Pharming, nueva técnica de fraude
Fernando de la Cuadra es Editor Técnico Internacional de Panda Software
14/03/2005.
7 comentarios · escribe el tuyo
El pharming es una nueva modalidaqd de fraude online que consiste en suplantar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa. Aunque es una amenaza creciente y peligrosa, la solución pasa por la prevención y una solución antiviruas eficaz.
Relacionado:
Seguridad online, higiene básica
2002-10-23
2002-10-23
Criptografía explicada
2003-03-16
2003-03-16
Las listas negras de 2004
2004-12-29
2004-12-29
Cuidado con el phishing
2004-06-22
2004-06-22
Si hasta ahora uno de los fraudes más extendidos era el phishing, consistente en engañar a los usuarios para que efectúen operaciones bancarias en servidores web con el mismo diseño que un banco online, el pharming entraña aún mayores peligros. Básicamente, consiste en la manipulación de la resolución de nombres en Internet, llevada a cabo por algún código malicioso que se ha introducido en el equipo.
Cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS (Domain Name Server). En ellos se almacenan tablas con las direcciones IP de cada nombre de dominio. A una escala menor, en cada ordenador conectado a Internet hay un fichero en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinados nombres de servidor, o incluso para evitarlo.
El pharming consiste en modificar este sistema de resolución de nombres, de manera que cuando el usuario crea que está accediendo a su banco en Internet, realmente está accediendo a la IP de una página web falsa.
La estrategia del acecho
El phishing debe su éxito a la ingeniería social, aunque no todos los usuarios caen en estos trucos y su éxito está limitado. Y además, cada intento de phishing se debe dirigir a un único tipo de servicio bancario, por lo que las posibilidades de éxito son muy limitadas. Por el contrario, el pharming puede atacar a un número de usuarios muchísimo mayor.
Además, el pharming no se lleva a cabo en un momento concreto, como lo hace el phishing mediante sus envíos, ya que la modificación de DNS queda en un ordenador, a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual, como hemos mencionado antes.
El remedio para esta nueva técnica de fraude pasa, de nuevo, por las soluciones de seguridad antivirus. Para llevar a cabo el pharming se requiere que alguna aplicación 0se instale en el sistema a atacar (un fichero .exe, un script, etc.). La entrada del código en el sistema puede producirse a través de cualquiera de las múltiples vías de entrada de información que hay en un sistema: el e-mail (la más frecuente), descargas por Internet, copias desde un disco o CD, etc. En todas y cada una de estas entradas de información, el antivirus debe detectar el fichero con el código malicioso y eliminarlo.
La prevención como mejor solución
Desgraciadamente, hoy en día nos movemos en un escenario en el que el malware ha adquirido una velocidad de propagación muy elevada, y los creadores son más y ofrecen los códigos fuente para que introduzcan variaciones y puedan crear ataques nuevos. Los laboratorios de virus no tienen tiempo suficiente para efectuar la detección y eliminación del malware para todos los nuevos códigos antes de que lleguen a propagarse en unos pocos PCs. A pesar de los esfuerzos y la mejora de los laboratorios, es humanamente imposible que se elabore una solución adecuada y a tiempo para algunos códigos que se propagan en cuestión de minutos.
La solución para este tipo de amenazas no debe ser, al menos en un primer frente de protección, de tipo reactiva, sino que deben instalarse sistemas mediante los cuales se detecten no los ficheros en función de firmas víricas, sino mediante las acciones que se llevan a cabo en el ordenador. De esta manera, cada vez que se intente realizar un ataque al sistema de DNS del ordenador (como es el caso de las aplicaciones para pharming), sea reconocido el ataque y detenido, así como bloqueado el programa que lo ha llevado a cabo.
Sin embargo, existe un peligro añadido a esta nueva técnica de fraude, que reside en los servidores proxies anónimos. Muchos usuarios desean ocultar su identidad (su dirección IP) a la hora de navegar, por lo que utilizan servidores proxy instalados en Internet que llevan a cabo la conexión con la IP del servidor en lugar de la IP del cliente. En el peor de los casos, uno de estos servidores proxy puede tener la resolución de nombres alterada, de manera que los usuarios que intenten entrar en su página bancaria - pese a que su sistema local está perfectamente asegurado- sean redirigidos por el proxy a una página con el mismo diseño y apariencia de su banco, pero falsa. También podríamos pensar, siendo más positivos, que el servidor proxy ha sufrido algún tipo de ataque que altere su sistema de resolución de nombres de dominio.
En cualquiera de los casos, el problema del pharming se plantea como peligroso, aunque de muy fácil solución. Únicamente con sistemas capaces de detectar y frenar los cambios en la resolución de nombres de Internet en ordenador y su bloqueo podremos hacer frente a la avalancha de códigos maliciosos que nos espera y que intentan estafar a los usuarios.
Cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS (Domain Name Server). En ellos se almacenan tablas con las direcciones IP de cada nombre de dominio. A una escala menor, en cada ordenador conectado a Internet hay un fichero en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinados nombres de servidor, o incluso para evitarlo.
El pharming consiste en modificar este sistema de resolución de nombres, de manera que cuando el usuario crea que está accediendo a su banco en Internet, realmente está accediendo a la IP de una página web falsa.
La estrategia del acecho
El phishing debe su éxito a la ingeniería social, aunque no todos los usuarios caen en estos trucos y su éxito está limitado. Y además, cada intento de phishing se debe dirigir a un único tipo de servicio bancario, por lo que las posibilidades de éxito son muy limitadas. Por el contrario, el pharming puede atacar a un número de usuarios muchísimo mayor.
Además, el pharming no se lleva a cabo en un momento concreto, como lo hace el phishing mediante sus envíos, ya que la modificación de DNS queda en un ordenador, a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual, como hemos mencionado antes.
El remedio para esta nueva técnica de fraude pasa, de nuevo, por las soluciones de seguridad antivirus. Para llevar a cabo el pharming se requiere que alguna aplicación 0se instale en el sistema a atacar (un fichero .exe, un script, etc.). La entrada del código en el sistema puede producirse a través de cualquiera de las múltiples vías de entrada de información que hay en un sistema: el e-mail (la más frecuente), descargas por Internet, copias desde un disco o CD, etc. En todas y cada una de estas entradas de información, el antivirus debe detectar el fichero con el código malicioso y eliminarlo.
La prevención como mejor solución
Desgraciadamente, hoy en día nos movemos en un escenario en el que el malware ha adquirido una velocidad de propagación muy elevada, y los creadores son más y ofrecen los códigos fuente para que introduzcan variaciones y puedan crear ataques nuevos. Los laboratorios de virus no tienen tiempo suficiente para efectuar la detección y eliminación del malware para todos los nuevos códigos antes de que lleguen a propagarse en unos pocos PCs. A pesar de los esfuerzos y la mejora de los laboratorios, es humanamente imposible que se elabore una solución adecuada y a tiempo para algunos códigos que se propagan en cuestión de minutos.
La solución para este tipo de amenazas no debe ser, al menos en un primer frente de protección, de tipo reactiva, sino que deben instalarse sistemas mediante los cuales se detecten no los ficheros en función de firmas víricas, sino mediante las acciones que se llevan a cabo en el ordenador. De esta manera, cada vez que se intente realizar un ataque al sistema de DNS del ordenador (como es el caso de las aplicaciones para pharming), sea reconocido el ataque y detenido, así como bloqueado el programa que lo ha llevado a cabo.
Sin embargo, existe un peligro añadido a esta nueva técnica de fraude, que reside en los servidores proxies anónimos. Muchos usuarios desean ocultar su identidad (su dirección IP) a la hora de navegar, por lo que utilizan servidores proxy instalados en Internet que llevan a cabo la conexión con la IP del servidor en lugar de la IP del cliente. En el peor de los casos, uno de estos servidores proxy puede tener la resolución de nombres alterada, de manera que los usuarios que intenten entrar en su página bancaria - pese a que su sistema local está perfectamente asegurado- sean redirigidos por el proxy a una página con el mismo diseño y apariencia de su banco, pero falsa. También podríamos pensar, siendo más positivos, que el servidor proxy ha sufrido algún tipo de ataque que altere su sistema de resolución de nombres de dominio.
En cualquiera de los casos, el problema del pharming se plantea como peligroso, aunque de muy fácil solución. Únicamente con sistemas capaces de detectar y frenar los cambios en la resolución de nombres de Internet en ordenador y su bloqueo podremos hacer frente a la avalancha de códigos maliciosos que nos espera y que intentan estafar a los usuarios.
Fernando de la Cuadra es Editor Técnico Internacional de Panda Software
Vota esta noticia:
0 votos.
Comparte esta noticia:
Opciones de fuente:
