Robo de contraseñas en Facebook con iframes en aplicaciones

Hoy leía en F-Secure una nota sobre phishing que aprovecha los iframes en las aplicaciones para cargar páginas falsas:

phishing-facebook
En la anterior captura tomada por F-Secure se puede ver la página de phishing cargada dentro de Facebook, a simple vista no se nota salvo por el detalle de ser una aplicación (apps.facebook.com).

Es un ataque simple pero muy efectivo si se acompaña con ingeniería social. En este caso se engaña a las víctimas con una advertencia de actividad sospechosa para que confirmen los datos de la cuenta, si lo hacen en realidad estarán enviando la información a los ciberdelincuentes que luego la venderán o utilizarán para enviar spam.

Estuve realizando algunas búsquedas y hay muchas aplicaciones que están robando contraseñas con frames:

busqueda-google-aplicaciones-seguridadsite:www.facebook.com/apps/application.php account security

Algunas de las aplicaciones fraudulentas que aparecen en los resultados ya fueron eliminadas, pero otras siguen activas como la siguiente:

aplicacion-phishing-iframe
El formulario es cargado mediante un iframe:

iframe-facebookCódigo fuente de la aplicación

En el código fuente se puede ver que la página mostrada se encuentra bajo un dominio .tk. Esta es la página de phishing que se muestra en la aplicación de Facebook:

phishing-aplicacion
Esta a su vez carga su contenido desde otra página que es la que contiene realmente al formulario falso:

frame-facebook
¿Por qué una doble carga? posiblemente les facilite la tarea de crear páginas fraudulentas bajo distintos dominios .tk, pues si les dan de baja o bloquean algunos, el formulario que roba los datos se mantiene online y funcionando para otros dominios.

El hecho de que se puedan utilizar frames en las aplicaciones se cuestiona bastante ya que es algo que permite cargar cualquier clase de códigos. Como comentaba al principio, es un ataque simple pero muy efectivo, las víctimas pueden creer que es Facebook el que solicita los datos.

Ambos sitios falsos comentados en el post ya fueron denunciados en Phishtank y son bloqueados por los navegadores. Si se accede a la página de la aplicación actualmente aparece una advertencia (ejemplo con Firefox):

advertencia-phishing
Las aplicaciones también se pueden denunciar desde sus respectivas páginas.

Ver también:
PhishTank, un servicio para denunciar phishing.
Denunciar phishing desde Gmail, Hotmail, Firefox e Internet Explorer.

Deja un comentario