El pharming es una modalidad de ataque utilizada por los atacantes, que consiste en suplantar al Sistema de Resolución de Nombres de Dominio (DNS, Domain Name System) con el propósito de conducirte a una página Web falsa. El atacante logra hacer esto al alterar el proceso de traducción entre la URL de una página y su dirección IP.
Comúnmente el atacante realiza el redireccionamiento a las páginas web falsas a través de código malicioso. De esta forma, cuando se introduce un determinado nombre de dominio que haya sido cambiado, por ejemplo http://www.seguridad.unam.mx, en tu explorador de Internet, accederá a la página Web que el atacante haya especificado para ese nombre de dominio.
Para llevar a cabo redireccionamiento a las páginas Web falsas o maliciosas se requiere que el atacante logre instalar en tu sistema alguna aplicación o programa malicioso (por ejemplo, un archivo ejecutable .exe, .zip, .rar, .doc, etc.). La entrada del código malicioso en tu sistema puede producirse a través de distintos métodos, siendo la más común a través de un correo electrónico, aunque puede realizarse también a través de descargas por Internet o a través de unidades de almacenamiento removibles como una memoria USB.
Una técnica muy utilizada para realizar éste tipo de ataque es a través del envío masivo de correos electrónicos. El correo electrónico puede provenir de distintas fuentes, las cuales, resultan llamativas para el usuario; algunos de los principales temas que se utilizan son los siguientes:
En este tipo de correos los intrusos crean una noticia llamativa y, en la mayoría de las ocasiones, utilizan un tema actual y de interés general para la sociedad.
En este caso, el intruso enviará un correo invitando al usuario a abrir una postal que supuestamente le ha enviado un amigo.
Estos correos intentan engañar al usuario diciéndole que ha sido ganador de algún premio: viaje, dinero en efectivo, autos, etcétera.
Los intrusos que utilizan este tipo de temas invitan al usuario al usuario a descargar un archivo o visitar una página que supuestamente contiene un "boletín" o archivo elaborado por alguna institución reconocida y de confianza para la sociedad.
Ejemplo de un correo electrónico de pharming
El usuario recibe un correo electrónico con el siguiente tema: ¡Has recibido una tarjeta de Gusanito.com! y podría provenir de una dirección aparentemente válida como cards@cards.gusanito.com.
El correo electrónico usualmente contiene un vínculo para que se descargue un archivo ejecutable, el cual realiza la modificación en el archivo “hosts” de tu sistema para redireccionar tu navegador de Internet a páginas Web falsas.
Normalmente cuando hablamos de pharming podemos confundirnos con phishing y la razón es que ambas técnicas actuan de la siguiente manera:
En el phishing se necesita que cada usuario acceda en la dirección que el estafador te envía directamente para caer en el engaño, mientras en el pharming basta con que el usuario realice una consulta al servidor DNS atacado. Ahora bien, en el Pharming el ataque ocurre cuando se envía el correo electrónico y se concreta cuando el usuario abre su contenido. En el caso de Phishing lo podemos observar cuando el intruso crea el sitio falso y completa su ataque cuando la víctima introduce sus datos personales.
Si deseas conocer más sobre phishing te recomendamos el siguiente documento:
http://www.seguridad.unam.mx/usuario-casero/secciones/phishing.dscs
Si sospechas que has sido víctima de un ataque pharming puedes verificar el contenido del archivo hosts (sin extensión) ubicado en la carpeta:
La estructura de un archivo hosts con un contenido normal se muestra a continuación:
Un archivo hosts modificado podría contener información similar a la siguiente:
Como puede observarse, existen distintas direcciones IP agregadas al archivo hosts que redireccionarán a tu navegador de Internet a sitios Web falsos.
Si detectas que fuiste víctima de un ataque tipo pharming una forma de volver a la normalidad tu equipo es modificar manualmente el archivo hosts para que contenga solo las entradas predeterminadas.
Como pudiste observar en la imagen que representa un archivo hosts normal, la única dirección válida debería ser 127.0.0.1 localhost, por lo que deberías eliminar cualquier otra dirección IP que aparezca en el mismo.
Los pasos para realizar la modificación del archivo hosts son los siguientes:
Para prevenirte de este tipo de ataques te damos las siguientes recomendaciones:
phishing at seguridad dot unam dot mx o incidentes at seguridad dot unam dot mx.
El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:
Para mayor información acerca de éste documento de seguridad contactar a:
UNAM CERT Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo DGSCA - UNAM
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Envíanos tus dudas o comentarios sobre terminología de seguridad informática
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT