Suplantación automática de suplantación de identidad del navegador utilizando campos de formulario ocultos: tenga cuidado y esté seguro

2018-09-30 10:52:26
Principal·Otro·Suplantación automática de suplantación de identidad del navegador utilizando campos de formulario ocultos: tenga cuidado y esté seguro

Si ha estado utilizando la función de autocompletar de su navegador web en cada sitio web que visita, estas son algunas noticias importantes para usted. Se ha descubierto que los navegadores web como Chrome, Safari u otros que admiten el autocompletado de formularios múltiples pueden ser engañados para que entreguen su información, incluso los números de tarjeta de crédito, sus fechas de vencimiento y los códigos CVV a los sitios web.

¿Cómo funciona el phish?

Un sitio de phishing puede tener campos de formulario o cuadros de texto visibles para recopilar información básica como el nombre de usuario y la dirección de correo electrónico. Además, el sitio tendrá otros campos de formulario configurados para permanecer ocultos en la página web, utilizando márgenes negativos u otros métodos CSS. Cuando usa el autocompletado para llenar los campos de formulario visibles, los campos de formulario ocultos también obtendrán sus datos respectivos.

El desarrollador web y hacker finlandés Viljami Kuosmanen ha descubierto esta vulnerabilidad. También ha creado un sitio de demostración donde puedes ver cómo funciona el phishing. Visite su página del proyecto GitHub para más información.

Si observa el código fuente de la página web de demostración, puede ver que existen campos de formulario adicionales en la página web, pero no aparecen en la pantalla. Una vez que complete el cuadro de texto "Nombre" de aspecto inocente utilizando la función de autocompletar, los otros campos se completarán automáticamente. Después de hacer clic en Enviar, toda la información se publica en el sitio.

Ejemplo: el campo cc_number tiene un margen izquierdo negativo (-500px) para que no se muestre en la página

Firefox no es vulnerable porque no admite el autocompletado de formularios múltiples. En Firefox, debe seleccionar cada campo y escribir la letra inicial, o hacer doble clic en el campo, o presionar la flecha hacia abajo y hacer clic en uno de los elementos en el menú desplegable. Los datos no se completarán automáticamente en los cuadros de texto ocultos.

Uno puede esperar una solución por parte del equipo de Google Chrome, ya que el método de phishing simple pero efectivo fue el centro de atención. Hasta entonces, desactive el autocompletado en su navegador web o al menos no use el autocompletado en sitios web en los que no confía completamente.

Desactivar Autocompletar en Chrome

En Chrome, abra Configuración, haga clic en Mostrar configuración avanzada.

Desmarque "Habilitar Autocompletar para completar formularios web con un solo clic" en "Contraseñas y formularios".

Desactivar Autocompletar en Opera

En Opera, la configuración de autocompletar está disponible en Configuración> Privacidad y seguridad> "Autocompletar". Desmarque "Habilitar el autocompletado de formularios en páginas web".

a través de Lifehacker.

Actualización: Acabo de descubrir que Yoast escribió sobre esta vulnerabilidad en 2013. Echa un vistazo por qué no deberías usar autocompletar • Yoast

La Elección Del Editor