Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
-
▼
septiembre
(Total:
16
)
- Acusados en Cataluña de crear copias de una página...
- Deloitte también fue hackeada y los datos de sus c...
- Disponible Kali Linux 2017.2 con nuevas herramient...
- El incidente de CCleaner distribuyendo malware
- La EFF renuncia a su puesto en el W3C
- Google anunciará los teléfonos Pixel 2 y 2 XL el 4...
- Hackers de Europa del Este se han infiltrado en la...
- Diferencias entre el iPhone X, iPhone 8 y iPhone 7
- Usuario y contraseña “admin” en el portal de Equif...
- Importantes actualizaciones de seguridad para prod...
- BlueBorne es la vulnerabilidad de Bluetooth que af...
- Google Drive será reemplazado por Google Backup an...
- Roban datos personales de más de 143 millones de p...
- Nuevas técnicas de Phishing usando caracteres Unicode
- PaellaCON: II Jornadas de Seguridad Informática en...
- Hackean Taringa y filtran 28 millones de contraseñas
-
▼
septiembre
(Total:
16
)
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Nuevas técnicas de Phishing usando caracteres Unicode
jueves, 7 de septiembre de 2017
|
Publicado por
el-brujo
|
Editar entrada
Descripción de un caso de intento de fraude tipo phishing apoyado en URL
con unicode y emisor de certificados gratuitos (Let's Encrypt). El intento del
protagonista de recuperar su smartphone robado estuvo a punto de salirle
muy caro ya que casi pica ante un fraude bastante bien elaborado.
Le habían robado su flamante Iphone 6S. Acto seguido, con el móvil de su amiga Cristina, buscaron por Internet información sobre cómo localizar un dispositivo robado iPhone comprobando que con el modo “Perdido” que ofrece iCloud, podrían localizar el móvil (en caso de estar encendido), bloquearlo de forma remota y también enviar un mensaje personalizado al mismo para informar al ladrón o la persona que lo encontrase, que el teléfono estaba bloqueado y que procediesen a la devolución siguiendo las indicaciones del mensaje.
Así pues, Asun envió un mensaje a su móvil con intención de que se lo devolvieran:
Los usurpadores del móvil, tras ver el mensaje, y ser conocedores de esta opción de recuperación del dispositivo que facilita iCloud, pusieron en marcha su plan B para robar las credenciales de dicho servicio a Asun y así hacerse con el control del teléfono.
Para ello hicieron uso de un servicio mediante el cual se puede proceder al envío de un SMS o email suplantando a una entidad original, en este caso Apple, para solicitar las credenciales originales de acceso al servicio de iCloud de Asun.
Y así fue… al teléfono de Cristina, la amiga, llegó el siguiente SMS:
Asun pensó que se trataba del servicio de localización de su teléfono, por lo que nerviosa por saber su ubicación accedió al enlace. A continuación se abrió una página con la web de iCloud… o eso parecía aparentemente.
Una de las cosas que Asun sabía es que cualquier web en las que hubiera que introducir credenciales, debía contar con certificado de seguridad y empezar por https. En esta ocasión, a simple vista así era: aparecía candado verde en el navegador y la url comenzaba por HTTPS. Sin embargo, rápidamente se dio cuenta que algo en la dirección no estaba bien. Aunque aparentemente parecía ser la web de iCloud, en la URL había un puntito que le parecía cuanto menos sospechoso.
Además, al pinchar sobre el candado verde para comprobar el certificado, detectó que la URL no era la legítima de iCloud, sino otra que nada tenía que ver.
Por otro lado, para dotar de mayor credibilidad al fraude, han utilizado una autoridad certificadora que expide certificados gratuitos (Let’s Encrypt). De esta forma, el usuario ve el candado verde y el https en la URL.
Al mismo tiempo que Asun se percataba del engaño, los ladrones del móvil pensando que Asun les enviaría sus credenciales con el engaño dejaron encendido el dispositivo, de tal forma que Asun pudo ver la localización exacta de su teléfono. Denunció lo sucedido y con la ayuda de las Fuerzas y Cuerpos de Seguridad del Estado, pudieron acudir al lugar donde la señal se encontraba activa y localizar a los ladrones y recuperar el teléfono.
Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como "xn--pple-43d.com", equivalente a "аpple.com" por el uso de la a en cirílico "а" (U+0430) en vez de la "a" en ASCII (U+0041). Este tipo de ataques son conocidos como homográficos.
Pero el sistema de protección ante ataques homográficos falla si todos los caracteres son sustituidos con un carácter similar del mismo lenguaje. El dominio "аррӏе.com" registrado como "xn--80ak6aa92e.com" evita el filtro al emplear únicamente caracteres cirílicos. Esta forma de evitar la protección afecta a Chrome y Firefox, mientras que Internet Explorer, Microsoft Edge y Safari se libran del problema.
El desarrollador Xudong Zheng (@Xudong_Zheng) reportó el fallo a Chrome y Firefox el 20 de enero de 2017 y confirma que ha quedado corregido en la rama de Chrome 59, aunque finalmente se incluirá en
Chrome 58 que estará disponible en torno a la semana que viene. Por ahora sigue sin corregir en Firefox ya que no han decidido si está dentro de su alcance.
Como contramedida en Firefox se puede configurar desde
Esto fuerza a Firefox a mostrar siempre los dominios IDN en su forma Punycode, lo que permite identificar los dominios maliciosos.
