En un ataque de suplantación de dirección URL en la barra de direcciones el atacante, como parte normalmente de un ataque de phishing cambia la dirección URL de la web que tenemos en pantalla para dar la sensación a la víctima que realmente se encuentra en una web segura o familiar para inducirle a introducir normalmente credenciales y de esta manera robarselas.
Este cambio de URL depende de la vulnerabilidad, pero normalmente se consigue ejecutando un JavaScript durante la carga de la web maliciosa que substituye en nuestro navegador esa URL por una en la que la víctima confíe.
El atacante, al poder indicar cualquier URL dispone de una herramienta más sobretodo en caso de spear phishing ,en los que a los objetivos de una empresa podrían sencillamente presentarles portales maliciosos simulando intranets corporativas o similares facilitando de esta manera toda una serie de credenciales a los atacantes para obtener resiliencia y acceso a la información de la empresa.
Por ejemplo un PoC de esto que estamos hablando sería el código que podemos ver a continuación. En el cual se muestra el mensaje “This is not Bing” a modo de Hello World, define con location.href la URL de la web actual y la va forzando con el setInterval cada 2 segundos
< script> document.write("This is not Bing"); location.href = "https://bing.com:8081"; setInterval(function(){location.href="https://bing.com:8080"},2000); < /script>
Este ataque se ha venido consiguiendo en diversos navegadores independientemente del sistema operativo, en el siguiente link podéis encontrar diversos PoC de diversas de estas técnicas incluyendo el anterior.
Mitigación
La mayoría de navegadores en los que se ha detectado esta vulnerabilidad ya se han actualizado para solucionarla, como siempre navegadores ya descontinuados o si usamos versiones antiguas de los mismos pueden presentar esta vulnerabilidad y ponernos en riesgo. Dependiendo del sistema que utilicemos y el origen del link, tener habilitados servicios como el SafeLinks Protection de Microsoft u otros similares por parte de soluciones antivirus puederesultar muy útil para reducir la posibilidad de visualizar una web maliciosa. Conviene igualmente siempre que sea posible no clickar en links directamente sino pasarlos antes por algún servicio de apertura de los mismos tipo checkshorturl.com o psafe.com
