Mientras que Microsoft Edge es promocionado como más seguro que Chrome y Firefox, la alerta de seguridad del navegador es susceptible al abuso de estafas de soporte técnico. Un investigador de seguridad ha descubierto una vulnerabilidad en Edge que podría permitir a los estafadores mostrar una alerta de seguridad falsa para cualquier dominio.
Manuel Caballero, que mantiene el blog Broken Browser, descubrió que los estafadores también podían personalizar el texto de las alertas falsas para atraer a usuarios desprevenidos a llamar a números de soporte técnico. Los operadores del centro de llamadas, de hecho, engañarían a las víctimas para que pagaran grandes sumas de dinero.
Caballero señaló que la campaña maliciosa no es nada nuevo. Sin embargo, reconoció que los estafadores están avanzando en su truco para engañar a más usuarios. Escribió en un blog post :
«Rinden alertas rojas o BSODs con mensajes falsos y a veces incluso lanzan alertas de bloqueo para evitar que los usuarios se vayan. Cuando un usuario cierra el cuadro de alerta, aparece uno nuevo, ad infinitum».
Existe un fallo en la función de seguridad SmartScreen de Edge
Caballero dijo que el error de seguridad existe en la función de seguridad SmartScreen de Edge, añadiendo que el error es exclusivo de Edge. SmartScreen detecta las descargas desde el disco duro y las URL de suplantación de identidad (phishing) para que muestre una alerta de seguridad dentro de la ventana del explorador.
Los mensajes de advertencia residen en los protocolos de instalación de Edge ms-appx: y ms-appx-web. Edge utiliza estos protocolos para mostrar mensajes de advertencia cuando el navegador detecta sitios de entrega de phishing o malware.
El investigador de seguridad explicó que el fallo no sólo permite a los hackers extraer los protocolos y personalizar los mensajes de advertencia, sino que también permite a los ciberdelincuentes falsificar la URL de la barra de direcciones de Edge. Los estafadores también podrían añadir un hash y falsificar una página de estafa de soporte técnico para que el spoofing parezca auténtico. Del mismo modo, los usuarios desprevenidos pensarían que un sitio web que visitan es legítimo, cuando en realidad está siendo falsificado.
La vulnerabilidad podría servir como una herramienta efectiva para que los estafadores de soporte técnico enmascaren su ataque con una URL legítima. Además, actualmente no hay arreglo para la falla, según Caballero, quien afirmó que Microsoft ignoró sus informes en el pasado.
Lea también:
- Cómo eliminar las ventanas emergentes de estafas de soporte técnico en Windows
- Micorsoft advierte a los usuarios de Hicurdismos, una estafa desoporte técnico telefónico
-
Microsoft Edge es compatible con Windows Defender Guard para una mayor seguridad