...
🧑 💻 Reseñas y noticias del mundo de los programas, coches, gadgets y ordenadores. Artículos sobre juegos y pasatiempos.

Este kit de phishing de Chrome da mucho miedo

13

Google

Engañar a las personas para que entreguen sus credenciales de inicio de sesión nunca ha sido tan fácil. Como se muestra en un nuevo conjunto de herramientas de phishing, las ventanas emergentes de inicio de sesión único (SSO) son increíblemente fáciles de suplantar en Chrome, y la URL de un cuadro de inicio de sesión puede no indicar si un sitio es realmente legítimo.

¿Sabe cómo algunos sitios web le permiten iniciar sesión con su cuenta de Google, Apple, Facebook o Amazon? Eso es un inicio de sesión SSO: es un valioso ahorro de tiempo, ya que reduce la cantidad de nombres de usuario y contraseñas que necesita recordar.

Aquí está el problema; los piratas informáticos pueden replicar perfectamente estas ventanas SSO en Chrome, incluso hasta la URL. Un nuevo kit de phishing de dr.d0x, un investigador de seguridad, incluye una plantilla lista para usar que los piratas informáticos novatos o los sombreros blancos pueden usar para crear rápidamente una ventana emergente de SSO convincente. (Es posible que otras plantillas ya estén flotando dentro de los círculos de piratería).

Este kit de phishing de Chrome da mucho miedo

señor. d0x

Los piratas informáticos que utilizan estas ventanas SSO falsas las colocarán en todo tipo de sitios web. Un pirata informático puede enviarle un correo electrónico sobre su cuenta de Dropbox, por ejemplo, y pedirle que visite un enlace determinado. Este enlace podría dirigir a una página web falsa de Dropbox con opciones de inicio de sesión SSO para Google, Apple y Facebook. Cualquier información que ingrese en estos cuadros SSO falsos, como su inicio de sesión de Google, será recopilada por el hacker.

Por supuesto, los sitios web de videos piratas (y otros sitios que ofrecen cosas "gratuitas") pueden ser el destino más común para estas ventanas SSO falsificadas. sobre sus credenciales de Google o Facebook.

Para aclarar, dr.d0x no inventó el SSO o el exploit de phishing de navegador en navegador. Los piratas informáticos comenzaron a suplantar las ventanas de inicio de sesión de SSO hace varios años. Este kit de phishing simplemente muestra cómo funcionan tales vulnerabilidades. Además, las corporaciones pueden usar este kit para probar la capacidad de sus empleados para detectar esquemas de phishing.

Evitar un ataque de phishing puede ser difícil. Le sugiero que comience instalando un administrador de contraseñas, que a menudo puede detectar intentos de phishing y lo ayudará a usar información de inicio de sesión única para cada sitio web (lo que reduce cualquier daño de un ataque de phishing exitoso). También debe evitar abrir enlaces en correos electrónicos o mensajes de texto, incluso si parecen serios o legítimos.

Fuente: mr.d0x vía BleepingComputer

Fuente de grabación: www.reviewgeek.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More