¿Qué es un ataque de pharming?
El término "pharming" proviene de dos conceptos: phishing y Farming. Es un tipo de ciberataque de ingeniería social que manipula el tráfico de un sitio web para tomar posesión de la información privada de un usuario o instalar malware en sus computadoras. Para hacer esto, los pharmers crean un sitio web falso que es una réplica del sitio de destino y utilizan varios métodos para redirigir a los usuarios al sitio falso.
Los ciberdelincuentes suelen crear réplicas falsas de bancos y sitios web de comercio electrónico para recopilar nombres de usuario, contraseñas, números de seguridad social y detalles de tarjetas de crédito / débito.
¿Cómo se hace el pharming?
El pharming se aprovecha de la base de la navegación en Internet, específicamente, que la serie de letras que componen una dirección de Internet (xyz.ejemplo.com), debe convertirse en una dirección IP mediante un servidor DNS (sistema de nombres de dominio) para que la conexión continúe.
El pharming se realiza cambiando la configuración del host en el sistema de la víctima o manipulando un servidor DNS. Esto se logra de dos maneras:
Causar cambios en el archivo de hosts locales
El archivo de hosts locales se refiere a un directorio de direcciones IP y nombres de dominio que se guarda en la computadora local de un usuario. Por ejemplo, en sistemas macOS y Linux, este archivo se encuentra en / etc / hosts. El pharming ocurre cuando los ciberdelincuentes invaden el sistema de la víctima y alteran el archivo de hosts para redirigir a las personas al sitio web falso cada vez que intentan acceder al legítimo. Los ciberdelincuentes pueden ser muy hábiles para hacer que el sitio web falso parezca muy similar al real. Por lo tanto, las víctimas son sorprendidas y divulgan sus credenciales de inicio de sesión o información financiera a los estafadores.
Los ciberatacantes suelen utilizar técnicas de phishing para enviar malware a la computadora de la víctima, lo que provoca cambios en el archivo de sus hosts. El farmacéutico puede implementar un correo electrónico que contenga código malicioso y cuando la víctima haga clic en él, el malware se descargará e instalará en su computadora.
Suplantación del sistema de nombres de dominio (DNS)
El otro método importante que utilizan los pharmers para redirigir el tráfico es a través de la explotación de las debilidades de un servidor DNS y la falsificación de sus respuestas a las solicitudes de DNS. El efecto es que la víctima es desviada a un sitio web falso controlado por el pharmer, incluso si la dirección correcta está visible en la barra de direcciones del navegador. Los sitios web falsos se utilizan para recopilar detalles financieros e información confidencial de la víctima, y también pueden instalar virus en el sistema de la víctima.
Lo que hace que la suplantación de DNS sea más amenazante que los cambios en los archivos de hosts es que no tiene que depender de las acciones de la víctima y tiene consecuencias potencialmente peores porque los servidores DNS responden a las solicitudes de muchos usuarios y pueden "envenenar" a otros servidores DNS con los cambios del pharmer. a un registro DNS. Además, con la suplantación de DNS, la víctima puede tener una computadora libre de virus, pero aún así podría ser atacada por pharmers. Incluso si los hosts toman precauciones como escribir la dirección del sitio web de forma manual o con regularidad utilizando marcadores de confianza, estos no son suficientes para combatir la suplantación de DNS, porque la redirección maliciosa se produce después de que la computadora envía la solicitud de conexión.
Cuando los pharmers roban los datos personales y financieros de sus víctimas, pueden utilizarlos para cometer fraudes o venderlos en la web oscura.
¿En qué se diferencia el pharming del phishing?
A pesar de que existen resultados deseados similares entre pharming y phishing, los métodos utilizados difieren. El pharming está más inclinado a atacar el sistema DNS, mientras que el phishing se centra más en la manipulación de los usuarios. Aunque, como se explicó anteriormente, el phishing puede tener una función importante en la ejecución de pharming.
Phishing
Como nosotros mencionado antes, el phishing es un tipo de fraude cibernético en el que los atacantes envían correos electrónicos que fingen provenir de organizaciones confiables como bancos y compañías de tarjetas de crédito. Los correos electrónicos contienen enlaces maliciosos que, cuando se hace clic, llevan a la víctima a un sitio web falso. Debido a que el sitio web falso parece engañosamente similar al legítimo, se engaña a las víctimas para que ingresen sus credenciales de inicio de sesión, detalles de tarjetas y otra información confidencial.
Pharming
El pharming puede considerarse un tipo de phishing menos el factor de seducción. Esto significa que no es necesario que la víctima haga clic en un enlace malicioso para llevarla a un sitio web falso. En cambio, la víctima es enviada allí inmediatamente por un registro DNS falso o una entrada de archivo de hosts. Por lo tanto, el pharming se puede caracterizar como "phishing sin señuelo".
