Digital Fraud, Data Leakage, Threat Intelligence

Ataques de pharming: la verdad que nos rodea

Por Ricardo Maganhati Junior en
COMPARTIR

La mayoría de los consejos y orientaciones que hemos visto sobre cómo proteger digitalmente (así sea un usuario/administrador corporativo o no), implican utilizar un antivirus actualizado, evitar hacer clic en enlaces maliciosos, contar con un firewall que realice el bloqueo de los puertos, un IDS, etc. ¿Pero y si existiese un ataque que escapase de este control? ¡Sí, estamos hablando del pharming! Los servidores DNS maliciosos externos a la organización son un ejemplo de esos casos.

 

¿Qué es un servidor DNS?


El protocolo DNS (Domain Name System o Sistema de nombres de dominio) que viene junto con los servicios de DNS (como por ejemplo el Bind), realiza la traducción de una dirección amigable (www.axur.com) a una dirección IP (54.232.245.33). De esta forma, no es necesario adornar las direcciones IP de los sitios que queremos visitar. Una dirección IP sirve como una identidad de todo lo que está conectado a la internet, lo que incluye la dirección IP de su conexión y la IP del sitio que esté visitando.

 

Ataques de pharming: ¿qué son y cómo suceden?


Los ataques dirigidos a los servidores DNS existen hace muchos años con el objetivo de engañar a los usuarios. ¿Pero cómo “engañar a los usuarios”?

Ese es el rol del Pharming. El pharming es un tipo de ataque que hace posible la redirección del tráfico de un sitio legítimo hacia un sitio falso controlado por el atacante. De esta forma, se puede producir el robo de datos sensibles, como nombres de usuario, contraseñas, datos bancarios, entre otros.

Cuando digita unsitiocualquiera.com en su navegador, es necesario que se produzcan algunos procesos en el background para que la página deseada se cargue en su navegador. Los atacantes manipulan estos procesos de manera tal que sus solicitudes, mediante las cuales usted pensaba que se dirigía a un sitio legítimo, lo lleven a un sitio falso. 

Normalmente, el sitio falso ofrece la misma imagen visual que el legítimo y así logra engañar muy fácilmente a las víctimas que, sin saberlo, descargan archivos de malware en sus notebooks y smartphones y/o proporcionan datos sensibles al ingresarlos en esos sitios.

 

Tipos de ataque de Pharming


Malware

Al insertar la IP de un servidor del atacante junto a los dominios ya existentes o al incluir nuevos dominios que ya traen la IP maliciosa incorporada, se infecta la computadora de la víctima con un malware que modifica el archivo hosts de su sistema operativo (Linux, Mac o Windows).

De esta forma, al digitar una dirección (y presionar enter) el sistema operativo consultará al archivo hosts en busca de la dirección IP correspondiente a la dirección digitada —en este caso, la IP del servidor del atacante— y normalmente cargará un sitio falso bastante similar al auténtico.


DNS Poisoning (Envenenamiento de DNS)

Luego de explorar las vulnerabilidades del sistema DNS, el ataque “secuestra” los servidores y redirige todo el tráfico a los servidores maliciosos. Normalmente, los servidores DNS mantenidos por operadoras telefónicas, que brindan internet a usuarios y empresas, son los más buscados porque la cantidad de víctimas potenciales es enorme: ¡pueden ser miles!

Y además el enrutador de su residencia, que normalmente es de la operadora y posee wifi, puede ser un vector de ataque ya que almacena en caché el nombre de los sitios (y sus respectivas IP) que visitaron los dispositivos que están (o estuvieron) conectados a su red de wifi. Un malware creado específicamente para infectar dispositivos puede modificar las IP de los sitios visitados que están en el caché (grabados en el disco) y transformarlos en las de los servidores ilegítimos.


