Riesgos en la navegación

Cómo protegernos frente al robo de datos sensibles en Internet

Actualmente conectarse a la red sin tener un software de seguridad actualizado (antivirus, firewalls, etc…) es impensable. Muchas webs están plagadas de código malicioso y que tiene como fin, desde bombardearnos con publicidad (tanto en banners como abriéndonos miles de pop-ups/pestañas sin nuestro consentimiento expreso), hasta cosas más serias como robarnos nuestros datos bancarios.

No solo las webs pueden estar afectadas por código malicioso, el propio navegador del usuario puede contener código malicioso ofuscado en las propias extensiones o ejecutarlo de forma remota. Recientemente el responsable del equipo de desarrollo de extensiones de Google Chrome, Simeon Vincent, ha comunicado la suspensión de publicaciones/actualizaciones de extensiones, debido al incremento de casos de malware en las mismas.

Igualmente sucede con Mozilla Foundation.

Dado que el punto más preocupante sin duda es el robo de datos sensibles de un usuario, como podrían ser las contraseñas de nuestras cuentas de correo o nuestros datos de la
tarjeta de crédito, no solo debemos tener un software antivirus, sino también una solución completa con firewall, complementos y extensiones de seguridad para nuestro navegador.
Uno de estos complementos son los denominados “sandboxes seguros” estos no son más que navegadores web con configuraciones y restricciones
pre-establecidas para evitar actividades maliciosas como las que comentaremos en este artículo.

Robo de datos

Habitualmente la obtención de datos sensibles solían obtenerse a través de losconocidos keyloggers (tanto por software como por hardware) que identifican las pulsaciones de teclado, no obstante, actualmente existen nuevas vías que facilitan estas acciones.

*Keylogger por Software

*Keylogger por Hardware (PS/2)

¿Qué nuevos métodos podrían usar para adquirir nuestros datos?

Webs falsas (Phishing):

  • Tiendas onlines gancho con precios irrisorios. Son las más fácilmente detectables.
  • Sitios de entidades bancarios o tiendas online con dominios muy parecidos a los legítimos (https://www.bancosantander.com.es) o con caracteres que al ojo humano parecen ser los ASCII (Typosquatting/IDN Homograph Attack) https://www.bancоsantader.es

En ambos casos las webs suelen ser clonadas de las reales o muy similares.

  • Routing por DNS manteniéndose el dominio legítimo. Al igual que en el punto anterior, son clonados de las reales y se mantienen los dominios legítimos. Para este caso no solo hace falta pericia para identificarlo, sino software de seguridad que nos avise de la alteración de DNS en el host de nuestro equipo o de la llamada a una IP no asociada a la DNS legítima, para el caso del malware DNSChanger por ejemplo.

http://www.bancosantander.es

Código Malicioso (JavaScript):

  • Inyecciones de código malicioso en webs legítimas que hayan sido
    infectadas en el propio hosting donde se hospedan. Este código viene ofuscado para no ser identificado por
    los administradores de los sitios webs y afecta tanto al propio
    servidor que aloja la web como al usuario final que la visiona en su
    navegador.
  • Inyecciones locales en el propio navegador del usuario. Son el caso comentado anteriormente, dado que suelen
    darse por extensiones maliciosas instaladas en el navegador. Dichas
    extensiones suelen estar ocultas y aparentan ser usadas para
    finalidades inofensivas o interesantes para el usuario. Usualmente cumplen
    dichas finalidades para no ser eliminadas por el usuario (o así lo
    aparentan). Pueden contener la carga maliciosa (payload) ofuscada desde el primer momento de la instalación, ejecutarla en modo remoto u obtenerla a posteriori tras una actualización automática de la misma.

Ejemplo:

Caso real

  • Situación: navegador Google Chrome con extensión maliciosa que inyecta código JS
    en webs bancarias y pasarelas TPV de Redsys.
  • Procedimiento: el usuario accede a una web bancaria para loguearse en su cuenta,
    insertando los datos solicitados para la autenticación en el formulario de contacto
    correspondiente

*Datos ficticios

El código JS malicioso se ejecuta en segundo plano desde el momento en que se
identificó el evento “onload” correspondiente a la carga completa del código HTML,
localizando los nodos de los elementos INPUT correspondientes y asociando un evento
de tipo “onchange” en ellos, para que al ser modificado su valor y perder el “foco”,
capturen dichos datos

con este método de captura de datos, puede saltarse cualquier elemento de seguridad ofrecido por la web, como podría ser un teclado virtual o un desarrollo basado en
WebComponents con nodos de tipo “ShadowRoot”. Estos nodos evitan la captura de
información con técnicas sencillas como pueden ser el uso básico de
document.getElementByID o jQuery $(“input”).

Teclado virtual en pantalla: evitan los keyloggers tanto de software como por
hardware

Elementos ShadowRoot:

Una vez obtenidos todos los campos necesarios de los distintos elementos INPUT, el
código lanzará una función (sendData) al darse el evento asociado (previamente) al
botón “Entrar”

La función sendData se encarga de generar un objeto con todos los datos capturados,
transformarlo a JSON y posteriormente generar una cadena cifrada para ser enviada al
servidor que recibe todos los datos de las víctimas.

Si la web contiene restricciones CORS, al no encontrarse la petición a la url en la lista
de direcciones permitidas, será rechazada

no obstante, existen muchas técnicas para saltar esta restricción y extraer los datos sin
problemas, los cuales veremos a fondo en un meetup próximo.

Algunos consejos:

1. Nuestras compras deben ser en páginas con buena reputación y de comercios
conocidos a poder ser. Verificar que se encuentran asociadas a plataformas
como Trustpilot o Confianza Online, confirmando en dichas plataformas si es cierto que la web se encuentra registrada.

2. Usar los “sandboxes” de las suites de seguridad comentadas previamente.

3. Usar tarjetas bancarias de débito con saldo pre-establecido.

Trackback URL: https://quantika14.com/2020/01/29/seguridad-en-nuestra-navegacion/trackback/