Los delincuentes informáticos han evolucionado el llamado «phishing», el timo más extendido y que consiste en el envío masivo de correos en los cuales se suplanta la imagen de un banco para conseguir del usuario el número de sus cuentas, claves y otro tipo de información sensible.
Estos delincuentes piden a los clientes de los bancos estos datos con el pretexto, por ejemplo, de actualizar sus claves.El «pharming», según los expertos consultados, es más peligroso y consiste en manipular el archivo de dominios que utiliza el usuario para desviarle, cuando teclea la dirección de la página real del banco, a otra web falsa y que suplanta a la original, sin que la víctima se percate.
Para acceder al ordenador atacado, los delincuentes envían un correo aparentemente vacío, que al abrirlo, activa un programa que les permite modificar los nombres de dominio y le redirigen a una página falsa cuando el usuario quiere acceder a la web de su banco.
De vital importancia es que cuando recibas un correo desconocido no lo abras, con esto te evitarás multitud de virus, estafas y demás peligros que circulan por Internet.
Fuente: elmundo.es
Esto es un claro aviso del peligro de usar cuentas root en los sistemas (o administrador en Windows).
Ya, lo malo es que en Windows con una cuenta limitada no es posible hacer tus tareas habituales, al contrario que en Linux.
SALU2
Yo lo siento pero yo nunca utilizare estos sistemas por internet, aunque los bancos digan que son muy seguros si quiero hacer algo me voy al banco directamente y punto.
Siento disentir de mis compañeros pingüineros, pero este tipo de ataque tiene poco que ver con la plataforma del ordenador particular atacado. El pharming centra sus ataques en los servidores DNS, así que la política de seguridad ha de ser adoptada por ellos: nosotros poco podemos hacer. Un navegador al que se le pase una IP falsa por DNS se tragará la web falsa sea IE bajo Windows o Konqueror bajo Linux.
Soy un profano en esto de la informatica pero si con un firewall le creamos 2 reglas para las DNS primaria y secundaria tal y como se explica en nautopia ¿sirve para evitar esto?
Gracias
La amenaza esta no está en los servidores DNS, sinó en los sistemas de los usuarios; las modificaciones se llevan a cabo en los ficheros de hosts del sistema como por ejemplo /etc/hosts en Linux, o c:\windows\system32\drivers\etc\lmhosts en Windows.
Son esos ficheros que el sistema operativo lee antes que hacer una consulta al DNS los que se envenenan para conseguir este fraude, y el acceso a estos ficheros lo regulan los permisos del sistema operativo, por loq ue la plataforma sí que puede ser decisiva para evitar estos ataques.
Las tres o cuatro definiciones que he leído de «pharming» no decían nada del HOSTS, sino de atacar directamente servidores DNS. A ver si se aclaran.
Tenemos una discusión sobre si ataca los servidores DNS o modifica el archivo HOSTS. Ninguno de los dos métodos se soluciona con las reglas de DNS que mencionas:
— Si ataca servidores DNS, son los que has autorizado. El firewall no detecta si la información que devuelven es verdadera o falsa.
— Si modifica el archivo HOSTS, los DNS nunca son usados.
Pues tienes razón. Había leído directamente la definición de la Wikipedia cuyo enlace había puesto Jexul. Pero las noticias que hablan del tema mencionan lo que parece una clara modificación del archivo HOSTS. De todas formas, desde ADSLAyuda venimos avisando desde hace tiempo que hay que poner dicho archivo en modo «sólo lectura» o incluso quitarle permisos de modificación (en NTFS).
No pasa nada por abrir un correo electrónico. Un correo electrónico es texto y no es código. Por tanto, abrir un correo electrónico jamás de los jamases podrá hacer nada al ordenador. Otra cosa es abrir y ejecutar un documento adjunto. Eso sí puede ser un programa (código) malicioso.
Dicho sea de paso, lo mejor es no usar Windows. Mac OS X o Linux son muchísimo más seguros. Mac OS X no tiene ni un solo virus. Ni uno. Windows tiene más de 70.000 virus y saliendo nuevos casi todos los días.
¿No puede llegar un virus en un documento de Word?, pues yo tenía entendido que sí.
Y para no caer en la tentación es pasar de correos desconocidos y atrayentes.
Hombre, pero los virus que llegan en un documento de Word no están en el propio texto, sinó en las macros. Y normalmente ya te avisa de si quieres ejecutar una macro (código que será interpretado y ejecutado en tu máquina), pero el hecho sólo de leer un documento de texto no creo que sea peligroso.
Aunque tampoco estoy muy al día en temas de virus 😛
Repito:
UN VIRUS ES UN PROGRAMA.
UN TEXTO JAMÁS ES UN PROGRAMA.
