• Tweet

Expertos de seguridad están alertando sobre una técnica nueva de phishing diseñada para caputar detalles bancarios en línea sin requerir de un clic del usuario en el enlace del sitio web.

De acuerdo a la firma de seguridad MessageLabs, todas las víctimas potenciales simplemente tienen que abrir un correo electrónico, el cual silenciosamente ejecuta un script que intenta reescribir los archivos del huésped de máquinas definidas.

La siguiente vez que el usuario intenta acceder legítimamente a su banco en línea, éste será redireccionado automáticamente a un sitio web fraudulento, permitiendo que su información sea robada.

Actualmente el riesgo es bajo, de acuerdo a MessageLabs, el cual sólo ha interceptado copias de correo apuntando a tres bancos brasileños.

Sin embargo, Mark Murtah, líder de amenazas emergentes de la compañía de seguridad Websense, espera que la amenaza se incremente tanto como los intrusos usen técnicas más sofisticadas.

"Existe una alarma creciente entre los usuarios de computadora sobre los peligros de phishing, así que ellos son más precavidos", dijo Murtah.

"Los intrusos saben esto, así que estamos comenzando a ver scams cada vez más sofisticados que son muy difíciles de detectar".

"Algo tan inocente como usar la función de auto-visualización en un cliente de correo electrónico es suficiente para descargar código malicioso o key-loggers silenciosos. Y el software antivirus no necesariamente detecta el hecho de que alguien ha sido infectado".

Los usuarios de computadora pueden defenderse así mismos contra esto si se aseguran que está deshabilitada la ejecución automática de scripts (Sripting Host).