Suplantación de identidad (phishing) durante la sesión

Tipo de ataque de phishing

El phishing en sesión es una forma de ataque de phishing potencial que se basa en que una sesión de navegación web pueda detectar la presencia de otra sesión (como una visita a un sitio web de banca en línea ) en el mismo navegador web y luego lanzar una ventana emergente que simula haber sido abierta desde la sesión objetivo. ^[1] Esta ventana emergente, que el usuario ahora cree que es parte de la sesión objetivo, se utiliza luego para robar datos del usuario de la misma manera que con otros ataques de phishing. ^[2]

La ventaja del phishing en sesión para el atacante es que no necesita que el sitio web atacado se vea comprometido de ninguna manera, sino que se basa en una combinación de fuga de datos dentro del navegador web, la capacidad de los navegadores web para ejecutar contenido activo, la capacidad de los navegadores web modernos para soportar más de una sesión a la vez e ingeniería social del usuario. ^[3]

La técnica, que explotaba una vulnerabilidad en el manejo de JavaScript de los principales navegadores, fue descubierta por Amit Klein, CTO del proveedor de seguridad Trusteer , Ltd. ^{[4] [5]} Las actualizaciones de seguridad posteriores a los navegadores pueden haber hecho que la técnica sea imposible.

Referencias

1. Cert-IST. «Contenido de la publicación». Cert-IST (en francés). Archivado desde el original el 18 de julio de 2024. Consultado el 18 de julio de 2024 .
2. Hruska, Joel (13 de enero de 2009). "Un nuevo ataque de phishing en la sesión podría engañar a usuarios experimentados". Ars Technica . Consultado el 16 de abril de 2024 .
3. Arellano, Nestor; McMillan, Robert (6 de febrero de 2009). "El phishing en sesión es una nueva amenaza para los negocios en línea". Network World Canada . 25 (3). ProQuest  198831313.
4. Kaplan, Dan (14 de enero de 2009). "Nueva estrategia de phishing que aprovecha sesiones seguras para secuestrar datos". iTnews .
5. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 22 de enero de 2009. Consultado el 20 de enero de 2009 .{{cite web}}: CS1 maint: archived copy as title (link)^{[ Se necesita cita completa ]}

Enlaces externos

• Eisen, Ori (marzo de 2009). "Phishing en sesión y conocer al enemigo". Seguridad de redes . 2009 (3): 8–11. doi :10.1016/S1353-4858(09)70027-3.
• Nuevo ataque de phishing que ataca las sesiones de banca en línea con ventanas emergentes falsas
• Un nuevo ataque de phishing durante la sesión podría engañar a usuarios experimentados