De modo que un archivo e-mail de texto o un texto de un procesador de textos jamás puede ser un virus.
Los archivos Word pueden llevar virus PORQUE PUEDEN LLEVAR MACROS ASOCIADOS, QUE SÍ SON PROGRAMAS Y POR TANTO SÍ PUEDEN LLEVAR VIRUS. La solución es configurar Word para que avise si el archivo que vamos a abrir lleva macros. Y si los lleva, no abrirlo hasta que comprobemos con un antivirus que no está infectado.
Lo mejor de todo es no crear nunca archivos Word con macros. Estos de M$ son la pera, siempre creando problemas…
El término «en general» no sirve cuando hablamos de seguridad. Porque «en general» algo no puede tener virus, pero como te toque «la excepción», los daños pueden ser cuantiosos. Así que veo varios errores en tu exposición:
— ¿Un correo es siempre texto? ¿Y el mail en formato HTML?
— No hace falta que un virus esté incluido en un programa. Hace tiempo que hay ataques incluidos en archivos de datos. ¿Has oído hablar de los desbordamientos de buffer? Evidentemente que son virus personalizados para una sola aplicación, pero cuando la susodicha es mayoritaria…
— Los archivos en texto plano (TXT, ASCII, etc) son los más inofensivos, lo que no quiere decir que sea imposible meter un virus en ellos. La problemática para un creador de virus es que un visualizador de texto plano es un programa tan tan tan sencillo (como el mecanismo de un silbato), que encontrar una vulnerabilidad se hace inviable. Pero no quiere decir que la teoría no lo admita.
La direccion de una pagina web siempre tiene mas validez lo que dice el archivo dns a lo ke dice el archivo host, te aliento a ke hagas la prueba, sino imaginate que de hackeos se pueden hacer haciendo uso de un programa ke te lo hace un chaval de primero de la facultad.
Eso esta controlado my friend sino ya tendriamos el agujero de seguridad mas gordo de windows.
Ojo otra cosa es poner un nombre al host no existente en las dns con lo que se lo comeria pero eso si olvidate de poner cualkier *.com *.es *org o algo asi porque eso no se lo come.
Se nota que a ti no te llego i love you prueba a cojer cualkier programa *.exe o video.avi o mpg y renombralo a *.txt a ver ke te sale, el arte del creador de virnus no se limita a crear el codigo malicioso sino a engañarte, por otro lado los script si ke te pueden undir en un correo asike cuidadin y menos confianza
En fin, qué os voy a decir. Si no lo entendéis es mejor dejarlo.
Mañana lo explicaré a mis alumnos en la Universidad…
Perdona que te diga pero por aqui hay profesionales que no nos escondemos detras de un pupitre de profesor en la facultad y nos enfrentamos a los problemas empresariales todos los dias , asique si fueras tan amable de dejar tu arrogancia para tus alumnos a los cuales podras impresionar pero no a nosotros te lo agradeceriamos.
Tambien decirte que si esa es tu manera de educar(no explicar tus argumentos)seguramente seas un profesor pesimo.
Jose ******* jefe de Proyectos Indra.
No ha sido mi intención ser arrogante. Perdón si así se ha entendido. Lo diré de nuevo:
UN VIRUS ES UN PROGRAMA.
UN TEXTO JAMÁS ES UN PROGRAMA.
Un texto es sólo eso: un texto. Excluye específicamente macros, etc.
En eso estamos todos de acuerdo, pero me parece que no has entendido a nuestro compañero mced cuando comentaba lo de los desbordamientos de buffer.
Por mucho que un texto sólo sea texto, un correo sólo un correo que pueda llevar código html, estarás utilizando un programa que procesa esos datos. Ese programa puede tener vulnerabilidades (entre ellas de desbordamiento de pila de ejecución, como comentaba mced) que pueden provocar la ejecución de código arbitrario, así que no siempre es estrictamente necesario necesario que te envíen un fichero ejecutable de por sí, si no que a veces el daño se hace aprovechando las muchas vulnerabilidades que tienen los distintos programas.
Nadie te ha negado lo que dices, pero en ello no está la exclusividad que tu mantienes.
No sé a qué «archivo DNS» te refieres, yo he hablando de servidores DNS.
Gracias por ahorrarme la parrafada, Nacx.
No entiendo exactamente lo que dices, pero se consulta ANTES el fichero de hosts del sistema que el servidor DNS. Si en él se encuentra una parjeta dominio-ip ya no se envía la consulta al DNS y se realiza la conexión hacia esa IP.
Estaríamos buenos si se consultara antes el DNS, cada vez que usaras el nombre de host de una máquina de tu LAN se harían peticiones a los DNS, estos servidores a otros DNS (porque no encontrarían la IP correspondiente) etc.
