ADDRESS BAR SPOOFING Y LOS ATAQUES DE PHISING
Supongo que como muchos de vosotros, ayer ví a Chema Alonso en El Hormiguero hablando del «tan famoso» robo de fotografías de un usuario de Apple iCloud que han puesto en alerta a muchas personas que se plantean como pueden evitar estos ataques. El vídeo, como todo lo que leemos de Chema Alonso en su blog elladodelmal.com no tiene desperdicio.
Pero quiero aprovechar esta noticia para hablar de una vulnerabilidad de la que se aprovechan muchos atacantes para realizar ataques de Phishing (suplantación de identidad).
Se trata del Address Bar Spoofing, y lo que hace esta vulnerabilidad es ocultar la url de la web en la que estamos navegando, con lo que no podemos averiguar si se trata de una dirección que nada tiene que ver con el «supuesto enlace» al que debía remitirnos.
CASOS REALES
Aunque parezca mentira esta vulnerabilidad es más común de lo que pensamos. Los que utilizáis la aplicación oficial de gmail para iPhone (no he podido comprobar si también pasa para Android pero me temo que si) lo podéis comprobar muy fácilmente.
Ir a cualquiera de los correos electrónicos que tengáis en la bandeja de entrada y que tengan un enlace, donde debería llevar a la página web oficial de la compañía, amigo, etc… que nos envía el correo y podemos comprobar que se nos abre un WebView y no nos permite ver la url de la página.
Ejemplo con un correo de Ryanair recibido en Gmail:
Imagen 1: correo original recibido en Gmail. Imagen 2: Una vez pulsamos el botón de más información nos abre la página web pero no vemos la url.
Esta vulnerabilidad también se da en otras herramientas, como por ejemplo, en Twitter.
LO QUE DEBERÍAMOS HACER
Para evitar estos posibles ataques lo primero que debemos hacer es intentar visualizar la url para asegurarnos que se trata de un dominio correcto. Para hacer esto debemos darle a la flecha de la parte inferior derecha y nos preguntará si queremos abrir la página con nuestro navegador:
Una vez abramos la página con nuestro navegador ya podremos visualizar la url y tomar la decisión de seguir o no navegando en dicha página.
LA SOLUCIÓN DEFINITIVA
Como siempre digo, está muy bien aprender como funcionan estas vulnerabilidades y conocerlas para poder evitarlas si se da la ocasión, pero la solución definitiva al final va a ir más encaminada hacia aplicar el sentido común en muchas de nuestras acciones en la red, es decir, no debemos introducir contraseñas, pines, nº de cuenta, etc… a menos que estemos completamente seguros de que se trata del sitio oficial y que estamos en una red segura. ¿Fácil no?