Web Spoofing : Suplantación de una web con la finalidad de recoger los datos introducidos por el usuario

Escrito por David García Martín
Seguridad

Los usuarios de ordenador, sean de la naturaleza que sean, tienen el riesgo de sufrir una infección de virus. Antiguamente, los virus no tenían mayor repercusión que provocar una reinstalación del sistema. Hoy en día, un virus informático se oculta en el sistema trabajando en un segundo plano con peores intenciones: normalmente obtener datos bancarios. Hay muchos subclases de este tipo de virus; desde keyloggers hasta troyanos pasando por lo que nos ocupa en esta entrada: Web Spoofing.

El Web Spoofing consiste en suplantar una página web (normalmente un formulario de usuario y contraseña) para que recoja los datos del usuario y los envíe a un atacante.

En una definición mas formal, el Web Spoofing consiste en lo siguiente:

desviar la conexión de una víctima y a sus datos a través de una página falsa con aspecto de verdadera, hacia otras páginas con el objetivo de obtener información de dicha víctima (páginas WEB vistas, información de formularios, contraseñas etc.). Existen varias técnicas para provocar que el usuario cometa el error de utilizar dicha página; la mas peligrosa a mi entender es combinar un virus con Web Spoofing.

Este tipo de virus funcionan siguiendo mas o menos este patrón:

-Modifican el archivo Host de Windows para provocar que en caso de poner una URL como por ejemplo www.ingdirect.es/login se redirija a un servidor malicioso que sustrae los datos del login y los envía a un pirata informático.

– En ese servidor malicioso existe un web spoofing.

Vamos a poner un ejemplo real de web spoofing, sin estar infectados, por supuesto:

Pongamos que estamos infectados en el escenario anterior y vamos a ver nuestra cuenta en el ingdirect.

Ponemos: www.ingdirect.es/login (la url es inventada)

y sale la siguiente página:

A simple vista, es una página de login válida, incluso la URL podría estar disfrazada y ser completamente válida.

Se pone como ejemplo esta sencilla página en HTML, copia del banco Ing-Direct. En este caso, sólo solicita el DNI, pero podía haber escogido cualquier otro ejemplo en el que se pidiera usuario y contraseña (un foro, una tienda online, paypal, etc.). A simple vista no hace nada, pero por debajo, si no se han tomado las suficientes precauciones, se podrían estar enviando datos personales a un pirata informático.

Para ilustrar el artículo, se propone el siguiente ejemplo:

ING Direct Web Spoofing DESCARGAR

Para protegerse de estos ataques la única posibilidad es estar atentos y tener un buen antivirus y anti-malware actualizado.


Noticias relacionadas

Comentarios


11 comentarios
  1. tzadkiel2 30 Oct, 10 15:23

    ¿Podrías poner más datos? Que a mí está haciendo cosas raras cuando intento acceder a ella.
    Se me abren dos navegadores de internet explorer, en el administrador de tareas, cuando intento acceder con las posiciones del código, me dice que he sido desconectado cuando lo que debería de estar haciendo es entrar en la cuenta de ing, uno de ellos comienza a consumir recursos que dá gusto, dejando la CPU en el 100%, me las veo y me las deseo para cerrarlas, ya que o bien no me lo permite, ni finalizando los procesos, o se me cierran todas cuando lo consigo.

    Responder
    0
    1. ethiel 30 Oct, 10 17:05

      ¿Cuanto intentas acceder a qué exactamente?. Si es a ING direct, ese es el comportamiento deseado, que se cierre la sesión. Con eso se ha pretendido ilustrar que el comportamiento parezca lícito, aunque en realidad no lo sea.

      Responder
      0
      1. tzadkiel2 30 Oct, 10 21:18

        Intentar acceder precisamente a la cuenta de ING, pero no es el comportamiento deseado, ya que en vez de enviarme a la del código de seguridad me sale directamente la de desconexión, no dejándome acceder a la cuenta, más que cuando le dá la gana, abro el navegador, y aún después de haber cerrado las páginas, me las vuelvo a encontrar (Ópera me he encontrado al volverlo a abrir las páginas que ya había cerrado;Internet Explorer me intenta recuperar las páginas, si lo intento cerrar me dice que la pestaña se ha recuperado o se está intentando recuperar; Firefox casi el mismo comportamiento; y nunca las dejo abiertas, y no salgo cerrando únicamente el navegador; además parece que otras páginas me están haciendo lo mismo; pero esto empezó el otro día al intentar acceder a la cuenta de ING).

        Responder
        0
        1. ethiel 31 Oct, 10 0:26

          ¿Pero te ocurre al utilizar mi ejemplo o normalmente?. Por que si es normalmente, tendrías que dar mas detalles.

