Date post: | 06-Jul-2018 |
Category: |
Documents |
Upload: | caca012345 |
View: | 220 times |
Download: | 0 times |
of 17
8/17/2019 El pharming y sus consecuencias
1/17
Introducción ::¿Que es el Pharming?
El Pharming es una nueva modalidad de fraude online, que consiste básicamente enmodificar la relación que existe entre el nombre de una web en internet y su respectivo
servidor Web. Se trata de suplantar el sistema de resolución de nombres de dominio
(DNS) para conducir al usuario a una página web falsa idéntica a la original.
Para que se entienda mejor: en situaciones normales, si tipeamos en nuestro InternetExplorer la dirección www.bancorio.com.ar, estaremos ingresando al sitio web del
Banco Río de Buenos Aires. Pero si hemos sido víctimas de un ataque de Pharming, al
tipear www.bancorio.com.ar ingresaremos sin saberlo a un sitio web falso exactamente
igual al del banco, pero que ha sido creado por los atacantes con el fin de robar los datos
de nuestra cuenta bancaria.
¿Cómo opera?
Existen dos técnicas de pharming: la de envenenamiento de caché DNS, y la demodificación del archivo HOSTS.
En la primera, un servidor de nombres (servidor DNS) se ve afectado de talforma que los requisitos de acceso a una web hechas por los usuarios de este
servidor son redireccionadas a otra dirección (sitio web falso) bajo el control de
los atacantes.Este tipo de ataques no son dirigidos en sí a usuarios finales, sino a losservidores DNS de proveedores de Internet o de empresas con redesinternas. Lo que sucede es que si el servidor DNS de un proveedor o empresasufre un envenenamiento de cache, todos sus usuarios serán redireccionados
hacia direcciones y páginas falsas cada vez que intenten visitar determinada web
legítima, sin que sea necesario que hayan instalado nada en sus propias
máquinas o que hagan clic en ningún link malicioso.
En el caso del pharming por modificación del archivo "hosts", en cambio, elataque se da en la propia computadora del usuario. Para ello, generalmente es
necesario contar con la colaboración involuntaria de este usuario, que deberá
visitar una página, cliquear en algún link o instalar algún programa
“contaminante” en su PC.
En lo que sigue nos vamos a dedicar a estudiar en profundidad el pharming basado enla modificación del archivo HOSTS, por ser éste el caso de más relevancia en lo quehace a usuarios domésticos.
8/17/2019 El pharming y sus consecuencias
2/17
El archivo HOSTS ::
¿Qué es el archivo hosts?
Es un archivo de texto que se encuentra tanto en sistemas Windows como Linux. Elnombre de este archivo es simplemente “HOSTS”, no tiene ningún tipo de extensión.
En los sistemas Windows, el archivo HOSTS se encuentra:
En Windows 95 /98/ Me en el directorio C:\Windows\ En Windows NT /2000 en el directorio C:\WINNT\System32\etc\ En Windows XP /2003 en el directorio C:\WINDOWS\System32\etc\
Vista del archivo HOSTS en Windows XP
Este archivo se puede editar con el BLOC DE NOTAS (ó NOTEPAD) de Windows o
cualquier otro editor de texto plano.Para abrirlo, hacemos dos clic sobre él; Nos pedirá que elijamos un programa con el
cual queramos abrirlo: elegimos el Bloc de Notas y le damos aceptar:
8/17/2019 El pharming y sus consecuencias
3/17
!
Así veremos finalmente el archivo:
Todos los renglones que aparecen con el signo # al comienzo son sólo comentarios, ypodemos borrarlos sin problemas. La última línea nos indica que “localhost” ( o sea
nuestra propia máquina ) está asociada a la IP 127.0.0.1 ( o sea nuestra propia IP ), lo
que queda más que claro.
Todas las entradas del archivo hosts que agreguemos deberán tener siempre la mismaforma, o sea:
dirección IP dominioPor ejemplo:
Estas entradas se utilizan para indicarle a nuestra PC cuál es la dirección IP de cada uno
de los dominios que hemos agregado. Lo que hacemos es asociar cada dominio con su
correspondiente dirección IP.
Para saber la dirección IP de un sitio web hacemos lo siguiente:
1) Abrimos la ventana de comandos de Windows: para ello, vamos a INICIO >EJECUTAR, escribimos cmd y le damos ENTER.
8/17/2019 El pharming y sus consecuencias
4/17
"
2) Usamos el comando ping, de la siguiente manera:
ping nombre del sitio
Por ejemplo, si queremos ver la IP de Google.Com hacemos: ping google.com, talcual como vemos a continuación:
!
"# !$ % &&'$("# !$ % &&'$("# !$ % &&'$("# !$ % &&'$(
)* +
,-# . $ / +! $ / + $
%0 +/
& + .# #
1* $ / 12 $ / 1 $
En la primer línea nos muestra la IP 216.239.39.104 que es la IP de www.google.com.
Para Hotmail y Yahoo!, como vimos en el ejemplo, hacemos lo mismo:
34 !
"# !$ $ &&'$
"# !$ $ &&'$"# !$ $ &&'$"# !$ $ &&'$
)* + ,-# . $ / +! $ / + $ 50 +6/
& + .# #1* $ / 12 $ / 1 $ (
34 !
& + + #& + + #& + + #& + + #
)* + ,-# . $ / +! $ / + $ 50 +6/
De acá obtenemos que la IP de Yahoo.com es la 216.109.112.135; y la deHotmail.Com es la 64.4.33.7.
8/17/2019 El pharming y sus consecuencias
5/17
#
¿Para qué sirve el archivo HOSTS?
Para poder entender la respuesta a esta pregunta, primero debemos tener en claro
algunos conceptos:
Direcciones IP ::Al navegar por internet, nosotros nos manejamos con nombres de dominio, es decir, con
palabras, por ejemplo: www.google.com. En Internet sin embargo, las máquinas se
manejan con otro lenguaje, el de las direcciones IP. Las direcciones IP son direcciones
numéricas de la forma: x.x.x.x donde las “x” son números que van del 0 al 255, por
ejemplo: 200.239.80.55.
Cada sitio en Internet que se visita tiene un nombre de dominio y una dirección IP. El
nombre de dominio de Google, por ejemplo, es Google.com, y su dirección IP es216.239.39.104. Si escribimos en la barra de direcciones de nuestro Internet Explorer laIP 216.239.39.104, aparecerá el sitio de Google, igual que si hubiéramos escrito
www.google.com.
Al ser más fácil recordar palabras en vez números, las personas usamos siempre
nombres de dominio, mientras que las máquinas lo hacen siempre con direcciones IP. Sinuestro navegador de Internet no sabe cuál es la IP de un determinado sitio queintentamos visitar, no podremos ver la página.
Servidores DNS ::A groso modo, un Servidor DNS es una computadora que en Internet se encarga de“traducir” nombres de dominio a direcciones IP, de tal forma que puedan ser
interpretados por las otras computadoras de la red. DNS es la sigla en inglés de DomainName System (Sistema de Resolución de Nombres de Dominio).Hay miles de servidores DNS en Internet que resuelven las peticiones de miles de
usuarios. Cada empresa prestadora de servicios de acceso a Internet (ISP) además suele
proporcionar uno o varios servidores DNS a sus usuarios.
Estos servidores DNS, entonces, son los que se encargan de decirle a nuestroNavegador de Internet cuál es la dirección IP del sitio que estamos queriendovisitar.Cada vez que ingresamos a un sitio web por primera vez observamos que existe un
pequeño retardo (casi imperceptible hoy día por las altas velocidades de conexión a
Internet) hasta que nos muestra la página. Ese retardo se debe precisamente a que se está
produciendo una consulta a un servidor DNS para saber la dirección IP del sitio
solicitado.
La función del archivo HOSTS ::
Hay algo que no mencioné anteriormente y me lo guardé para el final, y es que antes de
consultar a un Servidor DNS, nuestra PC consultará el archivo HOSTS para ver si
encuentra en él la dirección IP del sitio que queremos visitar. Si la encuentra, se
conectará directamente a esa IP, si no, consultará a algún Servidor DNS, y luego
mostrará la página (si es que el DNS le indica la IP, claro!).
Si nosotros conocemos la IP de los sitios que visitamos frecuentemente, podemos
agregarlas al archivos HOSTS, y de esta manera aceleramos la conexión, pues cada vez
8/17/2019 El pharming y sus consecuencias
6/17
que accedamos a estos sitios, nuestra máquina no tendrá necesidad de consultar a un
Servidor DNS las direcciones IP correspondientes.
