sábado, 16 de enero de 2016

Pharming: cómo engañar a la máquina


Se habla mucho del phishing, de las técnicas de ingeniería social que emplean para captar credenciales por todo el mundo y de los millones de euros de beneficio ilegal que obtienen los phishers, pero no se habla tanto del pharming, siendo un tipo de fraude que por sus características técnicas, pasa más desapercibido a los usuarios que el phishing.

Con el pharming no se engaña a la persona bajo técnicas de ingeniería social para que proporcione sus credenciales de acceso a algún servicio web, si no a la máquina.

 Es decir, al DNS (Sistema de Nombres de Dominio o Domain Name Server). De este modo los ciberdelincuentes consiguen desviar el tráfico de peticiones de acceso a una página web lícita, hasta otra web ficticia creada al efecto y alojada en un servidor diferente dominado por los "ciberamigos de lo ajeno".

Imagen explicando pharming extraída de Wikipedia.

El término pharming, si atendemos a la wikipedia, deriva de las palabras “phising” y “farm”, granja en inglés. Tiene su explicación en el hecho de que una vez que el atacante ha tomado el control del servidor DNS, puede aprovecharse de nuestros recursos a su gusto, como si de una granja se tratase.

Piensa que todo ordenador y toda página web tiene asignada una dirección IP única (un conjunto de cuatro números que van del o al 255 separados por puntos, por ejemplo 111.111.111.111). La dirección IP de una web es el equivalente al DNI de una persona, el cual le identifica de forma única en relación al resto de ciudadanos.

IANA: organismo responsable de la coordinación a nivel global de los DNS,  redireccionamiento IP y otros recursos de protocolo de Internet.
Recordar números separados por puntos es más difícil que recordar palabras, por lo que se diseñó el Sistema de Nombres de Dominio (el citado DNS), que traduce dichas direcciones IP (números separados por puntos) a palabras (dominios como “google.es”), simplificando en gran medida a los usuarios el acceso a una web en concreto. Aunque tecleando dichos números separados por puntos en el navegador, también accedes a la web en concreto.

Google.es tiene dirección IP 173.194.202.94

En el caso de ataques por pharming, para obtener credenciales bancarias, tras la manipulación realizada en el DNS, si un usuario quiere conectarse a la página web de su banco, será redireccionado por su propio ordenador, a una web idéntica en cuanto a su apariencia, aunque ficticia, donde la dirección IP habrá variado -lo que acredita que es una web diferente-, pero su nombre no.

¿Pero quien sabe la dirección IP de las páginas web que consulta? Ni siquiera de las que más habitualmente se consultan. De ahí que la gran mayoría de los usuarios pasen tan desapercibidos este tipo de ataques por pharming, especialmente si se ha realizado a ordenadores de uso particular.

Existen gusanos y troyanos que realizan esta función de manipulación del DNS, donde el usuario queda verdaderamente desprotegido y no se percata de nada hasta que comienzan a vaciar su cuenta bancaria. Las formas de entrada de este malware son muy variadas, aunque habitualmente se produce a través de correos electrónicos con archivos ejecutables adjuntos que contienen el “veneno”, descargas por Internet o por el uso de memorias USB sin las precauciones debidas.

En resumen, el pharming consigue desviar el tráfico de Internet de un sitio web lícito –por ejemplo la web de una entidad bancaria, aunque también puede ocurrir con las páginas web de Ebay, Facebook, Twitter, Paypal–, hacia otro sitio de apariencia similar creado al efecto para captar credenciales y posteriormente cometer fraudes. Esta web estará alojada en servidores de países extranjeros, con escasa legislación sobre este tema y controlado por ciberdelincuentes. La finalidad es engañar a los usuarios quienes desconocen que están accediendo a una página web ficticia, y así obtener sus nombres y contraseñas de acceso a la banca on line. Tras introducir sus claves, el usuario verá que la web le da algún tipo de error y que no puede acceder a pesar de haber tecleado sus credenciales correctamente, las cuales habrán quedado registradas en la base de datos del sitio falso e inevitablemente a disposición de los ciberdelincuentes.








                                                Definición de pharming en el glosario de INCIBE


Vacunas disponibles contra el pharming:

    - Está dicho hasta la saciedad, pero: NO ABRAS correos electrónicos de origen desconocido.
    - NO descargues archivos procedentes de este tipo de correos.
    - VERIFICAR que la página en la que introducimos contraseñas sea HTTPS.
    - NO introducir contraseñas ni datos personales en web que no tengan los certificados de seguridad actualizados y reconocidos.
    - CONFIRMAR con nuestro banco cualquier mail recibido que nos solicite datos personales.
    - DESCONFÍA si la web de tu banco cambia de apariencia.    - ACTUALIZA tu antivirus y sistema operativo para evitar el mayor número de vulnerabilidades posible.
   - PROTEGE tus DISPOSITIVOS utilizando buenos antivirus (lo que no quiere decir de pago) y cortafuegos (firewalls).
   - Instala software ANTI SPYWARE y ANTIPHARMING.
   - NO te conectes a la banca on line desde conexiones a Internet inseguras (wifis abiertas o ordenadores de sitios públicos).


Entradas relacionadas:





No hay comentarios:

Publicar un comentario