Códigos

El phishing está a la orden del día. Diariamente se reciben en todo el mundo millones de correos electrónicos intentando suplantar a un banco, una tienda electrónica, una red social o incluso el propio servicio de e-mail. ¿El objetivo? Conseguir credenciales de acceso e información confidencial, pero detectarlo es relativamente sencillo, ya que suelen pedirnos una simple respuesta por el mismo medio o nos remiten a webs que no corresponden con el servicio en particular. Algo de los que desconfiar.

Sin embargo, el phishing puede ser ejecutado fácilmente desde las propias páginas de los servicios y así lo ha demostrado un investigador de seguridad independiente conocido como MLT en eBay, el conocido portal dedicado a la subasta y compra de productos de todo tipo.

Así se capturan usuarios y contraseñas desde el mismo eBay

La técnica empleada por este experto en seguridad informática para realizar su simulado propósito no pude ser más sencilla, incluso para un usuario malintencionado no demasiado avanzando: explotar una vulnerabilidad XSS o cross-site scripting. Básicamente, se trata de inyectar en una página web ajena código JavaScript, VBScript o similar, con el que conseguir mostrar una información distinta de la original.

La web fraudulenta dentro de la web original

En este caso, el fallo de seguridad se encontraba en los parámetros que podían incluirse en la URL de eBay y que permitían inyectar, por ejemplo, un iframe con una página ilegítima que imitase la de inicio de sesión de la tienda. En la práctica, casi alojar en el propio dominio original el fraudulento, como demuestra el vídeo que precede estas líneas, donde se realiza la demostración en tiempo real.

De este modo, bajo www.ebay.com se mostraba una web que, si uno no prestaba atención a la URL completa, identificaría con el login habitual. Si un inocente usuario la empleaba para acceder a su cuenta de usuario, sus datos quedaría registrados por el responsable del phishing y él no obtendría más que un mensaje de error o una página en blanco.

De forma sencilla, pero efectiva, cualquier cuenta podría haberse visto expuesta —millones de usuarios— tal y como cuenta en su blog.

eBay no corrigió el error hasta que preguntaron medios de comunicación

Según cuenta el propio investigador, hace un mes que reportó el fallo a los responsables de eBay sin recibir respuesta y sin ver solucionado el problema.

Solamente cuando algunos medios de comunicación contactaron con la compañía al respecto el error fue solucionado y MLT reconocido en la página web que el portal destina a los hackers que les echan una mano.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?