Tab Hijacking, vulnerabilidad orientada al Phising

El Phising es una técnica utilizada para usurpar una identidad y recabar datos personales (Ejemplo, hacerse pasar por un banco y robar las credenciales de acceso a la gestión de cuentas).

A esta problematica, se ha unido una nueva técnica, el Tab Hijacking.

Una medida de seguridad básica para evitar el Phising, era comprobar que el dominio al que accedemos es el adecuado y no otro con nombre parecido ni nada asi. Pero con este problema de seguridad, esta medida pierde su eficacia.

El Tab Hijacking consiste en que al tener varias pestañas en un navegador, una pestaña puede modificar el aspecto de otra, de forma automatica e instantaneamente, sin modificar la url que aparece. Proponemos un ejemplo práctico para ver como funciona.

Ejemplo : tenemos abierta la pestaña de acceso a nuestro banco, mibanco.com donde tenemos un menu para introducir nuestras credenciales. Esta pestaña esta en el servidor adecuado y es la real del banco. En otro sitio, abrimos el website paginamaligna.com . Esta puede modificar el aspecto de la pestaña de mibanco.com .  Para hacerlo mas creible, podria hacer el mismo aspecto y solo cambiar a que url se envian las credenciales y luego redirigirnos al banco. Asi nos han robado los datos de acceso y ni nos hemos dado cuenta…
Una posible solución es SOLO abrir una pestaña cuando se realicen operaciones delicadas que puedan ser victimas de phising.

Aprovecho para recordar una serie de consejos anti-phising:

1-Verifique dos veces siempre que la direccion en la barra de su navegador sea la direccion legitima del banco.

2-La táctica es el miedo, si recibe un correo pidiendo que por favor actualice sus datos NO CONTESTE ni llene formularios de ningun tipo. Ellos siempre van a presionarlo por sus datos, expresiones como “si no actualiza sus datos vamos a cerrar o congelar su cuenta”

3- Haga revisiones periodicas de sus computadoras

4- Si maneja mucho dinero en el banco use varias cuentas

5- NO usar computadoras publicas para revisar sus cuentas.

6- Desconfie de todo el mundo

7- Si recibe una llamada telefonica de su banco pidiendole datos nunca los de

8- Confirme sus transacciones importantes, por via telefonica, siendo uste el que llame.

Post to Twitter

This entry was posted in Internet, Noticias, Seguridad, Virus / Troyanos and tagged , , , , , . Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada.