4 de septiembre de 2010

¿Qué es el pharming? Tipos de pharming y alcance.

09Si bien el término "pharming" tiene detractores que explican que básicamente se trata de una variante más del phishing, es importante acotar que en ese caso estaríamos hablando una de las variantes más peligrosas.

Básicamente, el pharming tiene la finalidad de llevar al usuario a una página falsa para robarle la información personal, pero a diferencia del phishing utiliza técnicas muy diferentes para lograrlo, y estas se basan principalmente en engañar ya no al usuario sino al equipo o PC, para que resuelva las direcciones URL correctas y bien formadas hacia números IP diferentes de los originales y consecuentemente lleve al usuario a destinos no deseados.

En el caso del pharming el usuario está algo más desprotegido debido a que la dirección o URL que está en el navegador es el correcto, aunque este en realidad esta dirección le lleve a un servidor diferente. Su nombre se debe principalmente a que al vulnerar un servidor DNS o un router todos los usuarios de ese servicio son víctimas probables, osea una granja de víctimas ("farm" en inglés significa granja ) y si cualquiera de ellas introduce el URL correcto este será resuelto hacia el servidor del atacante.



Esta técnica de ataque a su vez tiene tres variantes conocidas:

Pharming local:
El que se logra al introducir un troyano o virus en el equipo de la víctima, el cual se encarga de alterar los registros de nombres que se encuentran el el archivo "hosts" (sin extensión) que se ubica en diferentes direcciones dependiendo del sistema operativo de la víctima. Se denomina local porque el ataque se realiza en el equipo del usuario. Aquí es precisamente donde el proceso se parece más al phishing debido a que los usuarios se infectan uno a la vez y el término de "granja" pierde sentido.

Drive By Pharming:
Este se realiza atacando directamente a los firewalls o routers (enrutadores), y cambiando la dirección del servidor DNS a la de un servidor DNS bajo poder del hacker, que indudablemente resolverá las direcciones tal como éste lo desee. Esta técnica hasta hace poco era utilizada solo para propósito académico debido a la dificultad que existe para acceder a los routers empresariales, sin embargo ha cobrado auge en la actualidad debido a las plataformas wireless que en muchos casos utilizan enrutadores cuyos usuarios no han cambiado la clave administrativa que traen estos equipos por defecto.

DNS Poisoning (Envenenamiento de DNS):
Aunque esta técnica es bastante difícil de ejecutar, se basa en vulnerabilidades de los servidores DNS en lo que respecta al control de su caché de direcciones. Aunque es muy peligrosa actualmente son muy pocos los casos, debido a que los servicios de DNS de gran escala están en manos de proveedores de Internet que ya han corregido este tipo de fallas. Sin embargo sigue latente la posibilidad de que se descubra alguna nueva vulnerabilidad que permita este tipo de ataque nuevamente.

¿Cómo saber si ha sido victima de un ataque de pharming?

  • Para lo que respecta al alcance de la mayoría de los usuarios la técnica más usada es la de la infección del archivo host (pharming local). Simplemente busque el archivo host en su sistema y elimine cualquer línea con direcciones IP excepto aquella que define a "localhost" como 127.0.0.1
  • Si tiene acceso a su router verifique que el número IP del servidor DNS configurado en el router sea el que le ha designado su proveedor de Internet o el administrador del sistema.

Hasta la próxima...

No hay comentarios.:

Entradas populares