Usuarios de Dropbox estafados al entregar credenciales a través de una página de phishing enviada por SSL

Table Of Contents

• Usuarios de Dropbox estafados al entregar credenciales a través de una página de phishing enviada por SSL
• El modus operandi
• Páginas de inicio de sesión servidas a través de una página web utilizando un protocolo seguro

Usuarios de Dropbox estafados al entregar credenciales a través de una página de phishing enviada por SSL

Después de la filtración masiva de 700,000 identificadores y contraseñas de usuarios de Dropbox, que Dropbox niega haber sido robada de sus servidores, la gente está cautelosa sobre la seguridad de Dropbox.

Sucede que ha surgido un nuevo estilo de robo de credenciales de Dropbox. Los ciberdelincuentes intentan robar credenciales de Dropbox y servicios de correo electrónico basados en la web creando una página de inicio de sesión falsa que está alojada en el sitio web de intercambio de archivos, aprovechando su protocolo seguro. Esta estafa fue descubierta por Symantec.

El modus operandi

Como de costumbre, las posibles víctimas reciben un correo electrónico con un asunto que lo indica como ‘Importante’ de una parte conocida (que también ha sido víctima). Se dice que el correo electrónico contiene un archivo grande que solo se puede ver a través de Dropbox. Una vez que la víctima hace clic en el enlace, es llevada a una página clonada de Dropbox donde se le pide sus credenciales de Dropbox.

El problema con esta página clonada de Dropbox es que se sirve a través de un sitio web seguro que contiene las palabras https antes de la url y además contiene una réplica exacta del logo de Dropbox. Esto hace que la víctima crea que está en la verdadera página de Dropbox y entregue sus credenciales a los ciberdelincuentes. La imagen que se muestra a continuación es de la página mencionada y puede engañar incluso al usuario más prudente.

Páginas de inicio de sesión servidas a través de una página web utilizando un protocolo seguro

Tan pronto como se presiona el botón “iniciar sesión”, el nombre de usuario y la contraseña ingresados en los campos de inicio de sesión se envían a un script PHP en un servidor comprometido, dice Nick Johnston de Symantec en una publicación de blog.

La estrategia maestra de los ciberdelincuentes de usar un protocolo seguro para alojar su sitio clonado nefasto funciona en la mayoría de los casos. Enviar los datos a la máquina a la que acceden los delincuentes también se realiza utilizando el protocolo seguro, lo que no genera sospechas en la víctima. De lo contrario, dado que la página falsa se accede a través de una conexión encriptada, el navegador web informaría que se está utilizando un canal de comunicación inseguro para entregar los datos, advirtiendo que podría ser interceptado y leído por un tercero.

Johnston agrega en su publicación de blog que no todos los recursos de la página de phishing se entregan a través de SSL. Los elementos no seguros están marcados en la parte superior izquierda del navegador web, que mostrará un candado diferente en la barra de direcciones indicando que algunas partes de la página son inseguras. Sin embargo, ver el candado y el https al inicio de la página es suficiente para la mayoría de los usuarios y eso los pone en un mayor riesgo.

“La página de inicio de sesión falsa está alojada en el dominio de contenido de usuario de Dropbox (como lo están las fotos compartidas y otros archivos) y se sirve a través de SSL, haciendo que el ataque sea más peligroso y convincente”, dice el investigador.

Este no es el primer caso de abuso del servicio de almacenamiento en la nube de Dropbox. A finales de agosto, se observó una campaña de phishing por SMS (smishing) que se basaba en el mismo método, la diferencia es que los delincuentes entregaron una página falsa/clonada de Facebook.

*Sin embargo, dada la escala de las recientes filtraciones que golpearon el ciberespacio la semana pasada, se aconseja a los usuarios tener precaución para evitar caer en tales trampas.