Hispasec demuestra como es posible realizar ataques phishing en servidores seguros de entidades bancarias, aun cuando el usuario
visualice que la URL comienza por https:// seguido del nombre de la entidad y que el icono del candado que aparece en la parte inferior del navegador certifique que se encuentra en el servidor seguro del banco.
Hasta hasta el momento las recomendaciones para acceder de forma segura a la banca electrónica hacían hincapié especial en comprobar que la URL del navegador comenzara por https://

...seguido del nombre de la entidad, así como que haciendo doble click en el candado que aparece en la parte inferior del navegador se comprobara el certificado, para cerciorarse de que el usuario estaba navegando en el servidor seguro de la entidad.

En un estudio sobre phishing avanzado, llevado a cabo por Hispasec de cara a prevenir futuras técnicas de ataque, se han detectado varias
áreas de oportunidad, una de ellas hace inútiles las recomendaciones anteriores.

Básicamente se trata de aprovechar un tipo de vulnerabilidad muy común en aplicaciones webs, como es el Cross-Site Scripting (XSS), para
modificar el contenido de la web que el usuario visualiza en su navegador. Este tipo de vulnerabilidad es bien conocida en el mundo
de la seguridad, si bien en contadas ocasiones se considera de un riesgo medio y no se le presta la atención que se merece.
Para hacer más visual y comprensible el alcance del problema, Hispasec ha preparado tres vídeos (flash) donde se detalla un caso real de phishing sobre una entidad realizado como prueba de concepto (avisado y corregido antes de publicar estas líneas). El primero de los vídeos muestra la perspectiva de la víctima que sufre la estafa, el segundo como el atacante ha preparado el phishing, y un tercero genérico explicando de forma gráfica las implicaciones de los Cross-Site Scripting en los servidores seguros.

Os recomiendo encarecidamente la visualización de los vídeos flash disponibles AQUI

Fuente: www.hispasec.com