Para mal de muchos bolsillos de clientes despistados y de entidades financieas víctimas del fraude, el phishing continúa en la tenebrosa senda de la mejora, mejora que obviamente sólo es mejora para aquellos que se lucran a costa de engañar a las víctimas.
El último caso documentado por ISC de SANS, del que se ha hecho eco Brian Krebs del Washington Post, es realmente escalofriante. Una muestra más de que el phishing es una amenaza cada vez más seria y más descontrolada, cuya incidencia en la población crece exponencialmente según avanzan los días.
El caso de Mountain America sin duda es de los que llama la atención, por la sofisticación del ataque. Los phishers habían montado el sitio falso en https://www.mountain-america.net. La verdadera URL de esta entidad es https://www.mtnamerica.org/. Primer punto a favor de los atacantes, la elección de un nombre de dominio que contiene el nombre de la entidad y nada más. Y segundo punto a favor, el ataque lo montaron sobre protocolo seguro https.
Hasta aquí, más o menos lo de siempre. Pero es que resulta que ese protocolo seguro https también permitía, como es lógico, pinchar en el candadito, ese que nos muestra la información de los certificados. Y cómo no, había un certificado perfectamente válido. Tercer punto a favor de los atacantes.
Este certificado aparecía firmado por Equifax Secure Inc, y con un cifrado AES-256 de 256 bit. Un navegador Fifefox ofrecería el mensaje «High-Grade Encryption». Nuevo punto a favor de los phishers. Los detalles del certificado, cómo no, perfectamente claros y visibles.
El usuario que todavía dudase, y que tuera algunas nociones, podía ver en el certificado SSL referencias a Checkpoint, una compañía con base en Salt Lake City, en Utah, EEUU, cuyos datos aparecian en el «Organizational Unit» del certificado SSL. La sede central de Mountain America está en Salt Lake City. El partido va 5 a 0 y esta última jugada, coloca al usuario al borde de perder el partido.
El partido lo gana 6 a 0 el grupo que montó el ataque phishing cuando el usuario, una vez ha hecho todas esas comprobaciones, se va ufano, confiado y tranquilo al índice de la web falsa e introduce los datos que le eran requeridos, todo ello bajo una presunta actualización del programa Visa de la entidad. Match point de los phishers.
La entidad, no obstante, en un ejemplo loable y desde luego que digno de ser elogiado, ha documentado el caso en su propia página web. Adicionalmente, han colocado información sobre phishing en el sitio web. El mensaje que ofrece a los usuarios no puede ser más acertado:
Trust Your Instincts
If something in a communication from Mountain America Credit Union does not seem «right,» go with your gut feeling. Do not respond to any suspicious communication. Immediately contact your nearest branch or our service center at 1-800-748-4302.
Confía en tus instintos. Tú eres el eslabón más débil de la cadena de seguridad.
Entonces , si el certificado es inutil para detectar que el sitio al que se ha conectado el usuario es el que dice ser ¿ para qué sirven los certificados de servidor ?
Equifax parece una entidad certificadora real
¿ O es que estas entidades solo aseguran que te conectas a la máquina que dice ser, aunque sus propósitos sean oscuros ? Es decir, al fin y al cabo, tu quieres conectarte a https://www.mountain-america.net y eso es lo que certifican
¿ Cómo podemos asegurarnos mediante certificados de que :
1) nos conectamos con la máquina que queremos ( evitar DNS spoofing )
2) la máquina a la que nos conectamos pertenece a la entidad que queremos
?
Bueno en realidad se tratará de comprobar dos cosas
a) Que la entidad, nombre, denominación, y datos concretos son los que nosotros queremos.
b) Que la entidad certificadora «en la que confiamos» identifica de forma correcta esos datos.
Es evidente que la CA debe EXIGIR garantías suficientes a los usuarios o destinitarios de sus certificados de que son quien dicen ser… pero claro si ellos dicen ser «Una montaña de americanos» en vez de «Un americano de las montañas» y piden un certificado de eso…. la entidad me imagino que no tendrá más remedio que tener que certificar eso.
No sé si me he explicado…. Aquí nuestra FNMT es una CA que nos exige «ir» y presentarnos en persona a una delegación de hacienda para «certificar» que somos quien decimos que somos… no sé si me he liado o he aclarado algo.
Gracias Sergio por tu web. Continúa así.
jmt
El certificado solo garantiza que la dirección del navegador coincide con la que tiene el certificado. No evita el DNS spoofing porque además, las urls cambian de dirección IP frecuentemente.
El problema es que por desgracia se ha trivializado la aparición del candado. Los requisitos para expedir uno de servidor son diferentes segun las CA y los paises. Por otro lado, el navegador lleva por defecto algunos tambien, asi que realmente el usuario no controla «en quien quiere confiar».
En España tenemos además la LEY 59/2003, de 19 de diciembre, de firma electrónica pero ya he visto en mas de un organismo oficial y empresas certificados generados con PKI propias para autenticar al servidor. Además, aunque el usuario más o menos entiende lo del candado, casi nunca puede verificarse la lista de certificados revocados por lo que si tienes activo que se mire la lista antes de dar por válido un certificado, siempre te avisa el navegador de que no puede saber si en ese momento el certificado es bueno o no y toca tirarse a la piscina y confiar en que sea válido. En fin, las cosas se han hecho mal y se continuan haciendo peor.