Pharming • ¿Qué es el pharming? • ¿Cómo se lleva a cabo un ataque de pharming? • Ejemplo de un correo electrónico de pharming • ¿Cuál es la diferencia entre phishing y pharming? • ¿Cómo puedo identificar si he sido víctima de un ataque de pharming? • ¿De qué manera restablezco mi sistema a la normalidad? • ¿Cómo me puedo proteger del pharming? • Animacion ¿Qué es el pharming? El pharming es una modalidad de ataque utilizada por los atacantes, que consiste en suplantar al Sistema de Resolución de Nombres de Dominio (DNS, Domain Name System) con el propósito de conducirte a una página Web falsa. El atacante logra hacer esto al alterar el proceso de traducción entre la URL de una página y su dirección IP. Comúnmente el atacante realiza el redireccionamiento a las páginas web falsas a través de código malicioso. De esta forma, cuando se introduce un determinado nombre de dominio que haya sido cambiado, por ejemplo http://www.seguridad.unam.mx, en tu explorador de Internet, accederá a la página Web que el atacante haya especificado para ese nombre de dominio. Para llevar a cabo redireccionamiento a las páginas Web falsas o maliciosas se requiere que el atacante logre instalar en tu sistema alguna aplicación o programa malicioso (por ejemplo, un archivo ejecutable .exe, .zip, .rar, .doc, etc.). La entrada del código malicioso en tu sistema puede producirse a través de distintos métodos, siendo la más común a través de un correo electrónico, aunque puede realizarse también a través de descargas por Internet o a través de unidades de almacenamiento removibles como una memoria USB. ¿Cómo se lleva a cabo un ataque de pharming? Una técnica muy utilizada para realizar éste tipo de ataque es a través del envío masivo de correos electrónicos. El correo electrónico puede provenir de distintas fuentes, las cuales, resultan llamativas para el usuario; algunos de los principales temas que se utilizan son los siguientes: • Noticias falsas o amarillistas. En este tipo de correos los intrusos crean una noticia llamativa y, en la mayoría de las ocasiones, utilizan un tema actual y de interés general para la sociedad. • Envío de tarjetas postales electrónicas. En este caso, el intruso enviará un correo invitando al usuario a abrir una postal que supuestamente le ha enviado un amigo. • Supuesta obtención de algún premio. Estos correos intentan engañar al usuario diciéndole que ha sido ganador de algún premio: viaje, dinero en efectivo, autos, etcétera. • Supuestos boletines informativos de una institución pública o privada. Los intrusos que utilizan este tipo de temas invitan al usuario al usuario a descargar un archivo o visitar una página que supuestamente contiene un "boletín" o archivo elaborado por alguna institución reconocida y de confianza para la sociedad. Ejemplo de un correo electrónico de pharming El usuario recibe un correo electrónico con el siguiente tema: ¡Has recibido una tarjeta de Gusanito.com! y podría provenir de una dirección aparentemente válida como cards@cards.gusanito.com. El correo electrónico usualmente contiene un vínculo para que se descargue un archivo ejecutable, el cual realiza la modificación en el archivo hosts de tu sistema para redireccionar tu navegador de Internet a páginas Web falsas. ¿Cuál es la diferencia entre phishing y pharming? Normalmente cuando hablamos de pharming podemos confundirnos con phishing y la razón es que ambas técnicas actuan de la siguiente manera: • Un intruso crea un sitio falso para obtener información personal de los usuarios (cuentas de correo, cuentas bancarias, etc.). • Creado el sitio, el intruso envía correos a múltiples cuentas de correo • El usuario recibe el correo y decide abrirlo convencido de la supuesta veracidad del contenido y descarga y abre el archivo malicioso. • Posteriormente cuando el usuario intenta acceder a su sitio de confianza escribiendo la dirección del sitio en su navegador, automáticamente es dirigido al sitio falso creado por el intruso. • El