El 20 de octubre del año 2009 compartí con ustedes una noticia en este mismo espacios, sobre los mitos del protocolo HTTPS, explicando cómo sería posible realizar un ataque de phishing a través de este protocolo, e incluso presentamos un video educativo al respecto. El día de ayer el portal Segu-Info reportó un ataque de estas características a un importante banco argentino. El ataque comienza con los medios tradicionales, un correo electrónico enlazando a un sitio web donde se aloja una versión simulada del home banking. Lo interesante de esta caso particular es que, tal como muestra la imagen, el sitio trabajaba sobre el protocolo HTTPS:
El ataque se completa solicitando al usuario, no solo los datos ya presentados, sino también toda su tarjeta de coordenadas que utiliza en la banca en línea.
¿Cuáles son las implicancias de estos ataques? Que tal como escribiera en el 2009, los usuarios suelen confiar en el protocolo HTTPS, y suelen tener la falsa creencia de que un ataque de este tipo solo funciona por HTTP.
Incluso en su momento recuerdo haber tenido la necesidad de clarificar lo dicho sobre los certificados, porque incluso empresas proveedoras del servicio no comprendían la importancia de alertar a los usuarios sobre esta (por entonces) posible amenaza. Hoy, podemos confirmar que los atacantes están aprovechando este vector de ataque, y que sigue siendo probable que sigan ocurriendo.
Las predicciones que realizamos desde ESET hace ¡dos años! hoy son una realidad. Por entonces, compartíamos este concepto que vale la pena repasar luego del incidente reportado el día de ayer:
- “Al acceder a un sitio que posea un formulario donde se ingresa información personal, debe verificarse que el mismo utilice el protocolo HTTPS”… VERDADERO
- “Un sitio donde se ingresa información confidencial que no posee HTTPS no es seguro”…VERDADERO
- “Utilizando el protocolo HTTPS, la información es cifrada”… VERDADERO
- “Siempre que un sitio posea HTTPS será seguro”… FALSO
Estos conceptos deben estar muy claros por el usuario. Ese fue el motivo por el cual escribimos aquel post hace dos años y hoy, con la consumación de ataques en Latinoamérica con estas características, vale la pena repasar: los ataques de phishing por HTTPS no son frecuentes, pero son posibles. ¡A cuidarse!
Sebastián Bortnik
Coordinador de Awareness & Research
