Logo de islavisual
Isotipo de islavisual IslaVisual
imagen de sección

Ultima revisión 15/10/2012

Ataque avanzado de phishing usando la API de HTML5 Fullscreen

¿ Hacer uso siempre del motor de búsqueda instantánea de YouTube ? Dicho motor de búsqueda fue desarrollado por un desarrollador de 21 años llamado Feross Aboukhadijeh en 2012. Chad Hurley, CEO y co-fundador de YouTube, quedó tan impresionado que inmediatamente le ofreció un trabajo en YouTube.

phishing_image

Recientemente se ha desarrollado un concepto de ataque que aprovecha la interfaz de programación de aplicaciones de pantalla completa en HTML5 con el fin de llevar a cabo ataques de phishing por adelantado. La "API Fullscreen de HTML5" permite a los desarrolladores web mostrar contenido web en modo de pantalla completa. Si quieres ver más puedes visitar la url http://thehackernews.com/2012/10/advance-phishing-attacks-using-html5.html

La "API Fullscreen de HTML5" es quizás conocida por su potencial spoofing, lo que lleva a los proveedores de navegadores principales la prospección para la aplicación de un overlay para notificar a los usuarios cuando el Full-Screen está activado.

Feross demostró cómo la API Fullscreen puede ayudar a los portales de phishing, que parecen inofensivos para los usuarios finales, a ocultar los elementos de la interfaz del navegador de los usuarios, lo que impediría que el usuario conociese la dirección URL real de la página web visitada.

Desafortunadamente, el navegador de Apple Safari en su versión 6.01 y posteriores, ofrece poca o ninguna señal de que el modo a pantalla completa haya sido activado. Google Chrome en su versión 22 y posteriores, ofrece alguna noticia, aunque como Aboukhadijeh dijo textualmente, la notificación es "bastante sutil y se perdió fácilmente." Mozilla Firefox en su versión 10 y posteriores, alerta al usuario con una notificación visible de forma, podríamos decir, correcta.

El ataque Aboukhadijeh depende más de la habilidad de los hackers que de código defectuoso y aunque hay muchas formas de engañar a los internautas, la verdad es que sólo hay una manera de mitigar este riesgo, la vigilancia constante. El código fuente demo también está disponible en GitHub

Fuente http://thehackernews.com/2012/10/advance-phishing-attacks-using-html5.html

Sobre el autor

Imagen de Pablo Enrique Fernández Casado
Pablo Enrique Fernández Casado

CEO de IslaVisual, Manager, Full Stack Analyst Developer y formador por cuenta ajena con más de 25 años de experiencia en el campo de la programación y más de 10 en el campo del diseño, UX, usabilidad web y accesibilidad web. También es escritor y compositor de música, además de presentar múltiples soft kills como la escucha activa, el trabajo en equipo, la creatividad, la resiliencia o la capacidad de aprendizaje, entre otras.

Especializado en proveer soluciones integrales de bajo coste y actividades de consultoría de Usabilidad, Accesibilidad y Experiencia de Usuario (UX), además de ofrecer asesoramiento en SEO, optimización de sistemas y páginas web, entre otras habilidades.