Un 44% de las páginas web bancarias españolas favorecen el phishing

Un 44% de las páginas web bancarias españolas favorecen el phishing
http://www.hispasec.com/unaaldia/2216


En un estudio realizado por Hispasec sobre las páginas web de 50
entidades bancarias de España hemos podido comprobar que un 44% de
ellas se ven afectadas por algún tipo de fallo de diseño que favorece
los ataques de phishing.

El estudio se ha centrado en analizar los aspectos de diseño de la
primera página web de autenticación del usuario que podrían permitir o
facilitar la realización exitosa de ataques de phishing.

Los clientes de cualquier entidad pueden recibir un mensaje
incitándoles a visitar un servidor falso, sin posibilidad de que la
entidad pueda evitarlo.

Sin embargo, el diseño de las páginas web de las entidades financieras
es determinante para que el usuario pueda comprobar si realmente se
encuentra en el servidor de su banco o, por el contrario, se trata de
un servidor web falso que imitando al original trata de robarles sus
credenciales.

Las características evaluadas se centran en la posibilidad de que el
cliente pueda comprobar de forma sencilla que está conectando con el
servidor seguro de la entidad. Para ello se examina el campo de
dirección que aparece en el navegador, donde debe estar visible la URL
completa, con el dominio al que conecta precedido de https://, así
como la existencia del candado cerrado o una llave completa que
aparece en la barra de estado (en función del navegador utilizado),
icono al que los usuarios pueden hacer doble click para visualizar
información detallada del certificado de seguridad y comprobar que
pertenece a la entidad bancaria.

De las 50 páginas de banca online analizadas por Hispasec, 19 de ellas
(un 38 por ciento) no fuerzan a que el usuario introduzca sus
credenciales de identificación en una página segura, aunque la
transmisión de las mismas si se haga de forma segura. A efectos
prácticos, en el momento que el usuario introduce sus credenciales
(usuario y contraseña, identificado y pin, etc) no puede comprobar de
forma sencilla que se encuentra realmente en el servidor web de la
entidad.

Otro rasgo evaluado ha sido la existencia de la dirección URL en la
página de identificación, de esta forma el usuario siempre puede
comprobar que la URL a través de la que accede es correcta. Aunque en
Hispasec ya hemos analizado en ediciones anteriores de una-al-dia,
vulnerabilidades que permiten falsificar la URL en el navegador, si el
propio sistema oculta dicha información el atacante tendrá mucha mayor
facilidad para suplantar la identidad del banco.

Hay que señalar que este aspecto está más cuidado, ya que tan solo
cinco (un diez por ciento) de las páginas analizadas carecían de URL
en la ventana de autenticación de usuario. Por último, se han
comprobado los certificados en aquellas páginas web cuyo formulario de
autenticación se encontraban bajo una conexión segura, y en este
aspecto ninguna entidad ha presentado ningún problema.

En total, de las 50 páginas de sistemas de banca electrónica
analizadas, 22 de ellas (un 44%) se veían afectadas por alguno de los
problemas de diseño mencionados de forma que impiden al usuario
comprobar la autenticidad de la página de la entidad en el momento del
acceso, lo cual es fundamental para dificultar la realización de
ataques de phishing.

A continuación se muestra una tabla con los resultados obtenidos para
cada una de las entidades:

*** IR AL ENLACE ***
http://www.hispasec.com/unaaldia/2216

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2216/comentar

Más Información:

Descarga del estudio con la tabla completa con los resultados:
http://www.hispasec.com/directorio/...ishing.pdf

una-al-dia (30/09/2004) Implicaciones del diseño web en los ataques
"phishing"
http://www.hispasec.com/unaaldia/2168
Antonio Ropero