Falha permite criação de phishing 'perfeito' com certificado d

[Progress 2]

Falha permite criação de phishing 'perfeito' com certificado digital falso

 

São Francisco - Vulnerabilidade permite que criminosos criem certificados falsos que são vistos como verdadeiros pela maioria dos navegadores.

 

Um time de pesquisadores revelou uma falha crítica na infra-estrutura de certificação digital da internet.

 

A falha atinge os domínios https, considerados mais seguros por serem criptografados e exigirem certificados digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança ao verificar que o site possui um certificado digital concedido pelas autoridades certificadoras.

 

O navegador consegue garantir que o certificado digital do site é legítimo ao analisá-lo com algoritmos de criptografia.

 

O que os pesquisadores descobriram é que um desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso significa que o navegador pode falar que o site é legítimo quando ele se trata de uma cópia. O time conseguiu, também, criar uma autoridade certificadora falsa. Assim, a AC daria certificados digitais que seriam aceitos como verdadeiros pela maioria dos navegadores.

 

Ao usar a AC falsa, aproveitando da falha do algoritmo MD5, os crackers podem usar a conhecida falha do DNS (sistema de nome de domínios da internet) para criar ataques de phishing impossíveis de identificar.

 

Se um usuário acessa o site do banco ao qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado que aparenta ser idêntico ao original. Além disso, o navegador receberia um certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos dos usuários seriam enviados diretamente para as mãos dos criminosos.

 

Por conta da descoberta, os pesquisadores defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia seguro para uso em assinatura e certificados digitais.

 

Os resultados foram apresentados no congresso de segurança 25C3 realizado no dia 30 de dezembro em Berlim, Alemanha. O time de pesquisadores contou com profissionais independentes da Califórnia, Estados Unidos, além de especialistas do centro Wiskunde e Informatica (CWI) e na Universidade de tecnologia de Eindhoven, ambos na Holanda, e do EPFL, na Suíça.

 

Fonte: http://idgnow.uol.com.br/seguranca/2009/01...-digital-falso/

[eibon 2]

Interessante!

go sha1024...askapoksapskaoas

[Mário Monteiro 179]

tenho algumas estrategias para acessar sites como os bancarios

 

primiero que nao digito a url ja a tenho nos favoritos

 

outra é que quando vou acessar o site do banco eu sempre erro a senha uma vez para ver se é o site mesmo se for ele avisará que eu errei

 

será que precisarei errar mais de uma vez agora?

[Progress 2]

É uma falha grave mesmo, precisa ser corrigida com urgência.

 

tenho algumas estrategias para acessar sites como os bancarios

 

primiero que nao digito a url ja a tenho nos favoritos

 

outra é que quando vou acessar o site do banco eu sempre erro a senha uma vez para ver se é o site mesmo se for ele avisará que eu errei

É Mário, realmente são boas estratégias para garantir um pouco mais de segurança, porém não garante segurança total, mas o pouco que já garante já é um ótimo início.

 

Meus pais não acessam as contas bancárias via web de jeito nenhum, nunca vi tanto medo.

 

[]'s

[Patrique 0]

Vixxiii, cada vez é descorberto novos erros ridiculos, eu também tenho certo medo em acessar a minha conta via web, mais sempre quando acesso eu faço com reocaução.

 

[]'s

[eibon 2]

outra é que quando vou acessar o site do banco eu sempre erro a senha uma vez para ver se é o site mesmo se for ele avisará que eu errei

E se a pagina de pishing fizer uma requisição a página verdadeira...e exibindo a response exatamente como no site,mas com uma pequena diferença,seus dados são enviados para x email? xD

[Mário Monteiro 179]

mas teoricamente nao tem como colocar a senha a nao ser pelo teclado virtual

 

acredito que o site falso so tera sucesso se o usuario acreditar que é verdadeiro e colocar as senhas la

 

e quanto ao uso eu nao tenho nenhum trauma nao, so vou ao banco ainda porque nao da para sacar dinheiro pela internet