lunes, febrero 07, 2005

Sin defensas ante el phishing

ShmooCon es un grupo de hackers interesados (logicamente) en la seguridad en la red.
En su página nos dejan un buen recordatorio de como ante ciertos tipos de phishing no existe ninguna defensa. ¿Ninguna? . Pues aunque parezca gracioso si usas IE estarás a salvo de este agujero en los exploradores.

Como un ejemplo vale más que mil palabras. Intentar entrar a paypal pulsando este enlace. ¿ A que asusta?
La explicación, que no la solución, aquí.

Esto significa que puedes tener "en propiedad" cualquier dominio y hacerte pasar por otro. Lo peor es que ahora mismo no hay defensa posible ante estas suplantaciones.

vía Seobook y Boing Boing

Actualización:
La diferencia entre IE y Mozilla. El problema del phishing ya ha sido corregido y han sacado una versión protegida en menos de 12 horas.

También han creado un pequeño plugin para evitar este phishing con Firefox.
El plugin es muy tosco en su diseño y presentación...

vía Boing Boing

2 comentarios:

operacion-telendro dijo...

Personalmente no lo veo como un fallo, sino como una consecuencia del uso de utf8 en los nombres de dominio.

Y ademas un recordatorio de que todo lo que no tecleemos nosotros es potencialmente inseguro. Y de lo que teclemos nosotros, casi todo.

Saludos.

El Telendro dijo...

Los navegadores tienen que amoldarse a lo que hay. Si el IE da error y evita el phishing (aunque lo haga sin querer :) ), los demás navegadores deberían tener en cuenta estos temas de seguridad.
Es más, en firefox 0.8 fijandose en en la url se puede dar uno cuenta del engaño. En cambio con el 1.0 queda totalmente enmascarada la url. Funciona incluso en certificados SSL.

Existen muchos peligros en la red, y normalmente suele ser un error del usuario (por desconocimiento) el caer en engaños. Pero el peligro de este y otros problemas, es que cualquiera puede caer pese andar con cuatro ojos.

Parece que en Firefox se puede evitar este phishing deshabilitando el soporte IDN, poniendo false en la configuración 'network.enableIDN' .
Para los demás navegadores, copiar y pegar el enlace a un notepad sería el modo de comprobar las urls.

Un saludo.