• Tweet

Los Phishing scams están llegando a ser aún más sofisticados, los más recientes están utilizando certificados SSL válidos para tratar de engañar a las personas de que están utilizando un sitio seguro legítimo. De acuerdo con SANS Institute, el scam utiliza un correo electrónico creado de forma maliciosa, con hipervínculos a dominios aparentemente razonables y texto que contiene parte del número de tarjeta de crédito del usuario.

Como un scammer, se necesita enviar tantos correos electrónicos como sea posible, y si una o dos líneas coinciden perfectamente con la situación de la víctima, entonces será un ganador. Solamente uno o dos de muchos miles es suficiente para hacer el trabajo que vale la pena. En este caso el phisher apuntaba un banco específico, tenía la gráfica, dominios y hasta un certificado SSL que parecía muy convincente. Es desafortunado que sistemas de confianza supuestamente fallan al proteger a los usuarios. El certificado SSL parece ser suficientemente auténtico para convencer a todos excepto a el más escéptico. El scammer también aprovechó el hecho de que los bancos emiten tarjetas de crédito con los mismos cuatro primeros dígitos, los que ayuda a convencer a la víctima de que es un correo electrónico legítimo.

Es fácil obtener certificados SSL, indudablemente algunas autoridades certificadoras emprenden comprobaciones más rigurosas que otras. A través de Google es posible encontrar sitios que emiten certificados SSL por 20 dólares o menos, emitidos según un procedimiento automático. Por lo visto no hay ninguna intervención humana o la necesidad de enviar los certificados de la compañía de incorporación o la documentación similar para demostrar la legitimidad de la persona que solicita el certificado SSL. SmoothWall cree que no deberían permitir que este manejo sea realizara, debido a que permite que se destruya uno de los pilares de la seguridad de Web.