Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Técnicas phishing utilizando texto invisible, ZeroFont y typosquatting


Inky Technologies descubrió correos electrónicos de phishing que utilizan una táctica diseñada para engañar a los controles de seguridad que filtran los mensajes de correo electrónico en función de si los correos electrónicos contienen texto y secuencias de texto que se han asociado previamente con estafas de phishing.




Estamos acostumbrados a que los delincuentes informáticos introduzcan enlaces y archivos adjuntos maliciosos en correos electrónicos de phishing. Eso no significa que no haya errores ocasionales que resulten en infecciones de malware, pero en su mayor parte, los usuarios con conocimientos reconocen los trucos que se utilizan para engañarlos.

Los estafadores están explotando la complejidad de Unicode/HTML para incrustar "texto invisible" en un correo electrónico para confundir a los filtros. 






El ataque conocido como "text direction deception" es una táctica en la que un atacante obliga a un motor de renderizado HTML a mostrar correctamente el texto que se ha introducido deliberadamente hacia atrás en el código; por ejemplo, obtener texto que existe en código HTML como "563 eciffO" al renderizar lo se visualiza correctamente como "Office 365".

ZeroFont Phishing Attack en Office 365


Una idea clave de nuestro informe reciente es que hay puntos de código en Unicode que corresponden a caracteres que no tienen ninguna representación visual. En efecto, son "invisibles". Uno estos caracteres es el SOFT HYPHEN "-": se usa para indicar que es aceptable dividir una palabra en el punto indicado e insertar un guión visible allí. El punto es que SOFT HYPHEN no es visible al usuaio, por diseño, pero para analizador de texto del correo electrónico, también podría ser un carácter visible como una X mayúscula.

Código fuente HTML



Hoja de estilos CSS: Tamaño 0
#xv { font-size:0px; }


Este tipo de estafa de phishing es desagradable porque la persona promedio no tiene idea de que existe la capacidad de colar este tipo de código en los correos y HTML. Ahora se usarán letras, caracteres o puntos de código adicionales, siempre que esté codificado en el texto, para confundir cualquier coincidencia de patrones que haga analizador de correo.

Este es el tipo exacto de problema de ciberseguridad para el que se crearon la inteligencia artificial y el aprendizaje automático. Para que las tecnologías de inteligencia puedan detectar estos caracteres invisibles. Es necesario poder comparar y contrastar dos versiones del correo electrónico: una con la versión de texto sin formato/HTML incorporada en el código y otra con lo que es realmente visible para el usuario final.

Typosquatting


  • Typosquatting. El "arte" de confundir con direcciones parecidas
En realidad, el typosquatting, como tal, no es ninguna compleja tecnología que empleen los ciberdelincuentes para sus actividades. Sin embargo, sí que se aprovechan de ella, de esa «circunstancia», para perpetrar algunas de sus fechorías.

¿A que alguna vez te has confundido y has escrito, por ejemplo, «www.GOGLE.es» en lugar de «www.GOOGLE.es»?

Si lo has hecho bien y has escrito GOOGLE


l typosquatting es la técnica e aprovecharse de que los usuarios, en muchas ocasiones y/o de forma habitual, escribimos incorrectamente las direcciones de determinadas páginas web y/o de que en muchas ocasiones no nos fijamos bien o no distinguimos bien lo que hay escrito en un enlace antes de pincharlo.  Esto, que en sí mismo no es un problema, puede convertirse en uno, e importante.


Una vez más, una acción con mucho ratio de éxito que se ampara en la ingeniería social, la «suplantación» de identidad y sobre todo en el factor humano, porque errare humanum est siendo éste, sin duda, el eslabón más débil de la cadena.


Robar las claves de tu banco tras recibir un supuesto SMS 

Ejemplo SMS recibido


Aparentemente la web tiene la misma apariencia:


Salvo que si miramos la URL en la barra de direcciones (algo que mucha gente no hace nunca) veremos que el dominio es:


  • https://www.bbiva.es/

¿bbiva.es?  Debería ser bbva.es

Fuentes:

2 comentarios :

Ángel dijo...

Un artículo estupendo
Gracias por la información y el trabajo

Kiko dijo...

Muy instructivo, el enemigo no descansa.

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.