Phishing

Robert Hansen (a.k.a RSnake) no ha quedado nada satisfecho con la actitud de Google ante un problema de XSS detectado por él en el dominio gmodules.com. Y no me extraña; tras proceder RSnake de forma cuidadosa y absolutamente irreprochable, la respuesta de Google ha sido el clásico "no es un bug, sino una característica", lo que lleva a RSnake a considerar una posibilidad preocupante: que los técnicos de Google no entiendan lo que significa esta vulnerabilidad. Porque la otra posibilidad es aún peor: que lo entiendan, pero no les importe en absoluto....

Hace ya algunos meses, muchas páginas web de empresas colombianas dejaron de estar accesibles durante semanas para los colombianos, en un curioso caso donde parecen mezclarse incompetencia y servilismo a dosis iguales.

Al parecer, todas estas empresas desaparecieron de la vista de los colombianos a solicitud de la empresa privada Bancolombia, actuando la CCIT (Cámara Colombiana de Informática y Telecomunicaciones) como brazo ejecutor. Está organización no sólo administra el NAP Colombia -la salida internacional de Colombia a Internet- sino que también asesora a los proveedores de Internet en cuestiones de seguridad. Desgraciadamente, parece que varios de estos proveedores implementan las "recomendaciones" informales de la CCIT como leyes, cuando la CCIT sólo copia y pega las listas negras de Bancolombia a sus recomendaciones.

En este caso concreto, el jaqueo de una simple página en un servidor norteamericano (utilizada para realizar phishing contra clientes de Bancolombia), provocó una orden de "neutralización" de todas las web colombianas alojadas allí, orden que fue ejecutada servicialmente por los ISPs colombianos y que condujo al indiscriminado apagón digital...

Son las conclusiones del estudio realizado por IBM Internet Security Systems, basado en los 3.544 webs de phishing que aparecen en una semana que pueda considerarse como poco prolífica en ese aspecto.

De ellos, nada menos que 3.256 (92 %) han sido confeccionados utilizando kits de phishing, es decir, soluciones pret-a-porter, donde el estafador sólo tiene que seguir instrucciones sencillas para lograr crear su trampa, un poco al estilo de los antiguos kits para fabricar virus, tan populares hace una década.

Pero aún hay otra conclusión interesante del estudio...

Opera 9.21 en Windows (en Linux no, al menos en mi caso) facilita que el usuario sea víctima de phishing porque las URLs aparecen cortadas en los cuadros de diálogo a partir del carácter 34. De ese modo, una URL larga como la siguiente:

securelogin.profiles.microsoft.com.testing.bitsploit.de

aparecería en Opera 9.21 para Windows como se muestra en la siguiente imagen:

dando al usuario la idea equivocada de que se encuentra en otro sitio diferente, por lo que podría teclear confiado su login y password.

No existe parche y podrían estar afectadas otras versiones...

Ya manifesté en su momento mi poco entusiasmo por este tipo de mecanismos identificadores, así que este trabajo no hace más que reafirmarme en lo dicho: ¡Que se identifiquen ellos!