Se habla mucho del phishing, de las técnicas de ingeniería social que emplean para captar credenciales por todo el mundo y de los millones de euros de beneficio ilegal que obtienen los phishers, pero no se habla tanto del
pharming, siendo un tipo de fraude que por sus características técnicas, pasa más desapercibido a los usuarios que el phishing.
Con el pharming no se engaña a la persona bajo
técnicas de ingeniería social para que proporcione sus credenciales de acceso a
algún servicio web, si no a la máquina.
Es decir, al DNS (Sistema de Nombres de Dominio o Domain Name Server). De este modo los ciberdelincuentes consiguen desviar el tráfico de peticiones de acceso a una página web lícita, hasta otra web ficticia creada al efecto y alojada en un servidor diferente dominado por los "ciberamigos de lo ajeno".
Es decir, al DNS (Sistema de Nombres de Dominio o Domain Name Server). De este modo los ciberdelincuentes consiguen desviar el tráfico de peticiones de acceso a una página web lícita, hasta otra web ficticia creada al efecto y alojada en un servidor diferente dominado por los "ciberamigos de lo ajeno".
El término pharming, si atendemos a la
wikipedia, deriva de las palabras “phising” y “farm”, granja en
inglés. Tiene su explicación en el hecho de que una vez que el atacante ha
tomado el control del servidor DNS, puede aprovecharse de nuestros recursos a
su gusto, como si de una granja se tratase.
Piensa que todo ordenador y
toda página web tiene asignada una dirección IP única (un conjunto de cuatro números
que van del o al 255 separados por puntos, por ejemplo 111.111.111.111). La
dirección IP de una web es el equivalente al DNI de una persona, el cual le
identifica de forma única en relación al resto de ciudadanos.
Recordar números separados por puntos es más difícil
que recordar palabras, por lo que se diseñó el Sistema de Nombres de Dominio
(el citado DNS), que traduce dichas direcciones IP (números separados por
puntos) a palabras (dominios como “google.es”), simplificando en gran medida a
los usuarios el acceso a una web en concreto. Aunque tecleando dichos números separados por puntos en el navegador, también accedes a la web en concreto.
Google.es tiene dirección IP 173.194.202.94
En el caso de ataques por pharming, para obtener credenciales bancarias, tras la manipulación realizada en el DNS,
si un usuario quiere conectarse a la página web de su banco, será
redireccionado por su propio ordenador, a una web idéntica en cuanto a su apariencia,
aunque ficticia, donde la dirección IP habrá variado -lo que acredita que es
una web diferente-, pero su nombre no.
¿Pero quien sabe la dirección IP de las páginas
web que consulta? Ni siquiera de las que más habitualmente se consultan. De ahí que la gran mayoría de los usuarios pasen
tan desapercibidos este tipo de ataques por pharming, especialmente si se ha
realizado a ordenadores de uso particular.
Existen gusanos y troyanos que realizan esta función
de manipulación del DNS, donde el usuario queda verdaderamente desprotegido y
no se percata de nada hasta que comienzan a vaciar su cuenta
bancaria. Las formas de entrada de este malware son muy variadas, aunque
habitualmente se produce a través de correos electrónicos con archivos
ejecutables adjuntos que contienen el “veneno”, descargas por Internet o por el
uso de memorias USB sin las precauciones
debidas.
En resumen, el pharming consigue desviar el
tráfico de Internet de un sitio web lícito –por ejemplo la web de una entidad
bancaria, aunque también puede ocurrir con las páginas web de Ebay, Facebook,
Twitter, Paypal–, hacia otro sitio de apariencia similar creado al efecto para
captar credenciales y posteriormente cometer fraudes. Esta web estará alojada
en servidores de países extranjeros, con escasa legislación sobre este tema y controlado
por ciberdelincuentes. La finalidad es engañar a los usuarios quienes
desconocen que están accediendo a una página web ficticia, y así obtener sus
nombres y contraseñas de acceso a la banca on line. Tras introducir sus
claves, el usuario verá que la web le da algún tipo de error y que no puede
acceder a pesar de haber tecleado sus credenciales correctamente, las cuales
habrán quedado registradas en la base de datos del sitio falso e
inevitablemente a disposición de los ciberdelincuentes.
- NO descargues archivos procedentes de este tipo de correos.
- VERIFICAR que la página en la que introducimos contraseñas sea HTTPS.
- NO introducir contraseñas ni datos personales en web que no tengan los certificados de seguridad actualizados y reconocidos.
- CONFIRMAR con nuestro banco cualquier mail recibido que nos solicite datos personales.
- DESCONFÍA si la web de tu banco cambia de apariencia. - ACTUALIZA tu antivirus y sistema operativo para evitar el mayor número de vulnerabilidades posible.
- PROTEGE tus DISPOSITIVOS utilizando buenos antivirus (lo que no quiere decir de pago) y cortafuegos (firewalls).
- Instala software ANTI SPYWARE y ANTIPHARMING.
- NO te conectes a la banca on line desde conexiones a Internet inseguras (wifis abiertas o ordenadores de sitios públicos).
No hay comentarios:
Publicar un comentario