MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

6.10.07

CLONACION DE SITIOS WEB: COMPROMETIENDO TU CONFIDENCIALIDAD
Dentro de la infinidad de amenazas a nivel informático que se descubren a diario, el fenómeno del phishing ocupa un lugar privilegiado en el mundo de los ataques. Esto se debe a su naturaleza intrínseca de robar datos sensibles de las personas que a menudo caen en sus trampas; lo que la convierte en la técnica orientada al robo de información, más explotada en la actualidad.

En este sentido y con el objetivo de perfeccionar cada vez más estas técnicas de ataque, nuevos vectores y metodologías van surgiendo y evolucionando con la voluntad de mejorar sistemáticamente las prácticas intrusivas. En consecuencia, la técnica denominada pharming, es utilizada en combinación con el phishing y con los códigos maliciosos para ampliar la proyección del ataque.

Bajo este escenario, los usuarios finales, las entidades bancarias y las entidades financieras de todo el mundo, constituyen los objetivos perfectos a los que apuntan los cañones de muchos programas maliciosos de la actualidad para atentar contra la confidencialidad y la privacidad de los datos sensibles a través de esta técnica.

Por un lado, el phishing es una técnica de Ingeniería Social cuyo propósito es obtener datos personales y sensibles de los usuarios a través del engaño para luego ser utilizados con finalidades delictivas.

Por otro lado, el pharming, a diferencia del phishing cuyo objetivo se traduce en la suplantación de un sitio web, consiste básicamente en manipular direcciones DNS para realizar un redireccionamiento del nombre de dominio real a una dirección IP diferente a la original.

Los DNS (Domain Name Server – Sistema de Nombres de Dominio) consisten en un sistema que permite traducir los nombres de dominio, por ejemplo: www.su-banco.com, a una dirección IP, por ejemplo: 201.61.38.216 y viceversa.

Existe un tipo de pharming particular, que se realiza en el sistema del usuario, denominado pharming local que se centra principalmente en la manipulación de un archivo de texto llamado hosts que relaciona en forma unívoca las direcciones IP con nombres de sitios web. En otros términos, este archivo es utilizado para resolver nombres de dominio a través de direcciones IP en forma local.

Este archivo se encuentra en cualquier sistema operativo y,dependiendo del sistema que se utilice, se aloja en diferentes lugares a saber:
  • En sistemas Windows 95/98/ME este archivo se encuentra en C:\Windows\Hosts
  • En sistemas Windows NT y 2000 se aloja en C:\Winnt\System32\drivers\etc
  • Cuando se trata de sistemas Windows 2003 se localiza en C:\WINDOWS\system32\drivers\etc
  • En sistemas con Windows XP se ubica en C:\Windows\System32\drivers\etc
  • En los sistemas Unix, Linux y MacOS, se encuentra alojado en /etc/hosts


Imagen 1 – Archivo hosts en Windows

El archivo hosts trabaja de manera tal que permite almacenar una tabla con direcciones web y direcciones IP. Muchísimos códigos maliciosos están preparados para explotar las bondades que ofrece este archivo, modificando o agregando las direcciones que se encuentran almacenadas en esta tabla.

El rol del malware en ataques de pharming local

Estas técnicas de ataque (malware, pharming local y phishing) utilizadas en combinación, constituyen uno de los principales y más peligrosos ataques que se llevan a cabo en la actualidad a través de Internet.

La modificación del archivo hosts se realiza agregando diferentes nombres de páginas web de entidades bancarias y financieras relacionadas a una correspondiente dirección IP apuntando al sitio a un falso.

Entonces, cuando el usuario intente ingresar a cualquiera de las entidades bancarias que figuran en el archivo, será redireccionado a la dirección IP que figura en el archivo; es decir, a la página web falsa que resulta ser muy similar a la página web original (ataque de phishing), incluso escribiendo de forma correcta la dirección de la página en la barra de navegación o utilizando cualquier programa de navegación web.

A modo de ejemplo, suponiendo que este archivo fuera modificado con la siguiente línea:

201.61.38.216 www.su-banco.com

Cada vez que se intente ingresar (escribiendo la URL en la barra de navegación) a www.su-banco.com se redireccionará al usuario a la dirección IP mencionada, que en este caso contendrá el sitio falso.

Esta es una técnica aplicada por un malware que ESET NOD32 detecta bajo el nombre de Win32/Qhost y que intenta engañar al usuario cuando ingresa a un conocido banco de México.


Imagen 2 – Ataque de Phishing a entidad bancaria

De esta manera, un usuario malintencionado puede tomar posesión de los datos que los usuarios hayan ingresado en los campos requeridos y utilizarlos, en cuestión de minutos, para robar el dinero de las cuentas de las cuales tenga la información de acceso.

Conclusión
Como se podrá apreciar, mediante una sencilla técnica, usuarios malintencionados pueden obtener un ataque exitoso: hacer que los usuarios cedan datos confidenciales que luego le permitirá realizar las acciones delictivas que persiguen.

La “fortaleza” de esta técnica radica justamente en que el usuario se confía que ha escrito la dirección correcta de la entidad a la que desea ingresar y puede pensar, erróneamente, que el sitio al que ingresa es el verdadero.

Ante esta problemática situación, resulta sumamente necesario poner en práctica todo mecanismo que, como usuario final y consumidor de las nuevas tecnologías de información, permitan mitigar este tipo de amenazas.

Conforme a esta problemática, ESET a través de su Plataforma Educativa, pretende fortalecer los conocimientos de los usuarios brindando una serie de cursos mediante los cuales se logra incorporar todos los conocimientos que son necesarios para hacer frente a este tipo de situaciones.

Fuente: Información provista por ESET Latinoamérica
http://www.eset-la.com

0 comentarios: