzadas que eliminan los límites de velocidad de descarga, eliminan automáticamente las cargas, esperan antes de la descarga y el intervalo de tiempo entre descargas.
Los phishers utilizan enlaces publicados en archivos en sitios warez para obtener cuentas premium de RapidShare. Sin embargo, al utilizar herramientas de alias de enlaces como TinyURL, pueden disfrazarse como una URL donde la página web real en realidad está alojada en otro lugar, y la página web se parece mucho a la página de "usuario gratuito o usuario premium" de RapidShare. Si la víctima selecciona usuarios gratuitos, el phisher simplemente los pasa al sitio web real de RapidShare. Sin embargo, si eligen una cuenta premium, el sitio de phishing registrará su información de inicio de sesión antes de que puedan descargar. En esta etapa, el phisher ha robado información de alto nivel de la cuenta de la víctima.
Las cuentas RapidShare suplantadas generalmente se revenden a un precio más económico que las cuentas premium de RapidShare.
La forma más sencilla de identificar una página de phishing de RapidShare es utilizar Mozilla Firefox, hacer clic derecho en la página alias y seleccionar "Este marco" > "Mostrar solo este marco". Esto revelará la página real y podrás ver que la URL no lo es.