Recuerdo haber leído sobre un ataque donde la "barra de ubicación" en el navegador de un usuario muestra una URL válida (por ejemplo, https://www.paypal.com/ ), pero el tráfico realmente está siendo dirigido o interceptado por un atacante. ¿Cómo se puede lograr esto y qué pueden hacer los usuarios finales para garantizar que una URL que están visitando es lo que dice ser?
Editar: No recuerdo si el ataque hablaba de HTTP o HTTPS, por lo que mi pregunta se aplica a ambos.
Realizar un ataque en una dirección https: // sin cambiar la URL requeriría:
Para asegurarse de no ser secuestrado de esta manera, asegúrese siempre de que su navegador esté actualizado y de que los certificados también estén actualizados. El certificado puede hacerse inválido y la CRL (Lista de revocación de certificados) debe verificarse cada vez que tenga que usar un certificado (a través de OCSP, Protocolo de estado de certificado en línea, o así). No recuerdo cómo los navegadores manejan este tipo de solicitud.
Si el atacante puede hacer "man-in-the-middle" (por ejemplo, una conexión inalámbrica o si puede llegar a un punto intermedio entre usted y el sitio que desea visitar), entonces pueden falsificar el DNS, usar algo como sslstrip ( enlace ) para engañarlo, o realmente hacer cualquier manipulación de contenido que quieran.
Para HTTPS, echa un vistazo a: ¿Se puede comprometer una conexión HTTPS? debido a un servidor DNS falso
También existe la familia de ataques donde el navegador muestra correctamente lo que el atacante quiere que muestre, pero el tráfico todavía va al sitio web malicioso, ya sea mediante un simple secuestro de DNS (donde el navegador tiene la URL correcta pero se resuelve a una dirección IP incorrecta) o un secuestro a bajo nivel del código del navegador para separar la información mostrada de la que se encuentra en la propia aplicación.
Lea otras preguntas en las etiquetas attacks web-browser attack-prevention