18/3/10

Trivia No. 3 - Ataques de Pharming Local


  • Ataques de Pharming Local

  • El pharming local hoy en día es un método muy utilizado para redirigir al usuario a sitios maliciosos y que generalmente están vinculados con el phishing.

    Dentro de la infinidad de amenazas a nivel informático que se descubren a diario, el fenómeno del robo de información sensible al usuario, ocupa un lugar privilegiado en el mundo de los ataques.

    La obtención de dinero en forma rápida y la amplia cantidad de usuarios que suelen ser engañados convierte a este robo de información en una de las actividades más explotadas en la actualidad por los delincuentes informáticos.

    En este sentido, y con el objetivo de perfeccionar cada vez más estas técnicas de ataque, nuevos vectores y metodologías van surgiendo y evolucionando con la voluntad de mejorar sistemáticamente las prácticas intrusivas.

    Bajo este escenario, los usuarios finales, las entidades bancarias y las entidades financieras de todo el mundo, constituyen los objetivos perfectos de atacantes que, a través de programas maliciosos, buscan atentar contra la confidencialidad de los usuarios al comprometer los datos sensibles de los mismos.

    Una de las formas de modificar partes del sistema para engañar al usuario, se denomina pharming, consistente en manipular direcciones DNS de los servidores globales para realizar un redireccionamiento del nombre de dominio real a una dirección IP diferente a la original. De esta manera, un atacante podría redireccionar los sitios web alojados en el servidor comprometido hacia otros sitios definidos por él mismo.

    Los DNS (Domain Name Server – Sistema de Nombres de Dominio) consisten en un sistema que permite traducir los nombres de dominio, por ejemplo: www.su-banco.com, a una dirección IP, por ejemplo: 201.61.38.216 y viceversa.

    Existe un tipo de pharming particular, que se realiza en el sistema del usuario, denominado pharming local que se centra principalmente en la manipulación de un archivo de texto llamado hosts que relaciona en forma unívoca las direcciones IP con nombres de sitios web. En otros términos, este archivo es utilizado para resolver nombres de dominio a través de direcciones IP en forma local.

    Este archivo se encuentra en cualquier sistema operativo y, dependiendo del sistema que se utilice, se aloja en diferentes lugares a saber:

    • En sistemas Windows 95/98/ME este archivo se encuentra en C:\Windows\Hosts
    • En sistemas Windows NT y 2000 se aloja en C:\Winnt\System32\drivers\etc
    • Cuando se trata de sistemas Windows 2003 se localiza en C:\WINDOWS\system32\drivers\etc
    • En sistemas con Windows XP se ubica en C:\Windows\System32\drivers\etc
    • En los sistemas Unix, Linux y MacOS, se encuentra alojado en /etc/hosts

    El archivo hosts trabaja de manera tal que permite almacenar una tabla con direcciones web y direcciones IP. Muchísimos códigos maliciosos están diseñados para manipular este archivo, modificando o agregando las direcciones que se encuentran almacenadas en esta tabla.

  • El rol del malware en ataques de pharming local

  • Estas técnicas de ataque de malware, pharming local, phishing e Ingeniería Social utilizadas en combinación, constituyen uno de los principales y más peligrosos ataques que se llevan a cabo en la actualidad a través de Internet.

    La modificación del archivo hosts se realiza agregando diferentes nombres de páginas web de entidades bancarias y financieras relacionadas a una correspondiente dirección IP apuntando al sitio a un falso.

    Entonces, cuando el usuario intente ingresar a cualquiera de las entidades bancarias que figuran en el archivo, será redireccionado a la dirección IP que figura en el archivo; es decir, a la página web falsa que resulta ser muy similar a la página web original (ataque de phishing), incluso escribiendo de forma correcta la dirección de la página en la barra de navegación o utilizando cualquier programa de navegación web.

    A modo de ejemplo, suponiendo que este archivo fuera modificado con la siguiente línea:

    201.61.38.216 www.su-banco.com

    Cada vez que se intente ingresar (escribiendo la URL en la barra de navegación) a:
    www.su-banco.com, se redireccionará al usuario a la dirección IP mencionada que, en este caso, alojará el sitio falso, orientado a que el usuario escriba sus datos personales.

    De esta manera, una persona malintencionada puede tomar posesión de los datos que los usuarios hayan ingresado en los campos requeridos y utilizarlos para robar el dinero de las cuentas de las cuales tenga la información de acceso.

    Cuando un programa dañino intenta utilizar esta técnica para modificar el sistema, será detectado genéricamente por ESET NOD32 como Win32/Qhost, nombre que reciben todas las amenazas de este tipo y que tienen como objetivo lograr que el usuario ingrese a un sitio falso para robar su información confidencial.

    Conclusión:

    Mediante la técnica descripta, usuarios malintencionados pueden lograr un ataque exitoso: hacer que los usuarios cedan datos confidenciales que luego le permitirá realizar las acciones delictivas que persiguen.

    Esta técnica se basa en que el usuario confía que ha escrito la dirección URL correcta de la entidad a la que desea ingresar y puede pensar, erróneamente, que el sitio al que ingresa es el verdadero.

    Ante esta situación, resulta sumamente necesario poner en práctica todo mecanismo que, como usuario final y consumidor de las nuevas tecnologías de información, permitan mitigar este tipo de amenazas.

    Fuente www.eset-la.com

    No hay comentarios:

    Publicar un comentario

    MYA Systems on Facebook