Drive-by Pharming: un clic que puede salirte caro
Como el propio Ramzan explica, cuando quieres llamar a tu banco coges la guía telefónica, buscas el número, descuelgas el teléfono y llamas. Ahora, imagina que te han cambiado tu listín por otro falso, donde bajo el nombre de tu banco figura el teléfono del atacante. Guauu!!
[18-FEB] Un ejemplo práctico: Una página web que incluya el siguiente código:
<script src="http://192.168.0.1/h_wan_dhcp.cgi?dns1=69.6.6.6">En un router D-Link establece 69.6.6.6 como el servidor DNS de la red local, que se envía por DHCP a todos sus clientes.
A grandes rasgos, el ataque podría funcionar así...
En primer lugar, en un sitio totum revolutum -tipo Digg o Menéame- alguien envía una noticia lo suficientemente atractiva como para que no puedas evitar cliquear (primera estupidez y origen de todos los males que te aguardan ;).
Una vez en la página maliciosa, si tu Javascript no está activo (y sólo el 5% de los usuarios navegan sin activarlo) se te pedirá cortésmente que lo habilites, o no podrás ver la página en cuestión.
Si lo haces (segunda estupidez), la página maliciosa te carga un código javascript, que tu navegador -obediente- ejecuta y que, mediante CSRF (Cross Site Request Forgery), se loguea a tu router. Lógicamente, para que esto suceda has debido cometer otra estupidez (la tercera): dejar puesta la contraseña por defecto.
Tranquilo, que no estás solo: hay estudios que indican que el 50% de los usuarios de routers, inalámbricos o no, no se molestan en cambiar las passwords que vienen por defecto.
A partir de ese momento, el código atacante cambia tu configuración DNS, haciendo que apunte a donde él quiera, en el peor de los casos a un servidor DNS falso, donde la URL correcta de tu banco on-line se hace corresponder con la IP que el atacante desee, donde previamente el muy ladino habrá colocado una web falsa idéntica a la de tu banco. Creyendo que vas al sitio correcto, en realidad te metes derechito en la trampa (concepto de Pharming). Ya te puedes imaginar lo que va a ocurrir con tus contraseñas de acceso... y con tus fondos.
De momento, el ataque parece ser más teórico que real, pero nada impide que funcione... aparte del sentido común y la información de los usuarios.
Referencias:
- Drive-By Pharming: How Clicking on a Link Can Cost You Dearly [Descripción del ataque por su autor en Symantec Security Response Weblog].
- Drive-By Pharming [Documento con los detalles técnicos, 13 páginas, pdf].
http://www.kriptopolis.org/drive-by-pharming-un-clic-que-puede-salirte-caro
http://www.idg.es/pcworld/index.asp?link=estructura%2Fi%5Fnoticia%5FcentroNoticia%2Easp&IdNoticia=89370582
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!