ecoestadistica.com

martes, julio 11, 2006

Paper: Como Utilizar a Google para un Ataque de Phishing...

Google y Yahoo tienen un defecto de redireccionamiento de URL que pueden ayudar para un ataque de Phishing, distribución de troyanos, spammers, etc.

Si un usuario posiciona su cursor sobre un enlace, este debería mostrarle a donde va a dirijirlo. Pero no siempre es el caso y dos de los motores de búsqueda mas populares, contribuyen al problema.

Algunos detalles de estas vulnerabilidades han sido relatados con anterioridad, pero los problemas no han sido solucionados. El ejemplo siguiente muestra como una URL enviada mediante un mail o integrada en una pagina web, puede tener su ubicacion verdadera enmascarada con la ayuda de Google. Coloque su cursor sobre los links siguientes y luego haga click sobre ellos para ver lo que sucede:

Note que usted no se dirijio al sitio de Google aun cuando el texto en la barra de direcciones y la URL sobre la barra de estado indicara lo contrario. Note que la verdadera URL (sobre todo en el ejemplo Firefox) no es reconocible como una URL para la mayoría de la gente, ya que la mayoria de las personas no puede reconocer la dirección de IP como un URL sin ' HTTP: ' incluido.

Yahoo tiene problemas similares en los cuales ellos utilizan el redireccionamiento de URL sin necesidad de cargar una de sus páginas. Pero no se ha encontrado un modo de ocultar el http: //.

Es que el redirector de Yahoo requiere el http: // entonces es un poco más obvio. Aunque muchos usuarios probablemente se engañaran con ello.

Google puede avanzar un poco mas sobre este tema. Ponga su cursor sobre este ejemplo y luego trate de decirme que esto no engañaría a la mayor parte de los usuarios finales:
  • PayPal.com
  • Lo bueno de esto, es que funciona con IE y Firefox : Paypal.com
    Notese la cantidad excesiva de numeros al final de la URL.
Combine esto con un poco de ingeniería social como una mención a la sociedad Google / PayPal y usted podria engañar a unos cuantos.
Google y Yahoo deberian solucionar este problema. No sería difícil asignar una sesión ID a un usuario y requerirla que sea parte de la URL para recien redirijirlo. En Google (o Yahoo) la sesión ID simplemente tendría que fijarse que fue asignado a una dirección IP particular. Si ello no coincide, la URL no sera mostrada a ese usuario por Google. Seguramente hay otros modos de solucionar esto también.

Referencias:
Seclists

ecoestadistica.com