Ataque Phishing The Tabnabbing Attack y sus medidas de proteccion

Pal F. Moposita u 10 de octubre de 2011

Resumen Una de las amenazas en los ultimos aos son los ataques de phishing causantes de n mucho dao a empresas y personas dedicadas al comercio electrnico, banca en linea y redes n o sociales o simplemente a todos quienes estamos navegando en la gran Web. La compaia n Mozilla Firefox propuso un nuevo tipo de ataque phishing llamado TabNabbing Attack, un mtodo diferente a los t e picos ataques. En este art culo se realiza un estudio a este nuevo tipo de ataque de phishing y sus medidas de proteccin. Se realiza el estudio y una o explicacin de TabNabbing Atack, de que factores se aprovecha, que usuarios pueden ser o atacados y sus medidas de protecin frente ha este ataque. o Palabras Claves: TabNabbing, El Enga o Original, Soluciones Actuales n

1.

INTRODUCCION

La tecnolog avanzado a pasos agigantados y en la actualidad se ha convertido cada vez mas a idispensables y nos hemos vuelto cada vez ms dependientes de estos, el acceso al internet hoy a en d facilita nuestras vidas, y ha tracendido enormemente en la interaccin, comuicacin de la a o o humanidad alredor del mundo. El imparable ascenso de las tecnolog en la Web social est afectando decisivamente al mbito as a a de los negocios, por lo que herramientas como blogs, wikis, podcast, etc. cobran cada vez ms a importancia en la prctica de hacer negocios a travs de la red, pasando a formar lo que se ha a e denominado, por analog business 2.0 [2], simplemente todos quienes navegamos en la gran a, red Web somos parte, as como navegar en el internet tiene sus grandes benecios tambin e tiene sus riesgos a los que estamos espuestos mas an cuando no se tiene conocimiento de la u existencia real de estos verdaderos peligros que se encuentras atrs de nuestra pgina web de a a conanza. Una de los mayores riegos y fraudes informticos existentes en la actualidad en la web a 1

es el ataque de Phishing que explotando vulnerabilidades humanas logra obtener informacin o sensible de sus v ctimas. El ataque TabNabbing propuesto por el Estadounidense Aza Raskin uno de los investigadores y creadores de Mozilla Firefox, es nuevo y diferente a los t picos ataques de phishing. Todos los Ataques Phishing suceden por la falta de atencin de usuarios en la pgina en la que o a realmente est navegando y la falta de conocimiento de estos ataques que al momento de ser a v timas de la presencia de estos sitios fraudulentos no tienen la capacidad de diferenciarlos con un sitio leg timo. y el ataque TabNabbing igual que todos los anteriores se aprovecha de nuestra falta de percepcin y atencin en que sitio estamos ingresando nuestro datos realmente,el principal o o objetivo de este ataque es engaar a la v n ctima haciendo creer que est en un sitio de conanza a con el n de que proceda a ingresar sus datos, cuando estos automaticamente son redireccionados a otro servidor independiente del original simplemente siendo v timas de robo de informacin o condencial. Mucha gente en l nea no se informa por los expertos en informtica, que es lo a que es URL, SSL, JavaScript o HTML y por qu estos estn relacionados con su seguridad en e a l nea.[5] Los usuarios de internet en nuestro pa como en la mayor de pa Latinoamericanos s a ses al momento de navegar solo nos gamos en el contenido ms visible de la pgina que no es lo mas a a importante sino mas bien esto es aprovechado por los atacantes para crear sitios fraudulentos phishing similares a los originales de nuestra conanza donde la seguridad sin lugar a duda es importante, Este ataque puede ser tan contundente que hasta al mas entendido en esta tecnolog a puede ser engaado. n Ya se han desarrollado algunos mtodos y algunas sugerencias para contrarestar este tipo de e ataque como son: Firefox Manager, El complemento de Mozilla Firefox NoScript, Add - On. En este art culo se realiza un estudio a las tcnicas usadas en el ataque TabNabbing y tambin a e e los mecanismos actuales de proteccin. El art o culo est enfocadode de la siguiente manera: en a el item 2 se cita en detalle en que consiste este ataque TabNabbing, en el item 3 se describe las tcnicas que son usadas para el xito del ataque, El item 4 se da un estudio global de los e e mtodos y algunas sugerencias existentes ms importantes para prevenir el ataque, y nalmente e a se concluye con algunas conclusiones.

2.

TABNABBING

El tabnabbing es un nuevo mtodo de robo de informacin de la navegacin en l e o o nea. Es un cdigo incrustado JavaScript que se aprovecha de los sitios que visitamos con frecuencia, adopta o su apariencia similar al original. Supongamos que tenemos abiertas varias pestaas en nuestro n Internet Explorer pueden se unas 4. En las cuales tenemos abiertas varios sitios que segn nuestro inters en la cual estemos nau e vengando, ya sea un una red social Facebook, correo electrnico Gmail, consultas en Google, o y en la ultima mirando un video en YouTube, comenzamos por la ultima pestaa buscando n 2

algn video en Youtube, luego buscamos alguna informacin en Google, pero si volvemos a ver u o nuestra pgina de Facebook, nos encontramos con la pagina de inicio de sessin en Gmail, nos a o pide que ingresemos nuestra contrasea para logearnos. Si contamos con una cuenta que usamos n frecuentemente en Gmail, vamos a tener la intensin de ingresar, y pues ingresaremos nuestros o datos. Pero en realidad sern enviandos a los ciberdelincuentes que utilizan este ataque para robar a nuestra identidad. Los Usuarios expertos e inexpertos tendemos a tener mucha conanza en las pginas que no a son de conanza, por lo que dicilmente vericamos que la direccin del sitio corresponda a o la del sitio real que nos aparece. El ataque puede ser usado para diversos sitios con el n de robar la identidad de sitios web de bancos, redes sociales, etc. El ataque tiene xito en e todos los Navegadores, pero ya existen algunos complementos principalmente en el navegador Mozilla Firefox, Contiene unas formas para mantener controladas las pestaas que no estas n siendo utilizandas. Pero de momento todos los navegadores son vulnerables ante este tipo de ataque. Segun el art culo [5] Este ataque se aprovecha de nuestra percepcin y de la inmutabilidad que o damos las cosas que dejamos en algun lugar. Un sitio malicioso navegado a travs de pestaas, e n mientras que una pestaa no est activa, esta pestaa es utilizada para engaar. De esta manera n a n n el atacante puede utilizar esta pestaa para obtener acceso a informacin o para otros propsitos n o o relacionados a phishing. tiene xito porque no contamos que una pgina cambie a nuestras e a espaldas y por lo tanto no prestamos mayor atencin a lo que est sucediendo en las pestaas o a n que esta fuera de foco.

3.

TECNICAS DEL ATAQUE TABNABBING

La Mayor de atacantes phishing optan por un engao original, se da este nombre a los t a n picos ataques de phishing pero si la posible v tima detecta irregularidades mientras esta en auge su navegacin como por ejemplo si mira la direccin equivocada o algn cambio en la pgina en su o o u a estructura o simplemente ve que algo anda mal, el ataque es cortado no hay xito. Pero lo menos e que se espera es que una pgina que hemos estado visitando va a cambiar a nuestras espaldas, a Pues esto si nos cae por sorpresa. Pero cmo funciona el Ataque TabNabbing? o 1 El usuario navega a su sitio de apariencia normal. 2 Cuando la pgina ha perdido su enfoque y el usuario no ha interactuado con el por un a cierto tiempo. 3

Figura 1: El ataque TabNabbing en la segunda pestaa comienza a refrescarce fuera de foco n 3 Remplaza el favicon con el favicon de Gmail, el t tulo de (Gmail: correo electrnico de o Google), esto permitir ver la pagina con el nombre de usuario Gmail y mirar como si a fuese de uno mismo. Todo esto se puede hacer con un poco conocimiento de Javascript. 4 La mayor de usuarios en un navegador abre multiples pestaas, El favicon y el t a n tulo son las partes visibles mientras estn fuera de foco mientras se va de pestaa en pestaa la a n n memoria es maleable y moldeable, entre todo este proceso que conlleva la navegacin en o el internet probablemente se dejaron una pestaa de nuestro correo abierto. Al momento n de regresar a la pestaa de nuestro correo que ya no es el leg n timo, encontraremos que nuestra sessin a caducado y por negligencia ingresan sus credenciales siendo facilmente o engaado por el ataque a la inmutabilidad de percepcin de las pestaas. n o n 5 Luego que el usuario ingrese su informacin de acceso y sea revelado al atacante,es enviado o de vuelta a su servidor original redireccionando al servidor real. Esto hace que el inicio de sesin se haya realizado correctamente. o Segn el art u culo [5] El ataque inicial requiere el apoyo de secuencias de comandos que ya est presente y habilitado por defecto en todas navegadores. Con JavaScript se puede observar a eventos del teclado y mouse con el n de detectar las actividades que el usuario realiza en una pgina, el cambio del favicon en las pestaas, el t a n tulo y el contenido de la pgina. Facilitando a que la pgina sea imitada en ocasiones bien similar a la original ya que teniendo acceso a las a propiedades de la pgina es facilmente vulnerada,adems sabiendo que es lo que esta realizando a a en un momento determinado el usuario, en este momento sabr el atacante si es oportuno realizar a el ataque.

Figura 2: volvemos a la pestaa dos nos encontramos el inicio de sessin de GMail n o

3.1.

Actualizaciones de TabNabbing

Existen muchas maneras de mejorar y alcanzar el este ataque, una vez alcanzado el acceso a las propiedades se puede acceder al historia de CSS y detectar que sitios son los que ms a visitado a el usuario y luego realizar especicamente a estos sitios que visita normalmente. Existe otra variacin para este ataque con ms probabilidad de acierto todav aprovechando o a a varios mtodos para saber si un usuario est conectado a un servicio. Estos ataques son ms e a a puntuales como por ejemplo en una carga de imagen, para ver dnde se producen errores al o cargar una pgina HTML o quiz en una etiqueta de script. Una vez que se detect los servicios a a o que un usuario se encuentre conectado y sus errores, el ataque se vuelve an ms ecaz. u a El investigador Aviv Ra [6], hizo una demostracin de prueba, que no requiere soporte de o scripts y aplicaciones HTML, ya que la pgina se refresca en el fondo y de repente se convierte a en una pgina de phishing similar a la pantalla de ingreso a Gmail. a Por su parte Raskin en su blog que habla sobre el tema[3] tambin habla de cmo un atacante e o puede mejorar su ataque con varias otras tcnicas conocidas. El dice que una de ellos es el ataque e a travs del historial de CSS por la que ha desarrollado una pequea biblioteca de JavaScript. e n Esta biblioteca se encarga en detectar qu sitios son visitados por las v e ctimas, que proveedor de correo o el banco que utiliza. podr mejorar mas an todav el ataque si se utilizar window.on a u a a error eventos para detectar si el usuario se registr en un sitio web. o Existen mas maneras de realizar este tipo de ataque a travs de scripts, mashups, plugins, e especialmente RIA plugins como Flash y algunos conocidos de cross-site scripting (XSS). Esto hace que el ataque sea ms peligroso y contundente. a Otra forma ecaz de engao a travs de TabNabbing es el hecho de no poner atencin en la n e o barra de direcciones, ya que usando la barra de direcciones se podr montar una pgina similar a a 5

e igual contenido mediante el uso de tales los nombres de dominio en idiomas distintos del Ingls, e pero buscando muy similar al nombre original, es casi imposible decir la diferencia entre las dos direcciones. Al combinar estos ataques es mas probable que hasta el usuario ms experto puede ser engaado, a n peor an los otros usuarios que no conocen nada del tema. u

4.

ALGUNAS MEDIDAS DE PROTECCION

Este ao se ha venido trabajando enfaticamente en este tema como mitigar estos tipos de n ataques, los expertos en el tema realizan algunas complementos con este propsito las cuales o vamos ha detallar a continuacin: o

4.1.

Firefox Manager

Una de la primeras Soluciones de Aza Raskin es Firefox manager. Que en si es un script un gestor, para que al navegador este en la posibilidad de gestionar la informacin como son las o cuentas de usuarios. Este gestor provee al usuario de la informacin que estar disponible muy o a cerca de la barra de direcciones parecido al Certicado SSL que no es ms que una barra de a informacin en los navegadores de las versiones actuales. o De este modo los usuarios dispondrn de esta informacin de su cuenta desde el inicio de sesin y a o o registrarse en sus pginas, y se mostrar el estado de la sesin en la barra, Con esto los usuarios a a o probablemente no accedern a sitios phishing maliciosos. a El Gestor de cuenta proporcionar informacin de acceso despus de registrarce y los usuarios a o e con suerte se dar cuenta de una pgina maliciosa, cuando su informacin de acceso no aparece. a a o En el art culo de la pgina de Mozilla Firefox [1] nos cita que Firefox Manager guarda tu ina formacin personal, como marcadores, contraseas y preferencias del usuario en un conjunto de o n archivos llamado tu perl , que se almacena en un lugar separado de los archivos de programa Firefox. Puede tener varios perles de Firefox, cada uno con un conjunto distinto de la informacin del usuario. El Administrador de perles le permite crear, eliminar, renombrar y cambiar o el perl. Este complemento puede ser de mas ayuda si utilizamos varios perles y tendemos a gestionar correctamente estos perles que ya son caracter sticas avanzadas con requerimientos de conocimientos, se puede decir que esta destinado a personas con altos conocimientos en esta materia a usuarios avanzados.

Figura 3: Nos permite gestionar perles para navegar con conanza en nuestro navegador

4.2.

NoScript

Un complemento para Firefox llamado NoScript podr ser una de las soluciones, que es NoScript a pues son bloques de HTML objetos, scripts tiene una funcionalidad similar en una dominio base. Esto ser de gran ayuda a este problema si expl a citamente permita utilizar secuencias de comandos para manejar un determinado dominio, y se puede gestionar dando permisos para su ejecucin y de carga en un momento determinado ayudaria mas si se lograr congelar las peso a taas. Esto si protege a los usuarios por que a momento de partir desde una secuencias de n comandos y se diferencie entre un sitio leg timo y un mal intencionado, con el seguimiento a estas herramientas, XSS, CSRF (cross-site de falsicacin de peticin) y a los ataques clickjacking o o ser un complemento que si ayudar a a. Este complemento protege de los scripts maliciosos, y vigila si hay una actualizacin en particular o sobre el HTML que vigila al momento de refrescarse en el fondo. Esto evita que el ataque llevado a cabo con el apoyo de secuencias de comandos, pero existen algunas deciencias de esta solucin. Muchos usuarios especialmente usuarios novatos no les gusta de esta solucin, ya que o o continuamente le pregunta al usuario si desea permitir que una pgina se ejecutar, algun scripts, a plugins etc. Una de las ventajas de utilizar NoScript es la mayor seguridad en nuestros sitios: de un sitio desconocido o en el que no hubiramos entrado antes, con esto no nos encontrar desprevenidos e a si resultara ser maligno. Segn Miguel Mollejon Sanchez en su publicacin [4] NoScript bloquea u o los scripts o complementos de cualquier sitio web hasta que nosotros como usuarios indiquemos que conf amos en dicho sitio web y que consideramos segura la ejecucin de los scripts o o complementos de dicho sitio web. Pero el inconveniente es que al principio requiere intervencin por parte del usuario: es necesario o que el usuario indique manualmente que permite la ejecucin de scripts y complementos de cada o

Figura 4: Este complemento podr salvarnos de intromisin de codigo malicio en las pginas a o a sitio web en el que conf la primera vez que lo visite. En las siguientes ocasiones, su decisin e, o se recuerda y directamente se permiten los scripts y complementos del sitio concreto. Esto hace que exista no mucha conanza ya que si damos conanza la primera vez pues si no sabemos de donde y como proviene pues prodriamos ser v ctimas desde el principio. Adems es un poco riesgozo ya que el sitio podr obtener el permiso. Si no simplemente habr a a a que congurar el complemento de una manera muy ecaz y tomar en serio si se da o no el permiso de ejecucin. o

