Ir al contenido

Seguridad activa contra el phishing y el pharming


mced

Publicaciones recomendadas

Seguridad activa contra el phishing y el pharming

El phishing (con su nueva variante, el pharming) parece ser una de las plagas de los últimos tiempos en el panorama de seguridad informática. Sus consecuencias van más allá de una pérdida de datos o corrupción del sistema operativo: atacan directamente nuestras cuentas, en el caso cada vez más frecuente de que seamos usuarios de banca por internet. Es el ataque más habitual, pero no el único: objetivos también pueden ser cuentas de webs no bancarias pero relacionadas con el dinero como eBay o simples buzones de correo electrónico como Gmail.

Sus mecanismos se basan más en técnicas de ingenería social (engaño) que en vulnerabilidades del sistema operativo. Por tanto, no es recomendable dejar toda la seguridad en manos del antivirus o del cortafuegos y sí adoptar una serie de medidas de prevención muy sencillas de llevar a cabo y que garantizan una protección prácticamente completa frente a estos ataques.

Son los cinco mandamientos anti-phishing.

1. No pincharás en los links de los E-mails.

Éste es el principal, el imprescindible, la primera premisa de todo usuario de ordenador preocupado por el phishing. Siguiendo este sencillo consejo a rajatabla conseguiremos evitar noventa y nueve de cada cien ataques de este tipo.

La comodidad es enemiga de la seguridad, afirma el dicho informático. Nos llega un mail avisándonos de algo generalmente importante y urgente, e invitándonos a pinchar en un bonito e inocente enlace. Como somos muy comodones, lo hacemos. El enlace nos traslada a una web calcada de la original, donde se nos pide usuario y contraseña. El resto se puede imaginar: datos y cuenta bancaria en poder del atacante, para que haga con ella lo que quiera.

El método de actuación correcto si recibimos un E-mail con enlaces es el siguiente:

-Si hace referencia a una web CONOCIDA por nosotros y en la que HAY implicadas contraseñas: ignorar el E-mail, por alarmista que sea su contenido. Un banco jamás nos va a amenazar con cancelar una cuenta en 24 horas si no nos metemos en su web ¡imagináos que os pilla de viaje! Si nos pica la curiosidad, siempre podemos confirmar el contenido del mensaje por teléfono. Si tenemos que meternos en la web, repetimos, nunca lo haremos pinchando en un enlace o imagen contenido en un correo electrónico. La metodología correcta es abrir una ventana vacía de nuestro navegador favorito y acceder desde ahí a la página, mejor desde un favorito/bookmark que tecleando la dirección en la barra (esto lo explicaremos más adelante).

-Si hace referencia a una web DESCONOCIDA por nosotros y en la que HAY implicadas contraseñas: ignorar el E-mail. Posiblemente se trate de un intento de phishing que ha ido a parar a la víctima equivocada. Como los atacantes no saben a priori qué banco maneja cada "objetivo", envían indiscriminadamente sus mails esperando que al menos un porcentaje de los destinatarios use los servicios de la página web falsificada.

-Si hace referencia a una web en la que NO HAY implicadas contraseñas: en este caso la amenaza de phishing/pharming desaparece, aunque no bajemos la guardia: la página destino puede alojar virus u otras amenazas. O simplemente ser falsa. Es preferible seleccionar la dirección del enlace, copiarla al portapapeles y pegarla en el navegador, que pinchar en él.

2. Protegerás tu archivo HOSTS.

Este archivo, presente en casi todos los sistemas operativos con soporte TCP/IP (todos los que pueden conectarse a internet), es uno de los blancos perfectos para las bromas de oficina: su modificación puede hacer que un compañero, al intentar meterse en su cuenta de correo web, acabe en una página porno. Y da lo mismo que teclee perfectamente la dirección en el navegador.

