Como…

mayo 9, 2007

Muchas, muchas son las veces que me he preguntado como una empresa de seguridad informática ofrece soluciones anti-phishing. No es algo que se pueda prevenir como un ataque de tipo Inyección de código SQL, XSS, CSRF, que si se puede auditar a través del código fuente de la aplicación. Pero ¿Cómo y/o que soluciones implementas en una banca online o algún otro tipo de sitio de comercio (véase ebay, amazon…), para proveerles de una protección anti-phishing total.

Lo primero que quizás se me pueda ocurrir es el registro de todos los dominios (genéricos) del sitio , ejemplos el banco banesto.com me contrata para este tipo de servicios a lo que respondería registrando dominios tipo:

vanesto.com / es / net / info…
vaanesto.com
vanestoo.com
banestoo.com

Y así se me ocurrirían un par de decenas de ellos, directamente poniéndole un error 404 como una estatua de grande. Hasta aquí ya hemos reducido notablemente las posibilidades de algun spoofing de una página web. Es más fácil que un usuario se de cuenta de que intenta ser objetivo de este tipo de ataque si le llega un correo a su bandeja de entrada y la dirección que figura para que inserte sus credenciales es vancodeespañabanesto.com tendría que ser una persona muy ingenua para caer en ello (que no dudo que no allá).

Y la verdad pocas cosas más se me ocurren, quizás crear cuentas de correos como posibles honeypot para recibir correos de este tipo (pero a saber que llega, desde aumente su pene con nuestro aparatito milagroso, o venta de botes de pastillas azules para aumentar la rigidez del mismo).

Claro que tambien con unos buenos juguetitos se podría engañar fácilmente al navegador que esta en http://localhost.com/proyectos/phising/index.html y en realidad imprime en pantalla http://www.banesto.com, pero ¿cómo podemos evitar esto?.

Esta es una larga carrera entre jovenes script kiddies, algunos verdaderos crackers (ya que parecen que trabajan en un departamento de I+D para desarrollar algunos tácticas como lo hacen) y las firmas de seguridad. La puesta en marcha de campañas masivas de información sobre todo esto ( el mayor enemigo es aquello que se desconoce) y sobre todo educar al usuario novel. Concienciar que ninguna entidad bancaria va a requerir tus credenciales vía email porque su servidor en Asia se allá estropeado.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: