En el video adjunto a este artículo quiero mostraros como rellenando en una web simplemente dos datos personales podemos ser víctimas de un ataque de Phishing, facilitando muchos más datos de los que nos imaginamos.
En esta demo, un usuario que este visitando esa página solo verá un campo para introducir su nombre y correo electrónico junto con el botón enviar, pero hay más.
A menos que examinemos el código fuente de la página, algo que no hacemos nunca en una navegación por internet normal y habitual, no sabremos que el formulario que estamos rellenando tiene nada más y nada menos que otros 6 campos ocultos, Teléfono, Organización, Dirección, Código Postal, Ciudad y País.
Si tenemos configurado nuestro navegador con un “Perfil de Autocompletado” al rellenar los dos campos visibles que nos solicita la página, automáticamente nos rellenara también los 6 campos ocultos, donde el atacante se apoderara de nuestra dirección, teléfono etc.. Incluso de nuestros números de tarjeta de crédito si los tenemos configurados en nuestro “perfil de autocompletar”, por ejemplo para realizar compras más rápidamente por internet.
Algo similar ocurre con los “Honeypots”, estos son una herramienta de la seguridad informática que sirve como señuelo para obtener la información del atacante de una red o sistema informático, (por ejemplo para detectar los datos de los robots en formularios y evitar así el “spam” – correo basura- capturando datos del atacante para bloquear futuros correos no deseados) con esto ocurre lo mismo, salvo que en lugar de capturar “robots spam” capturan usuarios reales y datos reales.
Actualmente los navegadores Google Chrome, Safari y Opera son los únicos navegadores compatibles con la función “perfil de relleno automático” Aunque el navegador Firefox Mozilla está a punto de implementar dicha función. (No hay que confundirla con el recordatorio de lo que pudiésemos haber escrito anteriormente que nos hacen los navegadores al escribir en un campo de texto, eso solo nos rellena un campo)
Esta función puede desactivarse en los navegadores de forma sencilla, no obstante es de desatacar que viene activada por defecto, por lo que si no estamos interesados en tenerla activa, podemos desactivarla y solo activarla cuando vayamos a rellenar un formulario concreto con todos los datos.
(Aquí podéis ver como activar-desactivar esta función en Chrome. No obstante, en el video entraremos en la parte donde se configura, activándolo y desactivándolo al finalizar.
A continuación os muestro un pequeño video del comportamiento de dicho “Phishing” probado real.
Como veréis al introducir tan solo una parte del correo electrónico, la función autocompletar del Chrome me rellenará completos los dos campos que aparecen visibles, una vez enviado el formulario (submit) nos llevará a otra pantalla que nos mostrara los datos que recibiría el atacante al enviar nosotros el formulario.
Veréis que lo que le aparecería al atacante serian todos los datos que están configurados en “autocompletar formularios” de nuestro Chrome, (os los marco en el vídeo.)
Después de ver el resultado, volveremos y desactivaremos autocompletar probando de nuevo la misma web “Phishing” y vemos el resultado, en el cual solo aparecerán los datos que introducimos manualmente en los campos visibles, el resto no.
Por ello, mi consejo es siempre tener desactivada esta función dudosamente útil de los navegadores, una vez más la comodidad se antepone a la seguridad.
Un saludo.
Ivan García
Director de Seguridad-Profesor Tutor
Aucal Business School