Un investigador de seguridad informática independiente, apodado como MLT, ha demostrado cómo aprovechando una vulnerabilidad del portal de eBay ha sido posible robar usuarios y contraseñas desde el dominio legítimo de la página web.
El phishing está a la orden del día. Diariamente se reciben en todo el mundo millones de correos electrónicos intentando suplantar a un banco, una tienda electrónica, una red social o incluso el propio servicio de e-mail. ¿El objetivo? Conseguir credenciales de acceso e información confidencial, pero detectarlo es relativamente sencillo, ya que suelen pedirnos una simple respuesta por el mismo medio o nos remiten a webs que no corresponden con el servicio en particular. Algo de los que desconfiar.
Sin embargo, el phishing puede ser ejecutado fácilmente desde las propias páginas de los servicios y así lo ha demostrado un investigador de seguridad independiente conocido como MLT en eBay, el conocido portal dedicado a la subasta y compra de productos de todo tipo.
Así se capturan usuarios y contraseñas desde el mismo eBay
La técnica empleada por este experto en seguridad informática para realizar su simulado propósito no pude ser más sencilla, incluso para un usuario malintencionado no demasiado avanzando:explotar una vulnerabilidad XSS o cross-site scripting. Básicamente, se trata de inyectar en una página web ajena código JavaScript, VBScript o similar, con el que conseguir mostrar una información distinta de la original.
La web fraudulenta dentro de la web original
En este caso, el fallo de seguridad se encontraba en los parámetros que podían incluirse en la URL de eBay y que permitían inyectar, por ejemplo, un iframe con una página ilegítima que imitase la de inicio de sesión de la tienda. En la práctica, casi alojar en el propio dominio original el fraudulento, como demuestra el vídeo que precede estas líneas, donde se realiza la demostración en tiempo real.
De este modo, bajo www.ebay.com se mostraba una web que, si uno no prestaba atención a la URL completa, identificaría con el login habitual. Si un inocente usuario la empleaba para acceder a su cuenta de usuario, sus datos quedaría registrados por el responsable del phishing y él no obtendría más que un mensaje de error o una página en blanco.
De forma sencilla, pero efectiva, cualquier cuenta podría haberse visto expuesta —millones de usuarios— tal y como cuenta en su blog.
eBay no corrigió el error hasta que preguntaron medios de comunicación
Según cuenta el propio investigador, hace un mes que reportó el fallo a los responsables de eBay sin recibir respuesta y sin ver solucionado el problema.
Solamente cuando algunos medios de comunicación contactaron con la compañía al respecto del mismo fue solucionado y MLT reconocido en la página web que el portal destina a los hackers que les echan una mano.
Fuente:https://www.malavida.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad