Phishing recargado I: Pharming

"Este es un programa de entrenamiento, similar al de la realidad programada de la Matrix. Sigue las mismas reglas básicas, como la gravedad. Lo que debes entender es que estas reglas no son diferentes a las de cualquier sistema computacional. Algunas se pueden doblar, otras se pueden romper"

Morpheus en "The Matrix"

Continuando con la serie de posts acerca del phishing, hoy quiero contarles que de la misma forma en que la tecnología evoluciona, los ataques también. En este post y el siguiente les voy a contar acerca de dos técnicas que usan los crackers hoy para hacer más efectivos sus phishing. La primera se conoce como Pharming.

Cada computador en la red se identifica a través de lo que se conoce como dirección IP: Una serie de 4 números separados por puntos (por ejemplo, 173.194.42.16). Ahora, muy pocos serían capaces de memorizar ese dato. Por eso, y para ordenar los equipos por zonas geográficas y usos, se utilizan 2 métodos: El primero, llamado DNS (Domain Name System), es un grupo de servidores al cuales se les consulta qué IP corresponde a una dirección determinada (volviendo al mismo ejemplo de recién, si consultas a un servidor DNS por www.google.com, te responderá 173.194.42.16). El segundo es un archivo dentro del computador llamado hosts, el cual permite llevar una lista de direcciones y respectivas IP, sobre todo en caso de que se caiga un servidor DNS o para casos de pruebas.

Nuestros computadores, a la hora de buscar direcciones IP, primero revisan el archivo hosts y luego consultan al servidor DNS. Los crackers siempre buscan hacer que direcciones legítimas apunten a sus servidores truchos (sí, esos mismos que ellos montan para recoger credenciales) de dos formas: "envenenando" servidores DNS con registros falsos, o envenenando el archivo hosts de nuestro equipo:

Archivo hosts infectado, esta vez para evitar que los antivirus se actualicen. Todas las direcciones apuntan a 127.0.0.1 ("mi equipo"). Fuente: EazyAntispyware Blog

¿Cómo protegerse? Generalmente los sitios de bancos o aquellos que manejan información confidencial usan certificados digitales (ese candado que ves cuando te conectas al banco), y el navegador avisa cuando el la dirección no corresponde a la IP registrada en el certificado. También los antivirus y anti-spyware más avanzados revisan periódicamente el archivo hosts.

Phishing (con extra vitaminas y minerales)

(Reedición del post de mi alter-ego)

Durante el último año sobre todo, se ha hablado mucho acerca del Phishing, ataque informático destinado a robar información a usuarios sin que éstos se den cuenta. Incluso han aparecido campañas por parte de los bancos sobre todo, tendientes a concientizar a los usuarios respecto de esta amenaza. Pero ¿Qué es el Phishing?

El Phishing es un ataque que funciona de la siguiente manera:

1. A tí te llega un correo electrónico que dice "Haz clic aquí para ir a la página de tu banco". ¿La razón? Alguna promoción, chequear tu saldo, o un supuesto cambio de configuración provocado por un (también supuesto) ataque informático al servidor del banco.
2. Tu haces clic en el link, y aparece la página de tu banco... o al menos eso es lo que crees. Porque en realidad es una página idéntica (de forma) a la página de tu banco alojada en otro servidor el cual está programado, no para ser parte del sistema web de tu banco, sino que para que, cuando ingreses tu RUT y password, las almacene.
3. El inescrupuloso que armó este sitio, se conecta a él y extrae la información que tú le diste.
4. Finalmente, usará esa información para suplantarte en la página de tu banco.

De ahí viene la palabra Phishing (que se pronuncia igual que "Fishing"): El atacante te lanza un anzuelo con su mail engañoso, tu caes y él "pesca" tus datos importantes.

¿Cómo defenderse de este tipo de ataques? Primero, debes tener en cuenta que los bancos, como medida de seguridad para sus clientes, NUNCA envían correos electrónicos como el que te mencioné a sus clientes, así que si recibes un mail de estas características, ten por seguro que te quieren enganchar para robarte la password.

También existen bases de datos de sitios de phishing (Phishtank, Google Safe Browsing) los cuales desarrollan plugins para browsers que, al ingresar un usuario a un sitio, chequean las bases de datos y avisan al usuario si son sitios maliciosos o no. Además, los browsers más modernos (Firefox, Internet Explorer, Opera, Chrome...) traen sistemas de chequeos integrados anti-phishing. Sin embargo, estas bases de datos no son automatizadas y dependen de las denuncias de los usuarios. Pueden pasar varios días antes de que un sitio sea denunciado en estos sitios.

Y por último, no llegar y hacer clic en cualquier parte. Miremos bien la dirección de la página en la que estamos antes de ingresar cualquier tipo de información.

Phishing a un conocido banco para robar su "clave dos"

¿Hackers o crackers?

"Los mejores crackers del mundo hacen la pega en 60 minutos. Desafortunadamente, necesito que tú la hagas en 60 segundos"

John Travolta en "Swordfish"

Todos leemos en las noticias que, cuando ocurre un incidente de seguridad, en éste está involucrado aquél oscuro personaje, quien escondido en el anonimato que le proporciona la red, es capaz de dejar la tendalada y salir impune. Me refiero al hacker.

O tal vez no.

Porque resulta que el hacker es un curioso, alguien que quiere conocer cómo funcionan las cosas por dentro y quizás cambiar algo en ellas para que funcione mejor. ¿Alguna vez has participado en un proyecto de software de código abierto (open-source) y has modificado aunque sea un par de lineas? ¿Alguna vez has abierto algún aparato electrónico de tu casa (TV, radio, computador, etc.) aunque sea para limpiarlo? Si la respuesta a cualquiera de esas preguntas es afirmativa, felicitaciones, eres un hacker.

Pues bien, ¿no es acaso el hacker aquel curioso que entra a sistemas informáticos, mira información que no le corresponde, destruye estos sistemas o no los deja funcionar adecuadamente?. Hay toda una controversia al respecto, ya que el término correcto para referirse a este personaje inescrupuloso es cracker.

¿Por qué 2 términos que se refieren a lo mismo? Principalmente por el hecho de que el hacker es alguien con conocimientos y curiosidad, mientras que el cracker es lo mismo, pero añadiéndole perversión y motivación para destruír, robar, obtener información, prestigio, o como ocurre la mayor parte del tiempo, lucas.

Es como decir que un ladrón que entra a robar casas es un cerrajero. El cerrajero tiene herramientas para entrar a casas, abrir puertas, etc. Añadimos a eso la motivación y malicia y tienes un ladrón.