Casos históricos de pharming
El pharming se ha utilizado muchas veces en todo el mundo para atacar a víctimas individuales y organizaciones:
En 2007, al menos 50 organizaciones financieras en los Estados Unidos, Europa y Asia-Pacífico fueron atacados por pharmers. Su estrategia fue hacer un sitio web falso para cada objetivo y luego colocaron un código malicioso en cada uno de ellos. Los sitios web falsos obligaron a las computadoras de las víctimas a descargar malware troyano, que posteriormente descargó cinco archivos adicionales de un servidor ruso. Cada vez que los usuarios, cuyas computadoras fueron atacadas por el malware, intentaron acceder a alguna de las compañías financieras, fueron redirigidos al sitio web falso que recopiló sus nombres de usuario y contraseñas.
En 2015, en Brasil, pharmers implementaron correos electrónicos de phishing a los usuarios de enrutadores domésticos UTStarcom y TR-Link, pretendiendo representar a la mayor empresa de telecomunicaciones de Brasil. Los correos electrónicos contenían enlaces maliciosos que, al hacer clic, enviaban a la víctima a un servidor que atacaba su enrutador.
Luego, los pharmers aprovecharon la falsificación de solicitudes entre sitios (CSRF) vulnerabilidades en los enrutadores domésticos de las víctimas para acceder a las consolas de administrador de los enrutadores.
Una vez que los pharmers se infiltraron en el panel de control de administración del enrutador de las víctimas, ingresaron el nombre de usuario y la contraseña predeterminados. Si esto funcionó, procedieron a cambiar la configuración del enrutador a su propio servidor DNS.
En 2016, el proveedor de servicios de seguridad de sitios web Sucuri, descubrió un caso de pharming donde los piratas informáticos redirigían a las víctimas a sitios web que empleaban FreeDNS de NameCheap a través de la configuración de DNS modificada.
En 2019, Venezuela necesitaba ayuda humanitaria. Presidente Juan Guadio preguntaron miles de voluntarios enviar sus datos personales a un sitio web para que reciban instrucciones sobre cómo ayudar a las organizaciones internacionales a brindar asistencia. El sitio web requería que los voluntarios dieran información incluyendo su nombre completo, identificación personal, número de teléfono celular y dirección.
Cinco días después del lanzamiento de este sitio web, apareció un sitio web falso con un dominio y una estructura muy similares. Los dos dominios, con diferentes propietarios, se registraron en Venezuela con una sola dirección IP que pertenecía a los piratas informáticos. Por lo tanto, ya sea que los voluntarios accedieran al nombre de dominio legítimo o falso, su información personal terminó siendo introducida en el sitio web falso.
¿Cómo saber si es víctima de pharming?
Cualquiera de los siguientes problemas puede indicar que ha sido víctima de pharming:
- Las contraseñas de su banca en línea cambiaron sin que usted iniciara la acción.
- Hay mensajes o publicaciones en su cuenta de Facebook que no creó.
- Se han realizado facturas inexplicables a su tarjeta de crédito.
- Hay aplicaciones extrañas instaladas en su computadora que no descargó ni instaló.
- Tus cuentas de redes sociales han enviado solicitudes de amistad que no hiciste.
Como Hacer Protéjase del pharming
Las estrategias que se describen a continuación se consideran las mejores prácticas para prevenir un ataque de pharming:
Utilice un servidor DNS de confianza
Considere cambiar a un servicio de DNS especializado porque esto puede brindar más protección contra la suplantación de DNS.
Vuelva a verificar la URL del sitio web para ver si hay errores tipográficos
Los pharmers modifican el nombre del sitio web de destino cambiando uno o más caracteres. Entonces, por ejemplo, www.Onebank.example.com se convertirá en www.0nebank.example.com.
Solo haga clic en enlaces que tengan un certificado SSL legítimo
Un certificado SSL proporciona la garantía de que el sitio web que está visitando es seguro. Sabrá si el sitio web tiene un certificado SSL si su enlace comienza con HTTPS. Si ve que el sitio web comienza solo con HTTP, no hay garantía de que sea seguro y no debe divulgarle ninguna información privada.
Active la autenticación multifactor para sus cuentas en línea
La autenticación multifactor proporciona una capa adicional de protección en caso de que sus datos de inicio de sesión se vean comprometidos. Los ejemplos incluirían códigos de seguridad SMS, Google Authenticator, reconocimiento de voz y detección de huellas dactilares.
Firmar correos electrónicos con S/MIME Certificados
S/MIME (Extensión segura / multipropósito de correo de Internet) Los correos electrónicos utilizan la firma digital, lo que asegura a los destinatarios que el correo electrónico realmente proviene de usted.
¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página.
