Phishing que puede burlar el https
Hispasec muestra en tres sencillos videos, por qué no es suficiente verificar algunos parámetros de seguridad.
Según se puede leer en el boletín una al día de hispasec del 26 de mayo, con un simple ataque XSS, se puede hacer creer al usuario que está en una página segura.
Para la demostración se ha utilizado la web de Bankpyme.
De hecho, el usuario puede ver en la barra de direcciones que está en la web del banco.
Puede ver también que se utiliza el protocolo https.
Si hace click en el “candadito”, podrá ver el certificado.
Puede, además, verificar la validez del certificado otorgado por verisign.
Con todo esto… ¿quién dudaría?… pues creo que nadie.
¿Cómo evitarlo?
Pues aunque esto no es culpa del usuario sino de algunas vulnerabilidades propias de las páginas de algunos sitios que dicen ser seguros, igual podríamos ser afectados.
La recomendación es la de siempre: no seguir enlaces llegados al email (o en general, ningún un enlace), sino, escribir manualmente la dirección en el navegador.
Podemos ver la demostración en los tres videos:
1.) Demostración del caso.
2.) ¿Cómo se hizo el phishing?
3.) Explicación del XSS.
Loading ...
jpinedo para 