4.3.

add-on

En esta mtodo de proteccin se basa principalmente en mitigar el intento de phishing de nuestra e o pgina que imita a otro, sin lugar a dudas para realizar este ataque el atacante debe cambiar a el t tulo de la pgina, favicon y diseo. Pero las pginas web son tan complejas e incluyen un a n a conjunto de elementos tales como imgenes, enlaces, cajas de entrada, los prrafos, div y span a a elementos que tambin tienen un estilo rico de conguracin. e o Es dif encontrar dos pginas que tengan diseo similar, ha excepcin que estos tengn el cil a n o a mismo estilo o plantilla origen. As que si hacemos un seguimiento de las pginas y calcular el a nivel en el diseo, se puede detectar si una pgina se convierte en otra sin volver a cargar. n a El objetivo es dar un seguimiento al favicon, a la portada y al diseo en caso que cambie para n cada pestaa unica hasta que se carge un nuevo URL, e informe al usuario en caso de un cambio n en su estructura de la pgina que ser el resultado de comparar entre el estado antiguo y lo a a nuevo, siempre y cuando se active una de estas pestaas. n El mtodo add-on trabaja de la siguiente manera: e

Figura 5: Esta solucin aprovecha la estructura de la pgina sus propiedades o a 1. Los t tulos de pgina y favicon se registran para cada cha. los valores de los atributos a mencionados anteriormente son registrados para cada elemento de la pgina. a 2. Cuando el foco se pone de una pestaa u otra, la operacin se repite y el add-on compara n o sus valores. si existe alguna diferencia se advierte al usuario pasivo y pone de relieve la barra de direcciones. 3. Si una pgina se actualiza en s vuelve a dirigir a otra parte o carga un nuevo URL, este a , proceso de grabacin se repite y sigue en comparacin con el viejo Estado. o o

4.4.

Mi Propuesta de Solucin o

Como hemos visto este Ataque de TabNabbing tiene muchos mtodos para que su xito sea e e mayor, pero al igual que existen mtodos de ataques existen algunas soluciones con el n de e mitigar este tipo de ataques sin saber cal es el mejor mtodo recomendado para utilizar y u e asegurar al usuario de no ser v tima de este tipo de ataques, Ya que en el estudio se demuestra que hasta el ms experto en la materia podr ser sorprendido por este tipo de ataque, nuestra a a propuesta esta enfocado en que ms suceptible a este tipo de ataques son usuarios inexpertos en a el tema, por eso propongo realizar un estudio minucioso al tema y a los diferentes mtodos de e ataque como tambin comprobar cual de las soluciones que hasta hoy se plantean son las mejores, e y de acuerdo a eso realizar un material para informar sobre este estudio y las recomendaciones de cada uno de los mtodos optimos de mitigacin a estos ataques. e o

5.

CONCLUSIONES

Como es un tema nuevo no existe mucha bibliograf y estudios acerca del tema pero si algunos a expertos han comentado sobre este tema, la cual me sirvi de mucha ayuda para realizar este o trabajo. Del ataque TabNabbing los usuarios que desconoscan de este tipo de ataque, y sus consecuencias que trae sern alcanzados y v a timas de phishing, hay que estar atentos ya que mientras navegemos en la Web y en navegadores que aparentemente facilitan nuestro trabajo, por detrs de nuestras espaldas podr estar tratando de robar nuestra identidad de forma a an malintencionada, mientras estemos en un navegador no descuidemos nuestras pestaas corren n peligros de ser mutadas por ciberdelincuentes.

6.

BIBLIOGRAFIA

Referencias
[1] scoobidiver AliceWyman, Verdi. Managing proles, 2011. [2] Pablo de Castro. Redes de conocimiento, 2008. [3] Aza Raskin. Tabnabbing: A new type of phishing attack, 2010. [4] Miguel Mollejo Snchez. Utilizacin de noscript para evitar javascript y objetos malignos en a o mozilla refox, 2010. [5] Kemal Bicakci Seckin Anil Unlu. Notabnab: Protection against the. [6] Avi Vra. Devious new phishing tactic targets tabs, 2010.

10