¿Quién dijo que los teclados virtuales de la banca online eran seguros?

Entre los múltiples métodos para protegerse del phishing utilizados por la banca online, podemos ver el uso de un teclado virtual. De esta manera evitan que un keylogger pueda capturar las pulsaciones de las teclas.



Aun así, se puede utilizar la API de Win32 para capturar los datos, como es el caso de Citibank.

SENCILLA DESCRIPCIÓN DEL PROCESO

• Tendremos un servicio en nuestro ordenador a la espera de que nos conectemos a nuestro banco. Una vez que nos conectemos, lo detectará y empezará a trabajar.
  
• Con el teclado virtual en pantalla, cada click que realicemos, la misma función utilizada por el botón "Imprimir pantalla" sera ejecutada.
• Todos los archivos de "screenshot" se guardarán en un mismo directorio. (tendremos tantos archivos como la longitud de la password.
• Para determinar el orden de estos archivos, se podrá hacer con el nombre mismo. (se crean por orden de pulsación)
• El contenido de ese directorio se puede enviar por correo, subirlo a una web...
  

Esto es lo que puede ocurrir (sin ser conscientes de ello) cuando nos descargamos cualquier archivo de Internet o adjunto de correo. Estaremos siendo objetos de robo de datos sin apenas saberlo.

Otro tanto para utilizar sistemas Linux. :P


Más datos del ataque y una prueba del mismo.