Proceso de acceso a un sitio web ::
1) El usuario intenta ingresar a un sitio web escribiendo la dirección (porejemplo www.misitio.com.ar) en la barra de direcciones del InternetExplorer.
2) La máquina consulta el archivo HOSTS en busca de la IP de ese sitio. Si
la encuentra, se conecta a esa dirección IP para pedir la página
solicitada, si no, consulta a algún Servidor DNS.
3) Si el Servidor DNS le indica la IP del sitio en cuestión, la máquina se
conecta a esa IP y nos muestra la página. Si el Servidor DNS consultado
tampoco conoce la IP, la máquina consulta en otro Servidor. Si ningún
Servidor DNS sabe la IP del sitio, entonces nos aparece el mensaje
“Página web no encontrada”.
Por otro lado, el archivo HOSTS también nos sirve para evitar el acceso a undeterminado sitio. Sólo necesitamos asociar el dominio de ese sitio a la IP 127.0.0.7.
Por ejemplo, si no quiero que los usuarios con los cuales comparto el uso de mi PC,
ingresen al sitio www.sexo.com, agrego al final del archivo HOSTS la entrada que semuestra en rojo en la siguiente imagen:
*** Arhcivo Host modificado para impedir el acceso a www.sexo.com ***
7
7 8 # 9 +. :;&; # + 1+, + ?@
7
7 ) +. + >, !+ 7 + ! ++ # * .# ' +A >,
7 ! + ++ #/ # !+ ++
7 ' +A >, !+ ! ++ #
7
7
7 &!B # ++ + 5 B6 * .#
7 #A !+ -# 2 *! C7C
7
7 ,+ 9
7
7 + 7 +.+ +
7 ( 7
Cada vez que los usuarios intenten acceder al sitio www.sexo.com les saldrá el mensaje“No se encuentra la página solicitada”.
8/17/2019 El pharming y sus consecuencias
7/17
$
El proceso del Pharming ::
Un ataque de Pharming sucede cuando en el archivo HOSTS se asocia, con finesdelictivos, un dominio a una IP distinta de la original. Por ejemplo, un atacante puede
crear un sitio idéntico al del Banco Río de Buenos Aires, alojarlo en un servidor web, y
luego alterar de algún modo nuestro archivo HOSTS, asociando el dominio
bancorio.com.ar a la IP del servidor donde ha creado la página falsa. De este modo, altipear la dirección www.bancorio.com.ar estaremos ingresando sin saberlo al sitiofalso. Como ven, el riesgo en este tipo de ataques puede llegar a ser muy alto.
Veamos un ejemplo sencillo para que se entienda mejor:
Vamos a asociar en el archivo HOSTS el dominio YAHOO.COM con la IP deGOOGLE (216.239.39.104), de modo que todos los usuarios que intenten acceder a lapágina de Yahoo! sean automáticamente llevados a la de Google (dicho de otro modo:ningún usuario podrá ingresar a yahoo.com, pues al intentar hacerlo siempre aparecerá
la página de Google).Para ello, abrimos el archivo HOSTS con el Bloc de Notas, y agregamos la entrada quevemos en rojo a continuación:
* Muestro con rojo la línea que debemos agregar nosotros.
Guardamos los cambios, cerramos esta ventana y luego nos vamos al InternetExplorer. Escribimos www.yahoo.com en la barra de direcciones, y le damos ENTER.Como verán a continuación, lo que se muestra es la página de Google.Com, no la de
Yahoo!.
8/17/2019 El pharming y sus consecuencias
8/17
8/17/2019 El pharming y sus consecuencias
9/17
&
Así es la conexión cuando utilizamos el archivo HOSTS:
Y si “alguien” quisiera robar nuestra clave de GMAIL, y utilizara para ello unataque de pharming, así sería nuestra conexión:
8/17/2019 El pharming y sus consecuencias
10/17
'
Bien, llegó el momento más esperado: el de la puesta en práctica. Vamos a ver un
procedimiento, a modo de ejemplo, de cómo haría un criminal para robar los datos de
una cuenta de Banco.
