Desde Hispasec Sistemas hemos publicado una nueva entrega de nuestro conocido boletín una-al-dia que hemos titulado Nueva generación de phishing rompe todos los esquemas, en el que nuestro equipo de auditoría trata un tema muy en boga relativo a la seguridad de las aplicaciones bancarias: la explotación mediante Cross Site Scripting de portales bancarios inseguros mediante técnicas de fraude por phishing.
Hemos puesto a disposición de los lectores una interesante prueba de concepto que incluye tres animaciones flash, donde se muestra un caso real de phishing realizado sobre un portal bancario español, una reconstrucción de cómo se hizo el ataque phishing y un ejemplo también real de explotación por XSS en entornos web seguros.
Este trabajo de investigación es continuación de un trabajo más general enmarcado en nuestra campaña de concienciación de seguridad en materia de phishing y técnicas antiphishing, del que se hicieron eco algunos medios recientemente. Espero que lo disfrutéis y sea de vuestro agrado.
Un saludo :)
La idea es avisar primero a la entidad, y luego, si lo estimas oportuno, puedes hablar en público del asunto. Lo digo porque esta información sensible puede provocar dolor de bolsillo en los usuarios, y no es plan :)
En fin, otro XSS más. Con lo fácil que es auditar el código fuente …