Documente Academic
Documente Profesional
Documente Cultură
Que es el Pharming?
El Pharming es una nueva modalidad de fraude online, que consiste bsicamente en
modificar la relacin que existe entre el nombre de una web en internet y su respectivo
servidor Web. Se trata de suplantar el sistema de resolucin de nombres de dominio
(DNS) para conducir al usuario a una pgina web falsa idntica a la original.
Para que se entienda mejor: en situaciones normales, si tipeamos en nuestro Internet
Explorer la direccin www.bancorio.com.ar, estaremos ingresando al sitio web del
Banco Ro de Buenos Aires. Pero si hemos sido vctimas de un ataque de Pharming, al
tipear www.bancorio.com.ar ingresaremos sin saberlo a un sitio web falso exactamente
igual al del banco, pero que ha sido creado por los atacantes con el fin de robar los datos
de nuestra cuenta bancaria.
Cmo opera?
Existen dos tcnicas de pharming: la de envenenamiento de cach DNS, y la de
modificacin del archivo HOSTS.
En la primera, un servidor de nombres (servidor DNS) se ve afectado de tal
forma que los requisitos de acceso a una web hechas por los usuarios de este
servidor son redireccionadas a otra direccin (sitio web falso) bajo el control de
los atacantes.
Este tipo de ataques no son dirigidos en s a usuarios finales, sino a los
servidores DNS de proveedores de Internet o de empresas con redes
internas. Lo que sucede es que si el servidor DNS de un proveedor o empresa
sufre un envenenamiento de cache, todos sus usuarios sern redireccionados
hacia direcciones y pginas falsas cada vez que intenten visitar determinada web
legtima, sin que sea necesario que hayan instalado nada en sus propias
mquinas o que hagan clic en ningn link malicioso.
En el caso del pharming por modificacin del archivo "hosts", en cambio, el
ataque se da en la propia computadora del usuario. Para ello, generalmente es
necesario contar con la colaboracin involuntaria de este usuario, que deber
visitar una pgina, cliquear en algn link o instalar algn programa
contaminante en su PC.
En lo que sigue nos vamos a dedicar a estudiar en profundidad el pharming basado en
la modificacin del archivo HOSTS, por ser ste el caso de ms relevancia en lo que
hace a usuarios domsticos.
El archivo HOSTS ::
Qu es el archivo hosts?
Es un archivo de texto que se encuentra tanto en sistemas Windows como Linux. El
nombre de este archivo es simplemente HOSTS, no tiene ningn tipo de extensin.
En los sistemas Windows, el archivo HOSTS se encuentra:
En Windows 95 /98/ Me en el directorio C:\Windows\
En Windows NT /2000
en el directorio C:\WINNT\System32\etc\
En Windows XP /2003
en el directorio C:\WINDOWS\System32\etc\
Vista del archivo HOSTS en Windows XP
Todos los renglones que aparecen con el signo # al comienzo son slo comentarios, y
podemos borrarlos sin problemas. La ltima lnea nos indica que localhost ( o sea
nuestra propia mquina ) est asociada a la IP 127.0.0.1 ( o sea nuestra propia IP ), lo
que queda ms que claro.
Todas las entradas del archivo hosts que agreguemos debern tener siempre la misma
forma, o sea:
direccin IP
dominio
Por ejemplo:
Estas entradas se utilizan para indicarle a nuestra PC cul es la direccin IP de cada uno
de los dominios que hemos agregado. Lo que hacemos es asociar cada dominio con su
correspondiente direccin IP.
Para saber la direccin IP de un sitio web hacemos lo siguiente:
1) Abrimos la ventana de comandos de Windows: para ello, vamos a INICIO >
EJECUTAR, escribimos cmd y le damos ENTER.
!
"
"
"
"
#
#
#
#
*
, -#
% 0
&
1*
!
!
!
!
+
$
.
/
+
+
$
/ +
$
$
$
$
%
%
%
%
.#
/
12
&&'$
&&'$
&&'$
&&'$
(
(
(
(
#
/
3
"
"
"
"
#
#
#
#
*
, -#
5 0
&
1*
4
!
!
!
!
.
6/
+
+
$
+
$
/ 12
/ +
$
!
.#
&
&
&
&
)
+
+
+
+
*
, -#
5
0
$
$
$
$
/
+
$
/ +
+
$
&&'$
&&'$
&&'$
&&'$
$
#
(
+
+
+
+
.
$
$
$
$
/ 1
#
#
#
#
!
6/
"
Por otro lado, el archivo HOSTS tambin nos sirve para evitar el acceso a un
determinado sitio. Slo necesitamos asociar el dominio de ese sitio a la IP 127.0.0.7.
Por ejemplo, si no quiero que los usuarios con los cuales comparto el uso de mi PC,
ingresen al sitio www.sexo.com, agrego al final del archivo HOSTS la entrada que se
muestra en rojo en la siguiente imagen:
*** Arhcivo Host modificado para impedir el acceso a www.sexo.com ***
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
&
! B
, +
+ 1
<
& ,=>,
+
!
+
+
+
:;&; #
.
+
'
>,
+
+
!+
+
!+
+
#
#
/
*
#
+
-#
'
+
++
#
+ +
>,
.
!+
* !
@
!+
A >,
#
C7C
9
+
(
7
7
+.
Cada vez que los usuarios intenten acceder al sitio www.sexo.com les saldr el mensaje
No se encuentra la pgina solicitada.
Guardamos los cambios, cerramos esta ventana y luego nos vamos al Internet
Explorer. Escribimos www.yahoo.com en la barra de direcciones, y le damos ENTER.