Fuentes:
https://www.osi.es/es/actualidad/historias-reales/2017/08/23/nuevos-tiempos-nuevos-fraudes-phishing-unicode
http://unaaldia.hispasec.com/2017/04/phishing-con-caracteres-unicode.html
Le habían robado su flamante Iphone 6S. Acto seguido, con el móvil de su amiga Cristina, buscaron por Internet información sobre cómo localizar un dispositivo robado iPhone comprobando que con el modo “Perdido” que ofrece iCloud, podrían localizar el móvil (en caso de estar encendido), bloquearlo de forma remota y también enviar un mensaje personalizado al mismo para informar al ladrón o la persona que lo encontrase, que el teléfono estaba bloqueado y que procediesen a la devolución siguiendo las indicaciones del mensaje.
Así pues, Asun envió un mensaje a su móvil con intención de que se lo devolvieran:
Los usurpadores del móvil, tras ver el mensaje, y ser conocedores de esta opción de recuperación del dispositivo que facilita iCloud, pusieron en marcha su plan B para robar las credenciales de dicho servicio a Asun y así hacerse con el control del teléfono.
Para ello hicieron uso de un servicio mediante el cual se puede proceder al envío de un SMS o email suplantando a una entidad original, en este caso Apple, para solicitar las credenciales originales de acceso al servicio de iCloud de Asun.
Y así fue… al teléfono de Cristina, la amiga, llegó el siguiente SMS:
Asun pensó que se trataba del servicio de localización de su teléfono, por lo que nerviosa por saber su ubicación accedió al enlace. A continuación se abrió una página con la web de iCloud… o eso parecía aparentemente.
El ataque homográfico de Unicode
Una de las cosas que Asun sabía es que cualquier web en las que hubiera que introducir credenciales, debía contar con certificado de seguridad y empezar por https. En esta ocasión, a simple vista así era: aparecía candado verde en el navegador y la url comenzaba por HTTPS. Sin embargo, rápidamente se dio cuenta que algo en la dirección no estaba bien. Aunque aparentemente parecía ser la web de iCloud, en la URL había un puntito que le parecía cuanto menos sospechoso.
Además, al pinchar sobre el candado verde para comprobar el certificado, detectó que la URL no era la legítima de iCloud, sino otra que nada tenía que ver.
¿Cómo han podido hacer esto los ladrones?
Han creado una página fraudulenta de tipo phishing en el que la URL en lugar de ser letras del código ASCII, contiene caracteres de tipo cirílicos, que a simple vista tienen el mismo aspecto, pero sin embargo tiene diferente representación Unicode. A este tipo de ataque también se le conoce como phishing homográfico o ataque de phishing mediante el uso de caracteres Unicode.Por otro lado, para dotar de mayor credibilidad al fraude, han utilizado una autoridad certificadora que expide certificados gratuitos (Let’s Encrypt). De esta forma, el usuario ve el candado verde y el https en la URL.
Al mismo tiempo que Asun se percataba del engaño, los ladrones del móvil pensando que Asun les enviaría sus credenciales con el engaño dejaron encendido el dispositivo, de tal forma que Asun pudo ver la localización exacta de su teléfono. Denunció lo sucedido y con la ayuda de las Fuerzas y Cuerpos de Seguridad del Estado, pudieron acudir al lugar donde la señal se encontraba activa y localizar a los ladrones y recuperar el teléfono.
Phishing con caracteres Unicode
Se ha confirmado un
problema en Chrome y Firefox que podría permitir la realización de ataques de phishing mediante el uso de
caracteres Unicode. Conocidos como ataques homográficos, representan un
problema que los navegadores intentan evitar, pero se ha descubierto una forma para
evitar los controles actuales. Se puede visitar https://www.аррӏе.com/
para entender las implicaciones.
Con el uso de Punycode se pueden representar
caracteres Unicode mediante el subconjunto de caracteres ASCII empleado para
los nombres en Internet. De esta forma se pueden registrar dominios que hagan
uso de caracteres no permitidos, por ejemplo podríamos registrar un dominio
como España.com que quedaría como xn--espaa-rta.com. Evidentemente no es muy
empleado porque para temas como el SEO, promoción y marca, no es muy eficiente.
Queda raro que haya que escribir algo como xn--espaa-rta.com.
Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como "xn--pple-43d.com", equivalente a "аpple.com" por el uso de la a en cirílico "а" (U+0430) en vez de la "a" en ASCII (U+0041). Este tipo de ataques son conocidos como homográficos.
Los navegadores modernos tienen
mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la
forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes
diferentes. De esta forma, por ejemplo el dominio "xn--pple-43d.com" aparecerá
como tal (en vez de "аpple.com") al contar con caracteres de dos
lenguajes, de esta forma se evita la confusión con el dominio real.
Pero el sistema de protección ante ataques homográficos falla si todos los caracteres son sustituidos con un carácter similar del mismo lenguaje. El dominio "аррӏе.com" registrado como "xn--80ak6aa92e.com" evita el filtro al emplear únicamente caracteres cirílicos. Esta forma de evitar la protección afecta a Chrome y Firefox, mientras que Internet Explorer, Microsoft Edge y Safari se libran del problema.
El desarrollador Xudong Zheng (@Xudong_Zheng) reportó el fallo a Chrome y Firefox el 20 de enero de 2017 y confirma que ha quedado corregido en la rama de Chrome 59, aunque finalmente se incluirá en
Chrome 58 que estará disponible en torno a la semana que viene. Por ahora sigue sin corregir en Firefox ya que no han decidido si está dentro de su alcance.
Como contramedida en Firefox se puede configurar desde
about:config
y asignar el valor
network.IDN_show_punycode a true.
Esto fuerza a Firefox a mostrar siempre los dominios IDN en su forma Punycode, lo que permite identificar los dominios maliciosos.
https://www.osi.es/es/actualidad/historias-reales/2017/08/23/nuevos-tiempos-nuevos-fraudes-phishing-unicode
http://unaaldia.hispasec.com/2017/04/phishing-con-caracteres-unicode.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.