          Responder
          0
          1. tzadkiel2 04 Nov, 10 4:04

            Es que precisamente por esto te preguntaba, por que no es lo normal, y como dicen más abajo es que no me dejaba con ningún navegador.

            El Spybot, me dá un güevo de problemas, sobre todo para instalarlo en Vista, y no veas la mala leche que tiene el programita después, que lo tuve que desinstalar, que parece que no funciona igual que en XP, aún compatibilizando el programa.
            Le pasé todo lo que se me ocurrió, antivirus (Norton 360 versión 4), el malware, Advanced System Care, Argente, el de Microsoft Essentials; y lo único que detecta las cookies de siempre, y los programas “supuestamente” maliciosos instalados a propósito.
            Me dejó entrar, después de borrar todo el historial y las cookies, del Internet Explorer, y un reinicio del ordeñador.

            0
  2. Galiza 03 Nov, 10 21:15

    Hola, desde hoy no puedo entrar en Ing, me la detecta como URL maliciosa el Avast, paso el antivirus y me dice que no hay nada, me he bajado el superantispayware y me detectó cosas, las eliminé, y sigo sin poder entrar, eliminé historial, cookies etc y desisntalé Avast, lo volví a instalar, y sigo con el mismo problema, a mi directamente no me deja entrar, tanto por Firefox como por Explorer! imaginó que tendré un troyano o similar que pretende coger mis claves, pero no sé como leches eliminarlo, a ver si alguien me puede ayudar, gracias!

    Responder
    0
    1. ethiel 03 Nov, 10 22:21

      En principio, deberías repasar tu fichero host (doy por sentado que estás en windows) el fichero está en: C:\WINDOWS\system32\drivers\etc
      Repasa a ver que tienes, debería tener mas o menos este aspecto:
      # Copyright (c) 1993-1999 Microsoft Corp.
      #
      # Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
      #
      # Este archivo contiene las asignaciones de las direcciones IP a los nombres de
      # host. Cada entrada debe permanecer en una línea individual. La dirección IP
      # debe ponerse en la primera columna, seguida del nombre de host correspondiente.
      # La dirección IP y el nombre de host deben separarse con al menos un espacio.
      #
      #
      # También pueden insertarse comentarios (como éste) en líneas individuales
      # o a continuación del nombre de equipo indicándolos con el símbolo “#”
      #
      # Por ejemplo:
      #
      # 102.54.94.97 rhino.acme.com # servidor origen
      # 38.25.63.10 x.acme.com # host cliente x

      127.0.0.1 localhost

      A continuación yo pasaría el spybot Search & destroy.
      De todas maneras, te remito al foro de adslzone donde también te pueden ayudar:
      http://www.adslzone.net/forum51.html

      Plantea ahí tu pregunta si lo que te digo no te ayuda, por favor. Por supuesto, también puedes plantear cualquier duda en este portal, http://www.RedesZone.net

      Responder
      0
  3. tzadkiel2 04 Nov, 10 4:09

    P.D. El Internet Explorer (8)me sigue haciendo cosas raras, o bien no puedo cerrarlo, o cuando lo cierro me dice que la pestaña se ha recuperado y me la vuelve a abrir, o como ahora no me abre ningún enlace. Se me quedan las páginas pilladas, ni con el administrador de tareas y finalizando procesos me permite cerrarlos. Abro uno y en el administrador de tareas me aparecen tres.

    Responder
    0
    1. ethiel 04 Nov, 10 18:32

      ¿Es el IE 64 bits?. Si estás en Vista, ese problema lo he solucionado desinstalando “a mano” el programa, es decir, borrando la carpeta y reinstalando, aunque puede que mi error no fuera el tuyo y ese método no funcione. No obstante, si es 32 bits, no te puedo asegurar que funcione.

      Responder
      0
      1. tzadkiel2 06 Nov, 10 13:39

        No, es el de 32 bits, y sí ,es el malavista home premium (menudo premio me tocó). Además es que me está ocurriendo con los demás navegadores, Ópera, Chrome, Firefox, Safari. Y ya no sé ni que pasarle, a ver si detecta algo.
        Hoy algo exagerado con lo de la pestaña se ha recuperado,

        Voy a probar a desinstalarlo por completo, y ya me lo volveré a descargar un año de estos, y a ver si me acuerdo como se instalaban los módulos criptográficos en firefox, si es que se me soluciona algo mientras me quedo sin el IE.

        Gracias.

        Responder
        0
        1. ethiel 06 Nov, 10 14:00

          De nada, si sigues teniendo cualquier problema, háznoslo saber a ver si podemos ayudarte.

          Responder
          0