Los troyanos bancarios pueden trabajar de muchas maneras, y una de ellas consiste en superponer una imagen propia sobre el navegador, una vez que se detecta que el sitio web visitado es la entidad bancaria atacada.

Estos troyanos, dependiendo de la pericia del programador, pueden pasar más o menos desapercibidos, y generalmente se basan en capturas de pantalla de la propia página, pero pueden ser detectados por el cliente atento.

Vamos a ver algunas maneras de detectar estos tipos de troyanos a de forma manual o “al ojo”.

• Tiempo de carga: Los troyanos superponen la imagen cuando observan la URL atacada, ya sea en la barra de direcciones o en el título y, al ser un simple programa mostrando una imagen, son muy rápidos y la carga es instantánea y uniforme. No habrá partes de la página cargadas al instante y partes que se cargan más tarde.
• Clic derecho (en el raton): Al hacer clic con el ratón, realmente lo hacemos sobre la imagen superpuesta, por lo que el clic derecho no suele funcionar, mientras que en la página legítima sí que lo hace.
• Enlaces (links): Por el mismo motivo que en el punto anterior, los enlaces no pueden ser visitados, ya que se trata de una imagen estática. Aunque transmita el clic a la página, si no se retira la imagen superpuesta, no se podrá seguir un enlace. Ni siquiera el ratón nos indicará la presencia de un enlace al poner el puntero sobre el mismo.

• Enlaces visitados: Las imágenes que coloca el troyano, pertenecientes a capturas de pantalla del programador, pueden llegar a tener marcados algunos enlaces como visitados, y otros como nunca visitados. Deberíamos saber qué hemos visitado y qué no en la página de nuestro banco.
• Redimensionar la página: Al redimensionar una página web, puede ser que aparezcan barras de scroll, ya sea horizontal o vertical, pero en el caso de un troyano de este tipo, es muy probable que no lo haga.
• Escribir nueva URL: Algunos troyanos están diseñado pensando en suplantar una página y no rompen su ciclo de actuación hasta el envío de datos. En estos casos, una vez dentro de la entidad bancaria, si escribimos otra dirección en la barra de direcciones y pulsamos intro, se cargará la página, pero seguiremos viendo la imagen que nos solicita credenciales bancarias.

• Calidad de las imágenes: Si las imágenes vienen comprimidas, por ejemplo en jpg, puede que la definición no sea la misma, por lo que se puede apreciar una falta de calidad.

• Scroll: Si el troyano es muy chapucero y la página tiene scroll, al descender por la misma, por ejemplo, con la rueda del ratón, se pueden llegar a ver dos peticiones de credenciales.

Como ejemplo, en la imagen  se puede ver una captura de este tipo de troyanos. Abriendo la misma página, mientras que en Mozilla Firefox (derecha) se visualiza correctamente, sobre Internet Explorer (izquierda) se superpone una imagen y el scroll no se visualiza.

Como conclusión, y aunque parezca evidente, es recomendable que conozcamos en detalle las páginas de nuestra entidad bancaria, para de esta manera percatarnos de la más mínima anomalía.

VER INFORME SOBRE EVOLUCION DE LOS TROYANOS BANCARIOS

fuente: blog.s21sec.com