usuario abre el correo y convencido de la veracidad del contenido decide descargar y ejecutar el archivo malicioso. • Finalmente el intruso podrá utilizar la información obtenida en su beneficio personal. En el phishing se necesita que cada usuario acceda en la dirección que el estafador te envía directamente para caer en el engaño, mientras en el pharming basta con que el usuario realice una consulta al servidor DNS atacado. Ahora bien, en el Pharming el ataque ocurre cuando se envía el correo electrónico y se concreta cuando el usuario abre su contenido. En el caso de Phishing lo podemos observar cuando el intruso crea el sitio falso y completa su ataque cuando la víctima introduce sus datos personales. Si deseas conocer más sobre phishing te recomendamos el siguiente documento: http://www.seguridad.unam.mx/usuario-casero/secciones/phishing.dscs ¿Cómo puedo identificar si he sido víctima de un ataque de pharming? Si sospechas que has sido víctima de un ataque pharming puedes verificar el contenido del archivo hosts (sin extensión) ubicado en la carpeta: • C:\Winnt\system32\drivers\etc (en sistemas Windows 2000) ó • C:\WINDOWS\system32\drivers\etc (en sistemas Windows XP y Windows Server 2003) La estructura de un archivo hosts con un contenido normal se muestra a continuación: Un archivo hosts modificado podría contener información similar a la siguiente: Como puede observarse, existen distintas direcciones IP agregadas al archivo hosts que redireccionarán a tu navegador de Internet a sitios Web falsos. ¿De qué manera restablezco mi sistema a la normalidad? Si detectas que fuiste víctima de un ataque tipo pharming una forma de volver a la normalidad tu equipo es modificar manualmente el archivo hosts para que contenga solo las entradas predeterminadas. Como pudiste observar en la imagen que representa un archivo hosts normal, la única dirección válida debería ser 127.0.0.1 localhost, por lo que deberías eliminar cualquier otra dirección IP que aparezca en el mismo. Los pasos para realizar la modificación del archivo hosts son los siguientes: 1. Abre el Explorador de Windows de tú equipo. Ve al menú Inicio, Todos los programas, Accesorios y a continuación haz clic en Explorador de Windows. 2. Localiza la carpeta C:\Winnt\system32\drivers\etc (en Windows 2000) ó C:\WINDOWS\system32\drivers\etc (en Windows XP y Windows Server 2003). 3. Haz doble clic sobre el archivo hosts y ábrelo con el Bloc de Notas. 4. Elimina todas las entradas distintas a 127.0.0.1 localhost y a continuación haz clic en el menú Archivo y después en Guardar. 5. El archivo hosts debe quedar solamente con la entrada 127.0.0.1 localhost, similar al siguiente: 6. Otra posible solución es copiar el archivo hosts de un equipo del que estés completamente seguro que no ha sufrido ningún ataque al equipo comprometido. ¿Cómo me puedo proteger del pharming? Para prevenirte de este tipo de ataques te damos las siguientes recomendaciones: • No abras correos electrónicos de desconocidos. • No proporciones información sensible (usuarios, contraseñas, datos de tarjetas de crédito) por correo electrónico o a través de enlaces a sitios Web contenidos en mensajes de correo electrónico no solicitado. • No descargues archivos a través de enlaces contenidos en un correo electrónico no solicitado. • Instala y/o actualiza software antivirus y software antispyware. • Reporta los correos sospechosos a phishing at seguridad dot unam dot mx o incidentes at seguridad dot unam dot mx. Revisión histórica • Liberación original: 28 de agosto de 2005 • Última revisión: octubre de 2009 El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a: • Jesús Ramón Jiménez Rojas • Luis Fernando Fuentes Serrano • Oscar Raúl Ortega Pacheco • Rocío del Pilar Soto Astorga Para mayor información acerca de éste documento de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo DGSCA - UNAM E-Mail: seguridad@seguridad.unam.mx http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43