ACLARACIÓN:Lo que veremos a continuación podría ser uno de los tantos procedimientos utilizados
por los delincuentes informáticos para el robo de cuentas bancarias. NO PRETENDOCON ESTO HACER APOLOGÍA DE ESTOS DELITOS, sólo trato de abrirles losojos a aquellos que piensan que el robo de claves bancarias es solo cosa de genios
cibernéticos. Ahora podrán confirmar ustedes mismos, como con simples herramientas
y un poco de ingenio todo es posible.
Bien, comenzamos...
Objetivo:Obtener la clave de la cuenta en el CitiBank de Argentina que tiene el usuario “ X ”.
Supuestos: El usuario X suele estar conectado varias horas a Internet, y chequea por lo
menos dos veces en el día su cuenta bancaria en el sitio web del CitiBank. Nosotros tenemos una IP fija. *** Si tuviéramos una IP variable, este proceso
debe hacerse en el mismo día y sin haber desconectado nuestra máquina enningún momento durante el ataque.
Mediante ingeniería social, logramos chatear con la víctima a través de MSN o
Yahoo! Messenger, y logramos que acepte bajar un archivo, o bien se lomandamos por e-mail, y éste lo acepta.
Herramientas necesarias:
1) El WinRar y/o WinZip Para bajar WinRar: www.rarlab.com Para bajar WinZip: www.winzip.com/es
2) El Xerver Free Web Server: http://www.javascript.nu/xerver/
Paso a paso…(pero con reservas)…
1) Crear un sitio web idéntico al del CitiBank:
Debemos crear un par de páginas idénticas a las del CitiBank donde el usuario debeloguearse para acceder al panel de su cuenta. No pretendan que les explique cómo
8/17/2019 El pharming y sus consecuencias
11/17
''
hacer una réplica de las páginas, ni cómo deberíamos estructurarlas para crear un
engaño perfecto. Eso está en el ingenio de cada uno. Yo me limito a explicar el proceso
que usaría un delincuente para robar los datos de una cuenta, no a enseñarles con lujo de
detalles el proceso completo. *** Lo importante, como en cualquier sitio web, es que la
primer página a la que pretendemos que el usuario ingrese se llame index.htm.
Una vez creado el sitio, lo guardamos en una carpeta de fácil acceso. En mi caso, laguardo en “C:\CitiBank\”.
Deberíamos imitar el formulario de logueo del CitiBank como el que vemos en esta imagen.
2) Instalamos un servidor Web en nuestra máquina para alojar este sitio falso delCitiBank.
Instalaremos, por su fácil y rápida configuración, el XERVER Web Server 4.20 (lopueden bajar de http://www.download.com/Xerver-Free-Web-Server/3000-2165-
10074595.html?part=dl-XerverFre&subj=uo&tag=button ). *** Nota: para poder usar
este servidor web, necesitan tener instalada la última versión de Sun Java (pueden
bajarla de http://www.java.com/es/download/manual.jsp ).
En la página del XERVER (http://www.javascript.nu/xerver/ ) tienen ayuda online deeste soft, el cual es más que fácil, por lo que no voy a entrar en detalles tampoco.
Una vez instalado, cuando lo configuren, la carpeta que deben “compartir” es aquella
donde tienen el sitio del CitiBank, en mi caso: “C:\CitiBank\”.
8/17/2019 El pharming y sus consecuencias
12/17
'
3) Creamos un ejecutable que modifique el archivo HOSTS de nuestra futuravíctima.
Para esto, en una misma carpeta cualquiera, creamos tres archivos:
Un archivo HOSTS que contenga el dominio citibank.com asociado a nuestradirección IP.
Un archivo para unir al ejecutable y que despiste al usuario, en mi caso es un
archivo de Word: hola.doc. Un archivo .bat con el código para reemplazar el archivo hosts de la víctima por
el que acabamos de crear.
Vamos por partes...
a) Creamos un nuevo archivo HOSTS: Para ello, abrimos el Bloc de Notas, yescribimos dos líneas como vemos a continuación:
En rojo puse la IP que tengo en este momento, ustedes colocan ahí la suya.
Guardamos este archivo con el nombre HOSTS.txt, luego desde el Explorador deWindows le quitan la extensión (recuerden que el archivo HOSTS no tiene ninguna
extensión!)
b) Creamos un archivo de Word para que el usuario vea al abrir nuestroejecutable: El contenido del archivo y el nombre lo determinan ustedes. Yo para esteejemplo creo “hola.doc”.
c) Creamos un BAT con el siguiente código:
D
8/17/2019 El pharming y sus consecuencias
13/17
'!
Este BAT lo guardan con el nombre que quieran, yo le puse x.bat.
Creación del ejecutable ::
Por último ahora, juntamos todo en un ejecutable .exe que luego enviaremos a lavíctima:
Para crear este .exe, usaremos WinRar, de la siguiente manera:
a) Seleccionamos los tres archivos creados, cliqueamos botón derecho del mouse, yelegimos “Añadir al archivo...”:
Veremos la siguiente ventana:
8/17/2019 El pharming y sus consecuencias
14/17
'"
Tildamos “CREAR UN ARCHIVO SFX”, y en el nombre ponemos hola.exe (o elnombre que quieran, claro!). Vamos luego a la opción AVANZADO:
Vamos a “OPCIONES SFX”, veremos la siguiente ventana:
8/17/2019 El pharming y sus consecuencias
15/17
'#
En “Ejecutar tras la extracción”, escribimos el nombre de nuestro archivo BAT, enmi caso: x.bat. Luego vamos a “MODOS”, y tildamos las casillas que vemos acontinuación:
Por último, vamos a “TEXTO e ICONO”:
8/17/2019 El pharming y sus consecuencias
16/17
'
Ya que le inyectamos un archivo de Word, le debemos poner un icono de esteprograma. Lo hacemos y le damos aceptar. Veremos a continuación nuestro ejecutable
casi listo para enviar!:
La extensión “.exe” no se mostrará en la PC víctima, salvo que así lo haya establecidoen su configuración, algo no muy común.
Bien, pero para poder enviar este archivo por mail o por MSN, primero debemoscomprimirlo. Lo mejor es hacerlo con el WinZip, ya que es el que tienen la mayoría delas personas.
Terminamos! Ahora todo es cuestión de enviarle este archivo a la víctima, que ella loejecute, y listo! Desde ese momento, la próxima vez que se conecte a
www.citibank.com, estará ingresando sin saberlo, a nuestra página, y al loguearse , susdatos de acceso pasarán a nuestras manos. La víctima JAMÁS podrá ingresar al sitioreal del CitiBank, mientras no se vuelva a modificar el archivo HOSTS.
Esto, por supuesto, se trata no más que de un ensayo, pero si fuese real, al criminal no le
importaría demasiado si la víctima puede o no luego ingresar al sitio real del Banco,
pues para cuando se de cuenta de lo que está sucediendo, ya el delincuente habrá
vaciado los fondos de su cuenta bancaria.
Nota: como vimos, fue un procedimiento bastante sencillo, y con herramientas muy precarias. Ha habido varias desprolijidades en este proceso (hemos usado nuestra propia máquina, no hemos ocultado nuestra IP, etc, etc, etc.), pero se debe a que esto esSOLO UNA PRUEBA, una DEMOSTRACIÓN para ver que el PHARMING no es algodifícil de hacer. No íbamos a dar un curso de “Robo de cuentas bancarias” obviamente, se trata de un ensayo, nada más.
8/17/2019 El pharming y sus consecuencias
17/17
'$
()* + + + ,
Lo mejor es siempre la PREVENCIÓN:
Mantener el sistema operativo, navegador y programa de e-mail constantemente
actualizados. Quienes usan Internet Explorer, actualizar todos los parches
de seguridad. Instalar y mantener actualizado un programa anti-vírus que tenga capacidad de
identificar no sólo amenazas ya identificadas, sino también amenazas
desconocidas, por medio del análisis del comportamiento del archivo sospechoso
(análisis heurístico).
También es importante instalar otros programas de protección, como anti-spywares.
Instalar un firewall, que bloquea todo el tráfico de entrada y salida de datos de laPC, y sólo deje pasar aquello que el usuario autorice.
Tener cuidado con mensajes no solicitados (spam), aunque parezcan venir defuentes confiables, y no cliquear en links o instalar archivos que vengan en estos
mensajes.
:: FIN ::Espero les sea de gran utilidad.
Saludos. FG – DICIEMBRE DE 2006LILIANGROUP [ARROBA] GMAIL [PUNTO] COM