Hispasec muestra en tres sencillos videos, por qué no es suficiente verificar algunos parámetros de seguridad.
Hispasec muestra en tres sencillos videos, por qué no es suficiente verificar algunos parámetros de seguridad.
Para la demostración se ha utilizado la web de Bankpyme.
De hecho, el usuario puede ver en la barra de direcciones que está en la web del banco.
Puede ver también que se utiliza el protocolo https.
Si hace click en el “candadito”, podrá ver el certificado.
Puede, además, verificar la validez del certificado otorgado por verisign.
Con todo esto… ¿quién dudaría?… pues creo que nadie.
¿Cómo evitarlo?
Pues aunque esto no es culpa del usuario sino de algunas vulnerabilidades propias de las páginas de algunos sitios que dicen ser seguros, igual podríamos ser afectados.
La recomendación es la de siempre: no seguir enlaces llegados al email (o en general, ningún un enlace), sino, escribir manualmente la dirección en el navegador.
Podemos ver la demostración en los tres videos:
1.) Demostración del caso.
2.) ¿Cómo se hizo el phishing?
3.) Explicación del XSS.
esta tecnica hace halgun tiempo fue usado para conseguir passwords de mails usando fakes
Como bien comenta vart esto ya se utilizaba antes y es uno de los inconvenintes de utilizar frames en los sitios que manejan datos sensibles. Aguas!