Hace poco, unos hackers intentaron aprovechar un fallo detectado en el site de PayPal, para robar los números de las tarjetas de crédito, la fecha de caducidad, los códigos PIN y otras datos privados de los usuarios de este líder internacional en soluciones para pagos por internet.
A diferencia de otros casos de phishing, donde los usuarios son dirigidos a sites falsos, con la apariencia de las páginas reales, esta vez los usuarios llegaron a la web real. Todo estaba diseñado para engañar al usuario y a su navegador: la URL que mostraba la barra del navegador comenzaba con www.paypal.com, la conexión al sitio real estaba encriptada con SSL y el certificado de validación del banco era visible para el usuario, lo que confirmaba que los usuarios estaban conectados correctamente a PayPal y, aparentemente, de forma segura.
El incidente ocurrido con PayPal es el primero de una serie, que ha continuado en otras webs importantes como Suntrust, Citizens, Visa y MasterCard. Estos fallos de seguridad en sites reales permiten a los hackers sacar el máximo partido de técnicas como cross-site scripting, cross-frame scripting y redireccionamiento.
En la actualidad, un número cada vez mayor de hackers está practicando sofisticados ataques de phishing a webs y, ya no se conforman con sólo enviar a su victima a burdas webs falsas, que son detectadas por las herramientas de los usuarios, que alertan rápidamente a los usuarios de que no están navegando en el site real. Durante mucho tiempo, el phishing fue un área donde la protección dependía únicamente del nivel de conocimiento y alerta contra estos ataques del usuario, posteriormente entró en juego el incremento de la seguridad en los equipos de los usuarios. Pero, en la actualidad, la protección frente a estos ataques se está convirtiendo en una cuestión que empuja a los bancos y a las empresas a reforzar sus medidas de seguridad en sus aplicaciones advierte Francisco Asensi, Director de Desarrollo de Negocio de Deny All para España.