11 jun 2005

Pharming: algo más que una travesura

Fuente: pe.terra.com



Los hackers intentan, cada vez más, obtener beneficios económicos de sus acciones y no sólo el "placer" de violar o destruir sistemas.



Ingresás a la página de inicio de un sitio que requiere nombre de usuario y contraseña, por ejemplo la home del servicio online de un banco (banca online). Completás tus datos y al dar Enter se "corta" misteriosamente la conexión y el sistema pide reingresar nuevamente los datos. ¿Qué raro, no?. Si, pero perfectamente posible, ya que no es inusual que esto pase. Reingresás los datos y ahora si estas dentro del sitio de banca online operando nuevamente.



Hasta acá, salvo el "extraño" pero posible corte de la conexión, no pasa nada raro y alguien se preguntará ¿A dónde lleva esta nota?. Lo más probable es que ese misterioso corte sea obra de un nuevo y extendido peligro en Internet denominado pharming que hace que esos datos que ingresamos por primera vez ahora también los tengan otras personas que también podrán entrar a nuestra cuenta bancaria (principalmente, pero puede ser también para otros servicios) y operar con ella, o sea quitarnos el dinero, transferirlo a otra cuenta, hacer compras en nuestro nombre, etc.



No se trata de un virus, troyano, etc., sino lisa y llanamente de una estafa online que combina técnicas más avanzadas que el ya conocido phishing, otra estrategia empleada para obtener información confidencial mediante la suplantación de una persona o institución legítima (generalmente por medio de un correo electrónico fraudulento que envía al usuario a una falsa página web).



No es cuestión de temer y dejar de realizar transacciones online, sino de tener cuidado. Veamos de qué se trata esto del pharming, cuál es la estrategia y cómo podemos evitar los daños, especialmente financieros, que puede ocasionarnos.



En qué consiste el pharming



Se trata de manipular las direcciones DNS (Domain Name Server) que utiliza el usuario, para conseguir que las páginas web que visite no se correspondan con las originales, sino con otras creadas ex profeso por delincuentes para recabar datos confidenciales, sobre todo relacionados con banca online.



En nuestro ejemplo, mediante una alteración de determinados parámetros de nuestra PC (en general, pero también puede ser alterado el servidor del servicio al que queremos entrar) al tipear la dirección de, por ejemplo, nuestro sitio de banca online (www.misitiobancario.com), esta alteración hace que el navegador en lugar de llevarnos a ese sitio nos lleve a otro diseñado por quienes quieren extraer nuestros datos y que tiene la misma apariencia, diseño e interfaz que el original... pero no lo es. Se trata de una copia. En esa copia ingresamos nuestros datos y van a parar a manos de los estafadores. Luego del "corte" de conexión, reingresamos los datos y ahora si entramos al sitio original, operamos normalmente, ninguna sospecha. Lo peor puede venir después.



¿Cómo hacen para desviarnos a un sitio "gemelo"?: la dirección de un sitio se llama Dominio y para el usuario son palabras y letras (www.terra.com.ar), pero el sistema de nombres de dominio (DNS) no maneja estas letras sino números, entonces hay algo que convierte esas letras en números. Dicho de otra manera, cuando un usuario teclea cualquier dirección de Internet, para poder acceder a ella debe ser convertida a su dirección IP real en el formato 000.000.000.000.



Normalmente, como el navegador no es capaz de realizar esta conversión, necesita de un servidor DNS que se encarga de administrar los nombres que corresponden a cada una de esas secuencias numéricas (trasforma el nombre en el número que corresponde) y, por tanto, de conducir al usuario a la página que desea ver. Ahora bien, si por algún motivo el servidor no relaciona correctamente cada dirección IP con cada nombre de dominio tecleado, el usuario no vería la página deseada, sino otra muy distinta. Ese "motivo" puede ser el ataque pharming.



Los ataques pharming pueden apuntar a dos objetivos para lograr el mismo fin:



-Directamente contra el servidor DNS: de forma que el cambio de direcciones afecte a todos los usuarios que lo utilicen mientras navegan en Internet



-Localmente, en la PC del usuario: es decir, en cada equipo individualmente.



Éstos últimos son mucho más peligrosos, no solamente porque son muy efectivos, sino porque se llevan a cabo fácilmente (aunque son los que el usuario puede prevenir). Tan sólo son necesarias dos acciones: modificar un pequeño archivo llamado hosts que puede encontrarse en cualquier máquina que funcione bajo Windows y que utilice Internet Explorer para navegar por Internet, y crear falsas páginas web.



El archivo hosts sirve para almacenar una pequeña tabla con las direcciones de servidores y direcciones IP más comúnmente utilizadas por el usuario, de manera que no haga falta acceder al servidor DNS para convertir las direcciones web (URLs) en direcciones IP. Si se sobrescribe el archivo con -por ejemplo- falsas direcciones de páginas de banca online, en el momento que el usuario teclease en su navegador alguna de ellas, accedería a la página creada por el hacker y que tiene el mismo aspecto que la original. Así, el usuario introducirá sus datos confidenciales sin ningún temor, sin saber que los está enviando a un delincuente que podrá realizar con ellos todo tipo de acciones.



¿Cómo se produce esta modificación?: La modificación del archivo hosts puede hacerse directamente por el hacker (accediendo remotamente al sistema), o empleando un código malicioso. Estos suelen ser troyanos como algunos de las familias Bancos, Banker o Banbra. Además, los ataques pharming, pueden llevarse a cabo aprovechando cualquier vulnerabilidad del software instalado en el equipo que permita tener acceso a los archivos del sistema.



La entrada del código en el sistema puede ser a través de múltiples vías, tantas como entradas de información hay en un sistema: el e-mail (la más frecuente), descargas por Internet, copias desde un disco o CD, etc. En todas y cada una de estas entradas de información, el antivirus debe detectar el fichero con el código malicioso y eliminarlo, siempre que se encuentre detectado como una aplicación dañina dentro del fichero de firmas de virus del antivirus.



Algo que hace más peligroso aún al pharming es el hecho de que no se lleva a cabo en un momento concreto, como lo hace el phishing mediante sus envíos, sino que queda almacenado en la PC a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual.



Qué hacer para prevenirlo



- Utilizar un software antimalware: la forma más sencilla de manipular un equipo para que sea víctima del pharming es a través de un código malicioso, generalmente troyanos.



- Instalar un firewall personal: con esta precaución se evita que un hacker pueda entrar a la PC a través de un puerto de comunicaciones desprotegido, y modificar el sistema.



- Actualizar regularmente el software instalado en el equipo o tener activados los sistemas de actualización automática, de forma que no existan vulnerabilidades que pueden ser aprovechadas para realizar este tipo de ataques.



-Sospechar de todo sitio que en la barra de direcciones no presente un nombre coherente (www.nombre.com) sino una serie de caracteres sin sentido o, peor aún, números.



-Ante un sospechoso corte de conexión al trabajar en un sitio bancario o similar, no volver a ingresar los datos, consultar si el corte se produjo efectivamente y, por las dudas, cambiar los nombres de usuario y contraseña.

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!