Como vern a continuacin, lo que se muestra es la pgina de Google.Com, no la de
Yahoo!.
En este ejemplo tan benvolo, casi ridculo dira, no hay nada de peligroso para el
usuario afectado. Pero como ya mencion, este mismo proceso, de distintas maneras, se
puede hacer (mejor dicho: se hace!) con sitios oficiales de Bancos y otras entidades
financieras. Vamos a ver un caso prctico al respecto antes de terminar, pero primero
resumimos en imgenes todo el proceso que acabamos de explicar.
&
ACLARACIN:
Lo que veremos a continuacin podra ser uno de los tantos procedimientos utilizados
por los delincuentes informticos para el robo de cuentas bancarias. NO PRETENDO
CON ESTO HACER APOLOGA DE ESTOS DELITOS, slo trato de abrirles los
ojos a aquellos que piensan que el robo de claves bancarias es solo cosa de genios
cibernticos. Ahora podrn confirmar ustedes mismos, como con simples herramientas
y un poco de ingenio todo es posible.
Bien, comenzamos...
Objetivo:
Obtener la clave de la cuenta en el CitiBank de Argentina que tiene el usuario X.
Supuestos:
El usuario X suele estar conectado varias horas a Internet, y chequea por lo
menos dos veces en el da su cuenta bancaria en el sitio web del CitiBank.
Nosotros tenemos una IP fija. *** Si tuviramos una IP variable, este proceso
debe hacerse en el mismo da y sin haber desconectado nuestra mquina en
ningn momento durante el ataque.
Mediante ingeniera social, logramos chatear con la vctima a travs de MSN o
Yahoo! Messenger, y logramos que acepte bajar un archivo, o bien se lo
mandamos por e-mail, y ste lo acepta.
Herramientas necesarias:
1) El WinRar y/o WinZip
Para bajar WinRar: www.rarlab.com
Para bajar WinZip: www.winzip.com/es
2) El Xerver Free Web Server: http://www.javascript.nu/xerver/
Paso a paso(pero con reservas)
1) Crear un sitio web idntico al del CitiBank:
Debemos crear un par de pginas idnticas a las del CitiBank donde el usuario debe
loguearse para acceder al panel de su cuenta. No pretendan que les explique cmo
'
hacer una rplica de las pginas, ni cmo deberamos estructurarlas para crear un
engao perfecto. Eso est en el ingenio de cada uno. Yo me limito a explicar el proceso
que usara un delincuente para robar los datos de una cuenta, no a ensearles con lujo de
detalles el proceso completo. *** Lo importante, como en cualquier sitio web, es que la
primer pgina a la que pretendemos que el usuario ingrese se llame index.htm.
Una vez creado el sitio, lo guardamos en una carpeta de fcil acceso. En mi caso, la
guardo en C:\CitiBank\.
Deberamos imitar el formulario de logueo del CitiBank como el que vemos en esta imagen.
2) Instalamos un servidor Web en nuestra mquina para alojar este sitio falso del
CitiBank.
Instalaremos, por su fcil y rpida configuracin, el XERVER Web Server 4.20 (lo
pueden bajar de http://www.download.com/Xerver-Free-Web-Server/3000-216510074595.html?part=dl-XerverFre&subj=uo&tag=button ). *** Nota: para poder usar
este servidor web, necesitan tener instalada la ltima versin de Sun Java (pueden
bajarla de http://www.java.com/es/download/manual.jsp ).
En la pgina del XERVER (http://www.javascript.nu/xerver/) tienen ayuda online de
este soft, el cual es ms que fcil, por lo que no voy a entrar en detalles tampoco.
Una vez instalado, cuando lo configuren, la carpeta que deben compartir es aquella
donde tienen el sitio del CitiBank, en mi caso: C:\CitiBank\.
''
<<
=1EF
=G :;&; 0;
H+ . 0 ?
H+ . +
Explicacin:
@echo off : es para que al ejecutarse el bat no muestre nada en pantalla.
start hola.doc : es para que se abra el archivo hola.doc y sirva de mscara para
que el usuario no se percate de nada.
La tercera lnea reemplaza el archivo HOSTS original de la vctima por el
nuestro.
exit: obviamente es para cerrar el bat.
'
'!
'"
'#
Terminamos! Ahora todo es cuestin de enviarle este archivo a la vctima, que ella lo
ejecute, y listo! Desde ese momento, la prxima vez que se conecte a
www.citibank.com, estar ingresando sin saberlo, a nuestra pgina, y al loguearse, sus
datos de acceso pasarn a nuestras manos. La vctima JAMS podr ingresar al sitio
real del CitiBank, mientras no se vuelva a modificar el archivo HOSTS.
Esto, por supuesto, se trata no ms que de un ensayo, pero si fuese real, al criminal no le
importara demasiado si la vctima puede o no luego ingresar al sitio real del Banco,
pues para cuando se de cuenta de lo que est sucediendo, ya el delincuente habr
vaciado los fondos de su cuenta bancaria.
Nota: como vimos, fue un procedimiento bastante sencillo, y con herramientas muy
precarias. Ha habido varias desprolijidades en este proceso (hemos usado nuestra
propia mquina, no hemos ocultado nuestra IP, etc, etc, etc.), pero se debe a que esto es
SOLO UNA PRUEBA, una DEMOSTRACIN para ver que el PHARMING no es algo
difcil de hacer. No bamos a dar un curso de Robo de cuentas bancarias
obviamente, se trata de un ensayo, nada ms.
'
(
)*
:: FIN ::
Espero les sea de gran utilidad.
Saludos. FG DICIEMBRE DE 2006
LILIANGROUP [ARROBA] GMAIL [PUNTO] COM
'$