Ataque phishing en Chrome para Android

Peligro en Chrome
El desarrollador James Fisher ha mostrado en su blog personal, cómo se podría llegar a engañar a los usuarios del navegador Chrome en Android desde una web malintencionada.

Este posible ataque de phishing (engaño con suplantación de identidad), sería relativamente sencillo de programar.

¿En qué consiste el ataque?

Los usuarios de este navegador sabrán que, una vez que llegan a la página que desean consultar y empiezan a desplazarse hacia abajo por ella, la barra de dirección del navegador se oculta para aprovechar el máximo de la pantalla. Esta barra, no será visible de nuevo hasta desplazar de nuevo hasta la parte superior de la web.

El atacante, podría engañar a su víctima creando una nueva barra de dirección con el mismo diseño de la del navegador. Una vez que el usuario se desplaza y se oculta la barra original, la «falsa», ocuparía su lugar e, incluso, bloquear el salir de dicha web o limitar el scroll superior para que no aparezca de nuevo la original.

¿Y en qué me podría afectar?

Uno de los motivos más preocupantes sería la suplantación de identidad. Imaginemos que llegamos a una web falsa por medio de un enlace maligno (desde un email, publicidad engañosa, otra web, redes sociales…). Esta web puede tener la dirección real que se le antoje, supongamos miwebmalvada.com. Una vez dentro, la web puede tener la apariencia total de tu entidad bancaria. En cuanto la barra real es sustituida por la falsa, esta última, podrá mostrarnos una dirección mibancoreal.com e, incluso, si se programa adecuadamente, mostrar información falsa en ventanas flotantes al pulsar sobre los botones de la misma (datos de certificado no reales, opciones de navegador para pasar desapercibido, etc.).

Con ello, el usuario estafado pensaría que está en su web de confianza, con las habituales señales que le transmiten seguridad, pero totalmente falsas. El usuario, por tanto, podría proporcionar a dicha web falsa, sus datos de acceso con los peligros que ello implica.

Para ejemplo: un botón

Aquí, se puede ver un ejemplo del posible ataque, proporcionado por James Fisher en su propio blog:

 

Por el momento Google no se ha pronunciado al respecto, ni tampoco se ha visto una posible solución a este problema. Os aconsejamos que prestéis mucha atención en la primera carga de la web, en la que se muestra la barra real del navegador y, si existe una mínima sospecha de suplantación, se abandone la web y se cierre la aplicación si es necesario.

¿Quieres ayudarnos?