Detectadas dos técnicas que están siendo utilizadas en ataques phishing para falsear la URL en la barra de direcciones y en la barra de estado aprovechando vulnerabilidades y/o "funcionalidades" de Internet Explorer .

Se ha podido comprobar en las últimas horas como esta
técnica está siendo utilizada en un nuevo ataque phishing destinado
a usuarios de la entidad Citibank.

Consiste en crear una ventana emergente justo en la posición donde
aparece la URL en la barra de dirección de Internet Explorer, de
forma que se superpone y oculta la dirección real del servidor web
del atacante donde realmente se encuentra el usuario, mostrando en
su lugar la URL de la entidad bancaria.

A nivel de código, se trata de una sencilla función JavaScript que
en primer lugar calcula dinámicamente la posición donde se encuentra
la URL en la barra de direcciones. Una vez obtiene la posición, crea
ahí una ventana emergente con el método windows.createPopup(), que
visualiza la dirección falsa mediante HTML y con el mismo tipo y
tamaño de letra que utiliza Internet Explorer por defecto.

A efectos prácticos, el usuario recibe un mensaje, aparentemente de
la entidad bancaria, donde le invita a visitar el sitio de la
entidad con alguna excusa, normalmente relacionada con la seguridad.
El mensaje incluye un enlace que supuestamente le dirige a la web
de la entidad. Si el usuario pulsa en el enlace, puede observar
como aparece la web de la entidad y que en la barra de direcciones
de Internet Explorer aparece la URL correcta, incluyendo el prefijo
https:// como si estuviera en una conexión segura.

En realidad el usuario está navegando en el servidor web del atacante,
que ha copiado los contenidos de la web de la entidad, y ha
aprovechado la vulnerabilidad de Internet Explorer para falsear la
dirección en el navegador y que el usuario no sospeche. Si el usuario
introduce las claves para acceder a su cuenta, éstas son enviadas
directamente al atacante, que podrá utilizarlas para suplantar la
identidad del usuario legítimo y entrar en su cuenta.

En el momento de escribir estas líneas, el servidor y las páginas
utilizadas para el ataque phishing de Citibank sigue activo, de forma
que se puede observar exáctamente como funciona en la siguiente
dirección (recordar que es una web falsa, y no debemos introducir
datos reales):

http://200.189.70.90/citi/

El diseño del ataque tiene algunos fallos o problemas que se pueden
evidenciar, dependiendo de la configuración de Internet Explorer, con
la visualización de la URL falsa en un lugar incorrecto. Esto puede
ocurrir, por ejemplo, si la barra de dirección no se encuentra en su
lugar por defecto, o si poseemos otras barras debajo de la barra de
direcciones.

Si se observa el código JavaScript del atacante, puede observarse
como el cálculo dinámico de la posición mantiene unas constantes
fijas:

vuln_x= window./* */screenLeft+68;

vuln_y= window.screenTop-21;

La posición X la calcula sumando 68 desde el lateral izquierdo y la
posición Y restando 21 desde el tope superior de la pantalla web. Sin
embargo la posición donde se encuentra la barra de dirección puede
variar, por ejemplo, si tenemos las barras de herramienta bloqueadas
o no. Podemos probar a modificar la opción desde el menú Ver -> Barra
de herramientas, y observar la diferencia. Una vez desbloqueada, si
movemos la barra de direcciones cambiando su posición Y, por ejemplo
situándola más arriba junto a los botones estándar, la ventana falsa
quedará totalmente descolocada.

Adicionalmente observaremos como la ventana emergente con la
dirección falsa sigue visualizándose cuando minimizados el Internet
Explorer o cambiamos de tarea y nos situamos en otra aplicación.