Phishing in-session, nueva generación de ataque phishing

  • Por
Una vulnerabilidad descubierta en la mayoría de navegadores web permite un nuevo tipo de ataque phishing sin necesidad de engaño mediante correo electrónico.
21/01/2009 - Phishing in-session o phishing durante sesión permite que un hacker que previamente ha atacado un sitio web legitimo (fundamentalmente bancos ) donde ha infiltrado código HTML se manifieste a un usuario, al visitar dicha web, en forma de ventana de seguridad. En esta ventana de apariencia completamente oficial será solicitada contraseña e información confidencial de acceso como cuestiones de seguridad, utilizadas por los bancos para verificar la identidad de sus clientes.

La mayor dificultad con la que se encuentra un ataque phishing tradicional es la apariencia de legitimidad que debía tener el señuelo para engañar a la victima, sin embargo según publica la compañía de seguridad informática Trusteer, gracias a una brecha existente en los motores JavaScript de los navegadores web más extendidos, existe una forma de hacer que este tipo de ataque sea altamente eficaz.

Amit Klein, director de tecnología de Trusteer, asegura haber encontrado la forma de saber si alguien se ha conectado y ha sido autenticado en una determinada web, siempre que utilice una determinada función JavaScript, por lo que el ataque puede ser lanzado en el momento más oportuno para que este sea creible.

No se han dado más detalles sobre la mencionada vulnerabilidad para no dar pistas a los ciberdelincuentes, aunque toda la información esta nueva técnica bautizada como Phishing in-session se ha puesto ya en conocimiento de los fabricantes de navegadores para que sea resuelta.