Blog | Digital Risk Protection | Axur

Falla en Google Chrome para celular crea fraude (casi) perfecto

Escrito por André Luiz Rodrigues | 25-sep-2019 19:58:41

Ya sea en Google Chrome para celular o desktop, el principal consejo para protegerse de un ataque de phishing es mirar bien la URL. Sin embargo, parece que esto no es todo... El desarrollador británico, James Fisher, encontró una falla en la versión móvil del navegador de Google que recrea el campo de la URL. Esto permite que la página falsa muestre exactamente el dominio verdadero de su banco o tienda favorita. Este es un tipo de ilusión que no podemos alabar.

 

¿Falla en la versión móvil de Google Chrome? ¿De verdad eso existe?


Lamentablemente, sí, existe, aun cuando Google se se preocupa mucho por la seguridad digital. Funciona así: el golpista, básicamente, inserta una imagen fija del campo de la URL luego de que el usuario comienza a desplazarse hacia abajo en la página.

Esto sucede ya que, por padrón, la versión móvil de Google Chrome retira la barra de URL de la visualización cuando usted baja la página. Es ahí donde la ciberdelincuencia entra en escena: colocan una imagen que simula el campo del dominio exacto de la página oficial que se pretende clonar.

Al detectar esta nueva (y, debemos admitir, espectacular) práctica, Fisher simuló un fraude en su blog utilizando el dominio del banco HSBC; le dio el nombre Inception Bar.

El Inception Bar. ¿Acaso la inspiración para el nombre vino de la película de Leonardo DiCaprio?


Al mirar la página que Fisher creó como ejemplo, lo más interesante es que la imagen se adapta al tamaño del dispositivo, y queda exactamente igual a la barra de la URL original.

 

¿Es posible protegerse de un phishing de este tipo? ¿Cómo?


Por tratarse de un ataque que se da por medio de una imagen, la estratagema más obvia es prestar atención al número de solapas abiertas: en el ejemplo, la imagen muestra el número 26.

Pero, claro, usted podría tener 26 solapas abiertas (bastante, ¿verdad?). Por eso, para descubrir el ataque se debe bajar la pantalla a partir del “campo” de la URL. De esta forma, la URL verdadera aparecerá:

¡Voilà! Al bajar la página desde el campo de la “URL”, la dirección correcta aparece.


Si sube la pantalla a partir del texto, no sucederá nada y HSBC continuará allí. La página ni siquiera se actualizaría, que sería lo esperado. Fisher bautizó esta estratagema de desarrollo de la página como scroll jail (en español, sería algo como “jaula de deslizamiento”): es como si estuviese navegando en un sitio que simula ser otro sitio.

 

En Axur, realizamos un monitoreo constante de phishings a partir de la recolección automatizada de millones de URLs. Es por este motivo que si tiene interés en contar con una mejor protección contra esos riesgos digitales, un buen consejo es conocer la solución para Phishing  de Axur.