Detectan ataques phishing que utilizan servidores proxy

Detectan ataques phishing que utilizan servidores proxy

Adrián Crespo

Estamos acostumbrados a ver como en este tipo de ataques se recurre a páginas falsas para conseguir engañar a los usuarios y así proceder al robo de los datos. Sin embargo, esto está evolucionando y ahora los ciberdelincuentes realizan los ataques phishing haciendo uso de un servidor proxy para mostrar información correcta hasta un momento determinado, por ejemplo al realizar el pago. Os recomendamos visitar nuestro tutorial sobre cómo funciona la caché web en un proxy.

La explicación de cómo se realiza este es muy sencilla. El ciberdelincuente debe configurar un servidor proxy por el que debe hacer pasar todo el tráfico del usuario. En función de las peticiones que sean enviadas por el usuario el proxy permite el acceso a la información legítima o bien se muestra una página falsa.

Se trata de un fraude que es muy complicado de detectar, sobre todo porque la mayor parte de la navegación del usuario es legítima, es decir, se muestra la información del sitio web que el usuario solicita, por ejemplo, una tienda en línea. La estafa solo hace acto de presencia cuando el usuario procede a finalizar la compra y abonar el importe correspondiente, siendo este momento el que hacen acto de aparición las páginas falsas.

De momento se han detectado en China y Estados Unidos pero no se puede descartar que a corto plazo comiencen a hacer acto de presencia en Europa, sobre todo si el funcionamiento es tan bueno como parece y su detección es tan sumamente complicada.

ataques phishing utilización de servidores proxy

Conseguir robar los datos de las tarjetas de crédito

En la página que se muestra al usuario en primer lugar se debe rellenar una serie de campos que son obligatorios, como por ejemplo el nombre y los apellidos, el número de DNI, el número de teléfono, o la dirección de residencia, para así posteriormente comenzar con los datos que realmente son importantes, los datos de la tarjeta de crédito. Además del número de esta y la fecha de caducidad de la misma, al usuario también se le solicita el CVV o el CVV2. Existen diferentes tipos de ataques contra servidores.

Esta nueva técnica es mucho más sencilla para los atacantes y mucho más creíble, sobre todo porque los ciberdelincuentes solo se tienen que preocupar de la creación de la última página, ya que el resto son las originales del sitio web.

Sin embargo, sería necesario realizar modificaciones en la configuración del equipo para así garantizar que la navegación pasa por ese servidor proxy, por lo que el equipo tendría que infectarse con un malware que posea esta finalidad.

¡Sé el primero en comentar!