Nuevas páginas de phishing buscan engañarte cuando navegas con el móvil

El phishing es una técnica utilizada para robar contraseñas que consiste en hacerte creer que estás en una página web cuando en realidad estás en otra. Se suele utilizar en emails que intentan suplantar la identidad de una red social o un banco, así como en páginas webs falsas para que introduzcas manualmente tu contraseña y así el atacante no tenga que hackeártela.

Estos ataques se han vuelto tan sofisticados, que incluso utilizando caracteres similares a ojos del usuario emulaban al 100% el nombre de una web real (incluso con certificado para que apareciera como HTTPS), pero en realidad te llevaban a una web falsa. Esto ocurrió por ejemplo con el dominio de Apple, y Google tuvo que apresurarse para actualizar el fallo en Chrome.
Ahora, PhishLabs ha descubierto una nueva tendencia en las páginas web de phishing, la cual se centra sobre todo en usuarios de móviles. El “truco” consiste en hacer un dominio tan largo a través de guiones, que lo único que ve el usuario cuando entra en la página web es el nombre de la página web que emula y una serie de guiones, después de los cuales se encuentra el nombre de la web falsa.

Es un truco muy burdo (conocido como URL padding), y que busca aprovecharse de los usuarios que no comprueban la URL completa de la página que están visitando al estar haciéndolo desde el móvil en vertical sin pinchar en el enlace. En cuanto se pincha en el enlace completo, se pone la URL falsa al descubierto. El ataque ha ido dirigido especialmente a páginas como Facebook, Apple u otras páginas de venta de segunda mano. Entre las URL que utilizan los atacantes siguen la siguiente estructura:

m.facebook.com—————-validate—-step1.rickytaylk.com/sign_in[punto]html
accounts.craigslist.org-securelogin————–viewmessage.model104[punto]tv/craig2/
icloud.com——————–secureaccount-confirm.saldaodovidro[punto]com.br/
offerup.com——————login-confirm-account.aggly[punto]com/Login%20-%20OfferUp.htm

Los primeros enlaces se detectaron en enero, y no paran de crecer
Esta campaña de phishing se detectó inicialmente a principios de año, y a partir de marzo empezó a crecer muy rápidamente hasta alcanzar una gran prevalencia en la actualidad. Lo realmente preocupante es que el aspecto de estas páginas web falsas es idéntico al de las páginas reales.

Donde falla es que los enlaces no cuentan con HTTPS, además de que los guiones son muy obvios a ojo. Es importante revisar siempre los enlaces de una página web cuando vamos a acceder a ella. El ataque se está realizando, al parecer, a través de enlaces acortados enviados por SMS, aunque otro vector de transmisión pueden ser perfiles falsos en redes sociales, emails, o anuncios maliciosos. Para conocer el enlace que se esconde detrás de una URL acortada, os recomendamos el siguiente artículo

A lo largo de 2017 ha habido un incremento del 20% en ataques de phising. Los atacantes, una vez tienen nuestra contraseña, intentan acceder a la página web que estaban emulando, además de probar el usuario/correo y contraseña en otras tantas páginas web porque muchos usuarios reutilizan (indebidamente) la contraseña para varios sitios.