Errores de diseño que ayudan al Phishing

Escrito el 7 junio 2007, 09:11pm en Phishing ,Seguridad

Via SecurityFocus me enteraba de un error de diseño en Opera, mi navegador favorito. Y mirando bien, el error aunque un poco tonto, puede prestarse para mucha confusion. En si el problema radicaria en que Opera, al mostrar el recuadro de dialogo de autentificacion (HTTP Basic Authentication) corta los caracteres correspondientes al nombre de dominio al cual se pretende ingresar.

Por ejemplo, al ingresar a la URL:
securelogin.profiles.microsoft.com.testing.bitsploit.de
, Opera corta el nombre del dominio y solo muestra en los datos del servidor:
securelogin.profiles.microsoft.com…
Imagen de ejemplo (extraida de Kriptopolis.org) :
operavul.gif

Como pueden ver, facilmente uno podria llegar a pensar de que estamos ingresando a un subdominio de Microsoft.

Bueno hasta aqui lo publicado por la gente de THW; pero que sucede si ademas personalizamos un poco el mensaje mostrado por el navegador, en el caso anterior es: «Do you like phishing?» (¿Te gusta el phishing?). Si agregamos unos caracteres como por ejemplo un TAB horizontal (x09), lograremos algo asi:

en Opera:
opera_login.jpg

en Firefox:
ff_login.jpg

en Internet Explorer:
ie_login.jpg

En el caso de Firefox e Internet Explorer, se han agregado algunos caracteres mas, porque estos navegadores no limitan bien el largo del mensaje, asi que podemos ayudar a nuestra «estafa» utilizando un poco mas de ingenieria social en el texto del mensaje. Si bien en Firefox al final del mismo muestra la URL completa, por lo general la gente suele tender a no leer todo lo que se le muestra en pantalla, y posiblemente solo se quede con las palabras «CAJA MADRID» y «ACCESO SEGURO» en mente. En la barra de titulo de la ventana mostrada en Internet Explorer, se puede ver tambien que el nombre del dominio es recortado, lo que vendria a ser un «equivalente» al error de diseño en Opera, aunque si posamos el mouse sobre dicha barra se nos mostrara un aviso con la URL completa a la cual estamos intentando acceder. Ver captura.

Este articulo, lo unico que pretende es demostrar que ningun navegador (al menos los 3 mas populares) estan totalmente sanos en cuanto a diseño se trata, es cuestion de encontrarle la vuelta.

Prueba de concepto:
http://www.oie.cajamadridempresas.es.martinaberastegue.com/

NOTA: He utilizado el nombre de «Caja de Madrid» solo por citar una entidad conocida, esto no significa que dicha entidad sea vulnerable y/o insegura para sus usuarios.

Mas Capturas:

Opera:

Firefox:

Internet Explorer:

Enlaces relacionados:

Opera HTTP Auth Phishing
http://www.0x000000.com/?i=334

Opera Web Browser Basic Authentication Server Domain Spoofing Vulnerability
http://www.securityfocus.com/bid/24352

Fallo de diseño en Opera facilita el phishing
http://www.kriptopolis.org/vulnerabilidad-en-opera-facilita-phishing

Comentarios (2)

  1. lucia_girasoles — octubre 12, 2007 a las 12:42 pm

    ..no pude encontrar la forma de comunicarme con usted asi q tuve q dejar un comentario, alguien me peude ayduar a encontrar archivos .swf .fla acerca de seguridad de la informacion y seguridad informatica, los necesito para un seminario….muchas gracias

  2. Martin Aberastegue — octubre 14, 2007 a las 11:52 pm

    Hola Lucia, si estas buscando presentaciones en Flash sobre Phishing te recomiendo la web http://www.identidadrobada.com/ y que te des una vuelta por las webs de los bancos que suelen tener este tipo de informacion en flash.

Los comentarios están cerrados para este artículo.