Si quieres llamar a esto el gran agujero de seguridad, perfecto, pero existe y se conoce desde hace bastante tiempo y siempre ha funcionado así; primero se consulta el fichero de hosts, yu si ahí no se encuentra la IP de la máquina, se consulta el DNS.
Peeeerrrooooo chicos esa vulnerabilidad de la que hablais la aprobecha un programa provocando el overflow en ningun caso un texto ASCII tiene conciencia de si mismo ni logica ni nada para provocar tal desbordamiento.
Perdona pero te equivocas.
Un overflow o desbordamiento de buffer lo puedes provocar con un texto ASCII o con cualquier otra cosa, siempre que, por ejemplo, copies más datos de los que caben en el buffer. Esto es uan deficiencia de programación que tienen, por ejemplo, funciones de la librería estándard que todos conocemos, como strcpy().
Esta función, por ejemplo, no verifica el tamaño del buffer cuando empieza a copiar datos. Si por ejemplo un editor de texto utilizara esta función podrían elegirse bien los datos de entrada (sí, texto ASCII que procesará el programa) para aprovechar esa vulnerabilidad y provocar un desbordamiento de la pila de ejecución.
Da igual en que formato estén los datos. eso de que ‘un texto ASCII no tiene conciencia de si mismo’ no se que sentido tiene, pero lo que está claro es qeu da igual el tipo de datos de entrada y el formato en el que estén. El caso es cómo se utilizan esos datos de entrada para aprovechar las deficiencias de programación, independientemente del tipo de estos datos.
Pero eso no es un virus en el sentido de que te vaya a borrar el disco duro y cosas así. En el peor de los casos es un fallo (bug) del programa de correo. Se corrige y a correr… Un texto, es un texto y no un virus.
Sí, pero esa vulnerabilidad del programa (que evidentemente se corrige, por algo salen parches y nueas versiones de las cosas :P) podría ser utilizada, por ejemplo, para suplantar el fichero de hosts, que es el tema que nos atañe.
Un desbordamiento de buffer bien aprovechado puede ejecutar código. Otra cosa es que sea MUY difícil, que lo es. Materia fuera del alcance de la mayoría de los gilipollas que programan los virus actuales.
puede que se compruebe primero el fichero host pero si dicho nombre de dominio tiene extension .org .com .es y coincide con un nombre de dominio existente no te funcionara y hara uso de la ip de la tabla de enrrutamiento del servidor de nombres, pero como os he dicho antes porfavor no seais cabezones y hacer la prueba que es muy sencilla meter en el windows/system32/drivers/etc/hosts.txt 127.0.0.1 http://www.lacaixa.es y ya vereis como al poner esta direccion os manda a la web original
Pero si ya nos ponemos a hablar de vulnerabilidades olvida los virus, un virus te infecta con posteriores consecuencias y multitud de acciones que todos conoceis, pero aprobechar una vulnerabilidad no implica hacer uso de ningun virus simplemente conocer dicha vulnerabilidad y explotarla, se podria decir incluso ke la misma vulnerabilidad es un virus a la espera de que lo ejecuten, os pondre un ejemplo, Apache en la version 1.2 permitia escalamiento jerarquico en la estructura de su directorio haciendo uso de ../ en la url dirias ke el uso de ..7 es un codigo malicioso? xd yo diria que no, decir que explotar las vulnerabilidades son acciones viricas es tan falso como decir que una inyeccion SQL es un codigo malicioso, falso falso y falso asike no os comais mas la cabeza un texto plano en ASCII jamas de los jamases sera un virus.
A lo de que no tiene conciencia de si mismo me referia a que no posee deamons para los menos entendidos programas que llegada una fraccion horaria se auteoejecutan
Me parece qeu todos sabemos de sobra las diferencias que hay entre una vulnerabilidad y un virus.
Él motivo por el que hemos empezado a hablar de ello, es a raíz de un comentario (no sé si tuyo, porque al hablar desde el anonimato no sé quién hace los comentarios) que decía que ‘no pasa nada por abrir un correo; sólo es texto’. Únicamente se ha dicho, que por mucho que sólo sea texto, eso de que ‘no pasa nada’, no tiene por que ser siempre cierto. Simplemente eso. No busques más, porque no lo hay. No intentamos decir que las vulnerabilidades son virus, simplemente responder a ese comentario, quitando la exclusividad de un ataque que viene en un correo a los virus.
Por desgracia no tengo una máquina Windows a mano para probarlo, pero he editado el fichero /etc/hosts de mi Linux y he asociado el dominio http://www.terra.es a la IP de un ordenador de mi LAN, y al hacer pings a terra era ese ordenador de mi LAN quien respondia, así que se ha cogido la IP que figuraba en el fichero de Hosts.
