Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.
Qué qué dice que dijo? Aaa pues en pocas palabras pharming es cuando escribes la dirección de tu página favorita y sorpresa eres dirigido a la página del hacker… lo menos que puede pasar es que te roben la contraseña de tu correo, sin embargo como ahora todo se hace por internet incluyendo bancos, el pharming esta dedicado principalmente al robo de dinero. Esto es algo serio y es una problemática que he visto al menos en 20 Empresas al menos aquí en León, a pesar de que existen muchos avisos incluyento en Telmex la gente hace poco caso de esto hasta que ve que su cuenta ha sido hackeada y encima de todo le hechan la culpa al que repara las computadoras ingeniero de soporte.
Me pasó algo muy curioso cuando hace medio año les advertí a varias empresas de este problema via correo electrónico… el 90% ignoró el correo… algunas personas incluso argumentaron que era un correo muy largo y aburrido y por eso no lo leyeron, cuando llego a dichas empresas estaban hackeadas todas las computadoras y el modem de infinitum jejeje
A pesar de que se ha hecho un estudio de que existen 550,000 datos bancarios robados se sigue ignorando este problema hoy en día.
PHISHING Y PHARMING
Antecedentes:
Acceder a la cuenta de Banamex o cualquier otro banco para realizar una transferencia. Confiado en tener todo al día: Antivirus, firewall, anti-hack, se introduce número de cliente, clave personalizada y la clave dinámica que el “Net Key” me proporciona.
Sorpresa!!! Se despliega un mensaje de que el servidor se encuentra en mantenimiento y que lo intente en 24hrs. Que el servidor Apache esta caído, o simplemente no se muestra la página.
Acabamos de ser víctima de un truco conocido como Pharming.
Pharming: Es la modificación de los registros (DNS) logrando redireccionar las peticiones de algún sitio (En este caso fue Banamex) hacia otro sitio preparado por un hacker o espía.
¿Quiénes son suceptibles al ataque?
Cualquier usuario de Prodigy Infinitum con los siguientes modelos de Routers:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
¿Desde cuándo se conoce la vulnerabilidad?
15 de agosto de 2007
Descripción de la vulnerabilidad:
Los ruteadores 2Wire listados arriba son susceptibles a la vulnerabilidad cross-site request-forgery (XSRF) Un ataque remoto explota ésta vulnerabilidad para ejecutar acciones arbitrarias en el dispositivo afectado. Estas acciones pueden ser: Cambio de contraseña del router, Adición de rutas fijas DNS, Desactivar autenticación inalámbrica, resetear el modem, etc.
Sitios que son simulados por el hacker al 2 de febrero de 2008
banamex, banco del bajío, scotia bank, santander, hsbc
¿Cómo identificar y neutralizar el ataque por pharming o de hackeo?
Hackeo en tu PC
1. Archivo de HOSTS
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
Doble click y abrir con Bloc de Notas o WordPad
- Si encuentras los listados de banamex o de cualquier otra dirección que no sea
Localhost 127.0.0.1
fuiste hackeado.
Solución: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.
2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la sección de Conexión y luego a Red Local o LAN
- Si está activo el uso de un servidor PROXY
fuiste hackeado.
Solución: Desactiva la casilla de proxy y acepta los cambios.
3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la dirección siguiente:
http://home/management
- Si anteriormente habías configurado una contraseña y al colocarla no te permite entrar
- Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.
Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la dirección http://home/management
4. Ingresa la contraseña
5. Del menú de la izquierda busca dentro de Avanzada “Resolución de DNS”
6. Presiona el botón REMOVE o QUITAR sobre cada dirección agregada que aparezca
Puedes entrar directamente a esta consola de DNS con esta dirección http://home/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38
¿Cómo evitar el hack de mi modem 2Wire en el futuro?
Contra el pharming de tu router 2Wire NO existe, al 05 de Noviembre del 2008, una solución; ni por parte de Telmex, ni por parte de 2Wire.
La mejor protección es: conocimiento y perspicacia al usar internet.
Te puede llegar desde:
- De una tarjeta electrónica de gusanito.com. (La cual no envía Gusanito.com)
- De un correo falso del periódico El Universal con una liga a un video
Cómo identificar que un sitio es genuino:
a) La direción debe comenzar con https y no sólo http. La “s” básicamente indica que es una conexión segura.
b) Habiendo la “s” entonces también existirá un certificado que autentica al sitio que accesas, donde la conexión entre el servidor web y el cliente está cifrada.
c) donde esta el “candadito” denle doble click y chequen que tenga 3 palomitas en verde, que indican la veracidad del certificado, además si usan Internet Explorer utilicen la versión 7 que tiene un anti-phishing.
El hacking del 2Wire dado que afecta todos los equipos conectados al mismo, estará afectando equipos Windows, Mac, Linux, Unix, etc.
Inclusive si te conectas por equipos móviles: Blackberries, Palms, Cliés, UMPCs, etc.
Popularity: 1% [?]
Escribe un Comentario