Rogue DNS

Un Rogue DNS es básicamente un servidor DNS falso. Hace lo mismo que un servidor legítimo: traducir los nombres de dominio a direcciones IP. Sin embargo, la gran diferencia consiste en que puede traducir las direcciones que se digitan en el navegador a las IP de servidores maliciosos.

La mayoría de los usuarios, corporativos o domésticos, pueden depender de servidores DNS que los proveedores de internet (u operadores telefónicos) atribuyen automáticamente. Las computadoras y servidores infectados por malware modifican sus configuraciones de DNS de manera que la IP de DNS que sería atribuida por el proveedor de internet “dé paso” al DNS malicioso del atacante.

Los enrutadores de internet (como el de la operadora que tiene en su casa o empresa) también pueden sufrir esta modificación. De esta manera, las IP de servidores de DNS pasarán a los servidores controlados por los atacantes.

Un malware, que explore alguna vulnerabilidad de firmware para modificar las direcciones IP de los sitios visitados a IP de sitios maliciosos, también podrá modificar la IP de DNS que la operadora telefónica atribuya automáticamente y pasarla a las IP de DNS malicioso.

En muchos casos, para poder navegar, los usuarios utilizan la IP del enrutador como un servidor de DNS. Si el enrutador estuviera infectado y fuera el DNS estándar de la red, todo el tráfico de internet se dirigirá a un Rogue DNS que llevará a cabo la resolución de nombres de dominio a IP falsas.

 

Cómo se puede proteger contra un ataque de pharming


Para el ataque de pharming malware, es importante que:

  • Cree una contraseña robusta para el enrutador de su red. Y NUNCA USE la contraseña estándar que está escrita en la parte de abajo del equipo. Los ataques a gran escala contra enrutadores domésticos normalmente tienen como foco equipos que utilizan contraseña y usuarios estándar. 
  • Utilice un administrador de contraseña. Va a necesitar un administrador de contraseñas (por ejemplo, LastPass) que complete automáticamente los campos de usuario y contraseña cuando ingrese a una página de login. A simple vista, un sitio falso puede parecer verdadero, pero no se puede engañar tan fácilmente a un administrador de contraseñas. Al ingresar al sitio incorrecto, el administrador de contraseñas normalmente no podrá reconocer el sitio y entonces, no completará automáticamente los campos con sus datos.
  • Utilice un buen programa antimalware. Los ataques de phishing (sitios falsos) no son un tipo de malware de computadora y los antivirus tradicionales pueden no brindar protección contra ellos. Sin embargo, un antimalware avanzado podrá bloquear el malware que esté intentando alterar el archivo hosts de su computadora, así como bloquear sitios sospechosos como resultado de un DNS Poisoning.
  • Utilice otro servidor de DNS. Los usuarios y empresas no pueden hacer nada para impedir que un ataque de DNS Poisoning suceda, por lo que las empresas que ofrecen el servicio DNS (como las operadoras telefónicas) deben mantener la seguridad de sus sistemas. Por otro lado, se puede escoger como el DNS estándar de su conexión a las alternativas populares como Google DNSOpenDNS y Cloudflare, y así podrá garantizar una mayor seguridad y privacidad al navegar en internet.
  • Oriente a sus clientes y proteja la presencia digital de su marca. Como la ciberdelincuencia actúa constantemente y comparte técnicas entre sí, se debe estar alerta para descubrir estos canales maliciosos en todo momento. Usar herramientas de monitoreo que localicen los lugares donde se alojan los ataques para eliminarlos rápidamente es una buena medida, y por supuesto, también alertar siempre a los clientes sobre las prácticas recomendadas para la seguridad. ¡Hoy en día, la transparencia lo es todo!
event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Ricardo Maganhati Junior

Profesional de Ethical Hacking y Cybersecurity formado en la UNICIV, con experiencia en Pentest, respuesta a incidentes, seguridad digital y concientización en seguridad de la información. Además de eso, me gusta escribir y transmitir mi conocimiento a otras personas. ¡El conocimiento debe ser libre!