Pero esto lo saben también los delincuentes, que aprovecharán el menor descuido para introducirnos algún virus que modifique el archivo hosts. Lo que haría que, al meternos en la página www.mibanco.com, incluso con los métodos seguros explicados en el primer mandamiento, nos trasladara a una www.mibanco.com falsa, que inmediatamente se apropiaría de nuestra contraseña tras escribirla nosotros.

La metodología a seguir para proteger el archivo hosts implica dos pasos: limpiarlo y bloquearlo. Sólo hay que hacerlo una vez y no se tarda más de diez minutos.

-Limpieza: aún más peligroso que tener un hosts al descubierto, es bloquearlo cuando ya ha sido infectado. Así que el primer paso es verificar que no ha sido modificado externamente; en caso afirmativo, su limpieza es muy sencilla.

A. Arrancamos el Bloc de Notas (Inicio > Ejecutar > notepad)

B. Seleccionamos el archivo hosts y lo arrastramos y soltamos dentro de la ventana del Bloc de Notas. Según la versión de Windows, hosts estará localizado en diferentes sitios e incluso cambiará su nombre:

·C:\Windows\lmhosts si usamos Windows 95, 98 ó Millenium.

·C:\Winnt\System32\drivers\etchosts si usamos Windows 2000.

·C:\Windows\System32\drivers\etchosts si usamos Windows XP.

C. Su contenido se divide en dos partes: una de comentarios, cada una de cuyas líneas comienza por una almohadilla (#); y el resto, que es realmente la parte funcional del archivo. Un ejemplo típico lo tenéis en el Anexo I que se incluye al final de este documento.

D. Pues bien, la parte de comentario hay que ignorarla. En el resto, debemos fijarnos en que no existan líneas sin almohadilla o bien que haya una sola: 127.0.0.1 localhost.

E. Si hay más líneas, debemos eliminarlas y guardar el archivo. Si no hay más líneas, simplemente cerraremos el Bloc de Notas sin guardar cambios.

F. Algunas redes corporativas utilizan el archivo hosts para asignar nombres de equipos sin demasiadas complicaciones. Si nos encontramos en esta situación, debemos consultar con el administrador de la red antes de eliminar cualquier línea del archivo.

G. Así mismo, algunos usuarios lo utilizan como método anti-banners y anti-adware. Si el PC no es nuestro, debemos consultar a su dueño antes de eliminar cualquier línea del archivo.

-Bloqueo: la manera más sencilla de impedir modificaciones no autorizadas del archivo hosts es abriendo sus propiedades y activando la casilla "sólo lectura".

Debería bastar con esa acción; pero si usamos el sistema de archivos NTFS (Windows 2000, XP, etc) y una cuenta de administrador, una forma de protegerlo aún más es quitarle los permisos de modificación.

Preliminar: si usamos Windows XP, tendremos primero que entrar en Mi PC > Herramientas > Opciones de Carpeta > pestaña Ver y desmarcar la opción Utilizar uso compartido simple de archivos. A continuación, pulsaremos el botón Aplicar a todas las carpetas y saldremos del menú con Aceptar.

xp.uso.compartido.png

A continuación, nos dirigiremos al archivo hosts y sacaremos sus Propiedades. En la pestaña Seguridad, tenemos que desactivar su configuración heredada:

·En Windows 2000, simplemente desmarcaremos la casilla Hacer posible que los permisos heredables.... Cuando seguidamente nos pregunte si queremos Copiar, Quitar o Cancelar, escogeremos Copiar.

·En Windows XP, accederemos a la sección Opciones Avanzadas. Allí desmarcaremos la opción Heredar del objeto principal.... Cuando seguidamente nos pregunte si queremos Copiar, Quitar o Cancelar, escogeremos Copiar. Aceptamos para salir del submenú.

Ahora tenemos que eliminar todos los usuarios menos SYSTEM y los Administradores. Por último, quitaremos a estos dos todos los permisos menos el de lectura (Leer).

xp.hosts.solo.lectura.png

De esta forma, nuestro archivo hosts estará a salvo de cualquier modificación.

3. Usarás los bookmarks/favoritos de tu navegador en vez de teclear la dirección.

En tutoriales de prevención contra el phishing, se suele recomendar teclear directamente la dirección de nuestro banco en la barra de direcciones de nuestro navegador. Si bien esto es claramente preferible a romper el Primer Mandamiento (pinchar en un enlace de un correo electrónico, recordemos), es un método vulnerable a la acción de los keyloggers.

Los keyloggers son programas que se instalan clandestinamente en nuestro sistema, capturando todas las pulsaciones del teclado y enviándolas a una aplicación del delincuente, el cual las interpretará y sacará información valiosa que puede usarse para entrar sin permiso en nuestro banco online.

Veamos lo que puede leer el atacante si, en medio de una conversación por chat, nos metemos en nuestro banco:

...te digo ahora mismo cuándo hice la transferenciawww.bancodeespaña.esjavier_rodriguez12345678pues justo hace tres días...

Cualquiera puede extraer de estas líneas que la víctima tiene una cuenta en www.bancodeespaña.es, cuyo usuario es javier_rodriguez y cuya contraseña es 12345678. Con todo lo que supone.

Sin embargo, si guardamos esa dirección en los Favoritos o Bookmarks del navegador y entramos en la web usándolos, el archivo que recibirá el atacante dirá lo siguiente:

...te digo ahora mismo cuándo hice la transferenciajavier_rodriguez12345678pues justo hace tres días...

Aunque el atacante pueda detectar un usuario y una contraseña (cosa tampoco sencilla, ya que esta línea estará rodeada de cientos de caracteres), le resultará imposible saber a qué web pertenece.

Pese a que, en teoría, los intentos de comunicación de un keylogger deberían ser detectados por los firewalls por software, no debemos basar toda nuestra seguridad en ellos. Estos productos son bastante menos eficaces a la hora de bloquear comunicaciones no deseadas en sentido saliente: conocidas vulnerabilidades como la inyección de código en navegador permiten a un buen keylogger burlar la vigilancia del firewall.

No obstante, para que la seguridad de este método sea completa, debemos poner en práctica el siguiente mandamiento:

4. Sustituirás los dominios por IPs.

Los atacantes no sólo pueden atacar nuestro archivo hosts para redirigir www.mibanco.com a una página falsa. Su objetivo puede ser los servidores DNS de nuestro proveedor de internet. Las consecuencias serían las mismas que modificar el hosts. Por ello, lo mejor que se puede hacer es prescindir de cualquier traducción de nombres a la hora de tratar con webs de contenido delicado. Siempre deberíamos usar directamente las IPs. Es otro proceso que sólo hay que hacer una vez y que nos proporciona un altísimo grado de protección.

¿Cómo se averigua cuál es la IP de nuestro banco? Bien, para no hacer publicidad innecesaria, imaginemos que tenemos una cuenta en el banco japonés Mizuho. Su página web es http://www.mizuhobank.co.jp, que es la que usamos habitualmente para hacer gestiones por internet.

Abrimos una terminal de comandos (Inicio > Ejecutar > cmd) y tecleamos lo siguiente: nslookup nombre_de_la_web (sin el http://). Por ejemplo, nuestro ejemplo nipón quedaría así:

nslookup.png

La sección en la que debemos fijarnos es la titulada Respuesta no autoritativa. Allí veremos una dirección (address) que debemos apuntar. En este caso es 202.219.146.37.

Comprobaremos que es así en realidad, escribiendo dicha IP directamente en la barra de direcciones de nuestro navegador y verificando que se puede acceder de esa forma a la web. Aquí podemos ver que nuestro ejemplo no falla:

ip.directa.jpg

Ahora es el momento de modificar nuestros favoritos/bookmarks. Accedemos a la sección correspondiente de nuestro navegador y sustituimos la dirección "clásica" por la IP que hemos apuntado:

favoritos.png

De esta forma nos aseguraremos de blindar nuestro acceso contra cualquier intervención del archivo hosts o de los servidores DNS de nuestro proveedor.

5. Seguirás las recomendaciones básicas de seguridad.

Que son las genéricas que todo usuario de Windows debería poner siempre en práctica:

·Usar un antivirus y actualizarlo diariamente. Un firewall por software siempre es conveniente, incluso tras un router en multipuesto. Las herramientas antiespías completan el trío básico de seguridad.

·Mantener el sistema operativo al día con los últimos parches y Service Packs.

·Del mismo modo, usar las últimas versiones de todos los programas que se conecten a internet, especialmente navegadores y clientes de E-mail.

·Cualquier archivo adjunto a un correo electrónico es dañino mientras no se demuestre lo contrario. Por tanto, todos deben ser analizados con uno o dos antivirus actualizados. Independientemente de que el remitente sea o no conocido. Lo hayamos solicitado o no. No hay extensiones inofensivas. Jamás hay que abrir un adjunto directamente: siempre hay que guardarlo en el disco duro y analizarlo.

·Si es posible, no usar clientes de E-mail que dependan de un navegador para renderizar HTML. O dicho de otro modo: prescindir de la familia Microsoft Outlook.

·Desconfiar de todo E-mail procedente de un sitio al que se acceda mediante contraseña, especialmente bancos. Si en él se nos pide rapidez o urgencia a la hora de tomar una acción, con riesgo de pérdida de la cuenta si no lo hacemos, es una clara señal de que se trata de un engaño. El teléfono de nuestra sucursal bancaria está para algo: utilicémoslo en caso de duda.

·Por todos los dioses, jamás hay que enviar contraseñas por correo electrónico. Los E-mails son tan transparentes como las tarjetas postales. Si no nos queda otra opción, es mandatorio aprender y usar algún sistema abierto de cifrado, como PGP.

Y esto es todo. Cualquier duda que tengáis, no dudéis en formularla en este foro de Seguridad. Y si habéis recibido algún E-mail de este tipo, nunca está de más ponerse en contacto con la Unidad de Delitos Telemáticos de la Guardia Civil. Un aviso y una intervención a tiempo pueden evitar muchas estafas.

Anexo I: Ejemplo de archivo hosts normal

# Copyright © 1993-1999 Microsoft Corp.

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.

#

#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo "#"

#

# Por ejemplo:

# 102.54.94.97 rhino.acme.com # servidor origen #

# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost

La parte de comentario está en azul (observemos que todas las lineas comienzan por una almohadilla) mientras que la parte efectiva es la escrita en rojo.

Enlace al mensaje
Compartir en otros sitios web

Weno para el que se lo haya leido todo hago un par de pequeñisimas ampliaciones chorras xD

-Sobre los dominios falsos imitando al de tu banco: alguno podra pensar "coño aunque pinche el enlace yo veo en la barra de direccion si pone lo que tiene que poner.." nop, un dominio se puede hacer con caracteres unicode (extendido para todos los idiomas), pero los navegadores utiliza ascii, por tanto, y esto fue probado hace poco (no recuerdo la direccion pero esta en el foro), tu puedes estar leyendo en la barra de direcciones mibanco.com y estar en otra direccion distinta cuyos caracteres en la conversion de unicode a ascii dan la misma apariencia.

-Sobre keyloggers: si tu grado de paranoia es elevado sera dificil que tengas algun keylogger xD pero de todos modos, antes de teclear en las ventanas de acceso puedes teclear en el aire -sin tener el cursor en la ventana del codigo- para esconder los verdaderos codigos entre mas numeros, antes despues e incluso a mitad. De este modo el keylogger no habra servido de mucho

Enlace al mensaje
Compartir en otros sitios web
Invitado
Este tema está cerrado a nuevas respuestas.
×
×
  • Crear nuevo...

Información importante

Términos de Uso Política de privacidad Hemos colocado cookies en su dispositivo para ayudar a mejorar este sitio web. Puedes ajustar la configuración de tus cookies ; de lo contrario, asumiremos que quieres continuar.