Los ataques de phishing más sofisticados ( Phishing becomes very difficult to detect)
Parece que los ataques de phishing que se pueden montar cada vez son más sofisticados. En el siguiente artículo tenéis una explicación:
http://www.laflecha.net/canales/seguridad/noticias/200505271/
Y en http://www.hispasec.com/directorio/laboratorio/phishing/demo tenéis unos vídeos explicativos de como lo han hecho.
Increíble, y cuidado con los bancos online (los únicos con los que trabajo)
++++++++++++++
It seems that phishing attacks are becoming more and more sofisticated, and they are more difficult to detect.
In http://www.laflecha.net/canales/seguridad/noticias/200505271/ you have an explanation,
and in http://www.hispasec.com/directorio/laboratorio/phishing/demo you have videos also explaining it --------------------------------------------------------------------------------------------
http://www.laflecha.net/canales/seguridad/noticias/200505271/
Y en http://www.hispasec.com/directorio/laboratorio/phishing/demo tenéis unos vídeos explicativos de como lo han hecho.
Increíble, y cuidado con los bancos online (los únicos con los que trabajo)
++++++++++++++
It seems that phishing attacks are becoming more and more sofisticated, and they are more difficult to detect.
In http://www.laflecha.net/canales/seguridad/noticias/200505271/ you have an explanation,
and in http://www.hispasec.com/directorio/laboratorio/phishing/demo you have videos also explaining it --------------------------------------------------------------------------------------------
Comments:
<< Home
¡LA LECHE! Al final nos dejarán pelados las cuentas cual timo de la estampita...
# posted by 
: Tuesday, 31 May, 2005
: Tuesday, 31 May, 2005
Pues sí, hay que tener mucho cuidado, y los bancos tendrán que ir implantando medidas de seguridad adicionales, como las tarjetas de claves y cosas por el estilo.
De los que conozco, bankinter me parece bueno, aunque la seguridad de las operaciones vía telefónica me parece que sería mejorable
Ya veremos...
De los que conozco, bankinter me parece bueno, aunque la seguridad de las operaciones vía telefónica me parece que sería mejorable
Ya veremos...
Los videos de Hispases son impactantes pero tienen un pero.
Con la configuración por defecto de cualquiera de los navegadores que usamos normalmente: Internet Explorer, Mozilla, Firefox ú Opera siempre que accedemos o abandonamos una conexión segura nos suele aparece una ventanita de aviso. Además cuando el servidor al que nos conectamos via SSL (candadito) nos presenta su certificado tambien se realizan una serie de comprobaciones: Si es válido, si pertenece al servidor al que nos estamos conectando, si está caducado y la más importante; Si está firmado por una entidad en la que nosotros hemos depositado nuestra confianza (los famosos certificados raíz de Verisign o FNMT).
Pues bien, el 'truco' por decirlo de alguna forma que hace la gente de Hispasec es aprovecharse de otra vulnerabilidad como es el Cross Site Scripting para crear una página web bastante similar a la original del banco, que incluya una frame que en realidad esta presentando el contenido de otro servidor que nada tiene que ver con el banco en cuestión. Pero ojo!!!! este contenido tambien va con SSL (ninguna ventanita de aviso aparece en el navegador) y ademas y más importante, el certificado que nos presenta es totalmente válido (firmado si no recuerdo mal por verising). Lo que haría muy fácil perseguir al atacante o hacker en cuestión. Para que Verising te firme algo, tiene que estar muy seguro de saber quien eres.
Si en lugar de Verisign el certificado lo firmase "Firmas Manolito" nuestro navegador nos avisaría. Mientras que si el contenido de la frame creada a medida no fuese por SSL tambien nos saldría una ventanita de aviso notificandonoslo.
Ya me estoy liando demasiado. En definitiva, que tampoco hay que pensar que estamos tan desprotegidos. Eso si, que nadie de al boton ACEPTAR por defecto cuando se conecte al banco y le saque una ventanita con algun aviso, porque eso no es como instalar un programilla, te estas jugando los cuartos.
Nada más, Quique por favor, traducelo al inglés para llegar a todo el mundo.
Con la configuración por defecto de cualquiera de los navegadores que usamos normalmente: Internet Explorer, Mozilla, Firefox ú Opera siempre que accedemos o abandonamos una conexión segura nos suele aparece una ventanita de aviso. Además cuando el servidor al que nos conectamos via SSL (candadito) nos presenta su certificado tambien se realizan una serie de comprobaciones: Si es válido, si pertenece al servidor al que nos estamos conectando, si está caducado y la más importante; Si está firmado por una entidad en la que nosotros hemos depositado nuestra confianza (los famosos certificados raíz de Verisign o FNMT).
Pues bien, el 'truco' por decirlo de alguna forma que hace la gente de Hispasec es aprovecharse de otra vulnerabilidad como es el Cross Site Scripting para crear una página web bastante similar a la original del banco, que incluya una frame que en realidad esta presentando el contenido de otro servidor que nada tiene que ver con el banco en cuestión. Pero ojo!!!! este contenido tambien va con SSL (ninguna ventanita de aviso aparece en el navegador) y ademas y más importante, el certificado que nos presenta es totalmente válido (firmado si no recuerdo mal por verising). Lo que haría muy fácil perseguir al atacante o hacker en cuestión. Para que Verising te firme algo, tiene que estar muy seguro de saber quien eres.
Si en lugar de Verisign el certificado lo firmase "Firmas Manolito" nuestro navegador nos avisaría. Mientras que si el contenido de la frame creada a medida no fuese por SSL tambien nos saldría una ventanita de aviso notificandonoslo.
Ya me estoy liando demasiado. En definitiva, que tampoco hay que pensar que estamos tan desprotegidos. Eso si, que nadie de al boton ACEPTAR por defecto cuando se conecte al banco y le saque una ventanita con algun aviso, porque eso no es como instalar un programilla, te estas jugando los cuartos.
Nada más, Quique por favor, traducelo al inglés para llegar a todo el mundo.
# posted by : Thursday, 02 June, 2005
: Thursday, 02 June, 2005
Ahora me pongo a la traducción, cachondo.
Pues gracias por añadir un poco de tranquilidad, porque esto está desmelenado.
Por cierto, si necesitais traducciones, Google tiene en Language Tools traducciones de un montón de idiomas al inglés y en algún caso al castellano
Post a Comment
Pues gracias por añadir un poco de tranquilidad, porque esto está desmelenado.
Por cierto, si necesitais traducciones, Google tiene en Language Tools traducciones de un montón de idiomas al inglés y en algún caso al castellano
<< Home