Pero ese tipo que consecuencias son muy «light». Normalmente se entiende por virus algo realmente dañino que te puede borrar el disco duro, por ejemplo. Un texto jamás puede hacer eso. En ese sentido, un texto nunca puede ser un virus. Lo otro son errores (bugs) de los programas, que se arreglan y ya está. No confundamos las cosas y no las saquemos de contexto, porque entonces nos perdemos y todo sería posible. Llamemos a las cosas por su nombre.
C:\>ping http://www.lacaixa.es
Haciendo ping a http://www.lacaixa.es [127.0.0.1] con 32 bytes de datos:
Respuesta desde 127.0.0.1: bytes=32 tiempo<10ms TTL=128
Respuesta desde 127.0.0.1: bytes=32 tiempo<10ms TTL=128
Respuesta desde 127.0.0.1: bytes=32 tiempo<10ms TTL=128
Respuesta desde 127.0.0.1: bytes=32 tiempo<10ms TTL=128
Windows 2000.
No sé cuál será tu definición de virus.
Ejemplo hipotético: el Bloc de Notas tiene una vulnerabilidad mediante la cual, abriendo un archivo de texto de un millón de caracteres, se provoca un desbordamiento de buffer y se bloquea, pudiendo ser aprovechado para la ejecución de código. Ese código se puede comportar como cualquier otro virus: cambia «Bloc de Notas» por «servicio RPC de Windows 2000/XP» y llama a ese texto «Blaster» y ya tienes un bonito virus que aprovecha un desbordamiento de buffer.
Insisto: el Bloc de Notas es un programa tan sencillo, que encontrar un buffer que explotar es casi imposible (y síntoma de una inutilidad suprema por parte de sus programadores). Pero cámbiese «Bloc de Notas» por «motor Trident» usando por el Outlook para renderizar mails, y la cosa comienza a tener más cuerpo.
Solución: tira Windows y usa Mac OS X o Linux, que antes de ejecutar ese tipo de código maligno te piden permiso mediante tu contraseña. Al final el problema va a ser Windows. Hay mas de 70.000 virus en Windows, sólo unos pocos en Linux que no tienen transcendencia y ni uno solo en Mac OS X. A buen entendedor…
Yo he visto la notícia ahora mismo, y les veo algo «bastante« desactualizados…
Pues eso existe hace mucho tiempo, lo que ahora utilizaban era la falsificación del certificado SSL puerto 443 lo que conoceis como Conexión Segura https:// que es el que solicita el certificado.
Lo que hacen es que ustedes entren ahí redireccionando de una web falsa imitando la web real, para que introduzcan su clave… y tras introducir la clave la guardan y les envian a la web original donde se pensaban que estaban accediendo, por eso no se sospecha nada… y menos sospecha si «falsifican» el certificado de autentificación los PKI.
Volvamos al principio… estan muy desactualizados.
..Links de Interés..
06/09/2005 – Salto de restricciones de seguridad en mod_ssl
01/08/2005 – El coste de los problemas de seguridad
26/05/2005 – Nueva generación de phishing rompe todos los esquemas
by drspace
Son cosas diferentes.
Una el el phising/pharming y otra el tema de los virus.
No he visto que nada de lo que dices tenga que ver con la modificación del archivo HOSTS que se está tratando en este hilo.
Lo dicho: Mac OS X no tiene esos problemas. El problema es Windows.
Esto es lo que indica la fuente que cito.
Salu2.
Erre que erre. Quizá no con el pharming, que implica ejecución de código; pero en el phishing puede caer cualquiera, independientemente del código. Tiene mucho más de ingeniería social que de vulnerabilidades del sistema operativo.
Para no caer en el phishing hay un método infalible: jamás accedas a tu banco haciendo click en un enlace e-mail o de otro tipo. Accede copiando y pegando la dirección de tu agenda o de otro documento tuyo o simplemente tecléala. En definitiva, las direcciones de los e-mail pueden no ser lo que parecen, pero las direccioens que tú tecleas o copìas y pegas de sitios fibles tuyos (tu agenda) son fiables.
100% de acuerdo. Es más, yo lo resumo siempre en: nunca pinches en un enlace contenido en un E-mail.
Si el servidor DNS esta envenenado da igual que pinches el link o que escribas manualmente la direccion.
Lo de los ficheros Host me parece que exactamente lo mismo.
Correguidme si me equivoco.
Saludos.
No hay nada que corregir, estás en lo cierto. Por eso, como medida adicional de seguridad es buena idea guardar en favoritos/bookmarks la IP del banco.