Pharming

De FdIwiki ELP
Saltar a: navegación, buscar

¿Qué es?

Es una forma de fraude en línea basado en redirigir el trafico de un sitio web de confianza hasta la pagina fraudulenta. Está diseñado para el robo de datos o la infección de virus.

Su forma principal de atacar es suplantando al DNS de forma que el atacante interfiere en la traducción de la URL de una página y su dirección IP pero para ello es necesario que el atacante pueda instalar en nuestro sistema alguna aplicación o programa malicioso, por ejemplo un .exe, .zip, .doc,… siendo principalmente a través de correos electrónicos, pero también por descargas en la red o almacenamiento externo(USB)

El pharming es la evolución del phising ya que, en el phising los usuarios deben dar clic al link engañoso mientras que en el pharming redirigen directamente al usuario al sitio falso.

Ataque tipo pharming

A través de correos masivos es la forma más común para recibir un ataque pharming, los cuales resultan llamativos utilizando temas como: noticias falsas, envíos de tarjetas postales electrónicas simulando siendo una amistad, supuesto obtención de un precio, boletines informativos de instituciones públicas o privadas en los cuales se tienen que descargar un archivo adjunto

¿He sido víctima de un ataque pharming?

Para saber si has sido victima de un ataque pharming hay que verificar el contenido del archivo hosts situado en el directorio: En Windows: C:\Windows\System32\drivers\etc En Mac Os: /private/etc En Linux: /etc

Este archivo “es usado por el sistema operativo para guardar la correspondencia entre dominios de internet y direcciones IP” según Wikipedia.


El archivo hosts con el contenido normal tendría esta estructura

Pharming1.jpg

El archivo hosts modificado podría ser similar a este

Pharming2.jpg

Normalidad después de un ataque

Si has detectado que has sido atacado una forma de volver a la normalidad es modificar de forma manual el archivo hosts para que solo contenga las entradas predeterminadas. La única dirección valida de localhost debería ser la 127.0.0.1, con lo cual, cualquier otra IP debería ser eliminada. Procedemos a abrir el archivo hosts ubicado en las rutas anteriormente mencionadas y accedemos a la modificación borrando las IP distintas a localhost 127.0.0.1 quedando solamente esa entrada.

Prevención

Se recomienda:

  • Se comienza con la instalación de anti-malware y antivirus potente con un conjunto de técnicas que bloqueen este tipo de ataques y mantener nuestro sistema operativo actualizado.
  • Lo más importante es saber claramente que correos electrónicos pueden ser sospechosos, ya que se usan nombres e imágenes de empresas no ficticias que usan de gancho premios, descuentos,…
  • Comprueba la fuente de información de tus correos, tu banco nunca te pedirá contraseñas y datos personales por correo, por ejemplo. Nunca reveles tus claves ni contraseñas ni a personas de confianza
  • Utiliza web seguras (https ://).
  • Cambia con frecuencia tus contraseñas combinando caracteres.
  • Evitar utilizar Redes Wi-Fi públicas

Toda prevención es poca y lo más importante, nunca facilitar datos por correo ni acceder a links desde correos y no solo va asociado a entidades bancarias, pueden utilizar webs populares de gancho (Facebook, Pay Pal,…).

Referencias

Enlaces Externos

"Fraude con Pharming - ¿Qué es y cómo funciona?"

Videos

"¿Qué es Pharming?"

"Pharming attacks"