MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

11.4.07

EL PHARMING Y LA MANIPULACION DEL TRAFICO EN INTERNET
Uno de los delitos informáticos relacionados con el desvío del tráfico de Internet hacia páginas falsas pero diseñadas en forma similar a la original, es el pharming.

En cierto aspecto, suele tener alguna similitud con el phishing, pero éste último tiene que ver con un link falso al que el usuario ingresa a través de un correo electrónico, mientras que en el pharming no hay ningún mail ni participación directa del usuario.

Pero veamos bien qué es el pharming y cómo actúa. Se denomina pharming a la modalidad mediante la cual el delincuente logra controlar un servidor DNS (Sistema de Nombre de Dominio) o un equipo particular. De esta manera, cuando el usuario ingresa al nombre de un dominio, se redirecciona automáticamente hacia una página falsa, y no a la original, que previamente ha sido especificada por el atacante.

En buen criollo, sería cuando queremos acceder a una Web pero como el DNS o la máquina está controlada por el delincuente, el tráfico se direcciona hacia una página falsa que él ha determinado.

La finalidad, al igual que el phisihing, es la de obtener información privada del usuario, como números de cuenta, contraseñas, etc. Por eso es que generalmente las páginas que más son falsificadas son las de bancos o entidades financieras.

Existen dos formas en que se den los ataques de pharming. Por un lado, al atacar a una máquina particular a través del ingreso de un código malicioso que controla y modifica los “hosts”, archivos que se encuentran en equipos que trabajan con Windows y otros sistemas como Unix, que contienen direcciones de Webs.

Cuando esos archivos (los hosts) son controlados, cada vez que el usuario ingrese a una dirección de las que están allí será redireccionado a una página falsa predeterminada por el delincuente. En este caso el que sufre el ataque es ese único usuario.

La otra forma, y más compleja por la cantidad de víctimas que puede tener, es cuando el que está controlado es directamente el servidor DNS, que contiene nombres de dominios y direcciones en red. El “envenenamiento de DNS”, como se conoce a este ataque, es cuando el delincuente logra apoderarse y modificar una base de datos de algún proveedor de Internet por lo que cada vez que un usuario ingresa a una página que está allí contenida, es redireccionada hacia el sitio falso prederterminado por el delincuente.

Para protegerse de esta modalidad de fraude, existe el software especializado, el que generalmente utilizan los servidores de las grandes compañías y protecciones DNS, con lo que se busca evitar justamente el “envenenamiento de DNS”.

En cuanto a las máquinas domésticas, por supuesto que lo más importante es la continua actualización de los antivirus que permitan reconocer los archivos que contienen los códigos maliciosos. Estos códigos pueden ingresar de diversas maneras (correos electrónicos, descargas online, etc.) y se van modificando continuamente. Por eso siempre hay que estar al día en cuanto a este tipo de amenazas y las actualizaciones correspondientes.

Más información:
http://www.microsoft.com/spain/athome/securi ty/privacy/pharming.mspx

0 comentarios: