Básicamente, el pharming es un tipo de ataque informático que utiliza el envenenamiento de DNS, o la modificación del archivo Host, para dirigir a las personas a páginas web fraudulentas que imitan a las páginas auténticas. Es similar al phishing, pero la diferencia es que, en este caso, no hay señuelos ni engaños.
Por lo tanto, para ser redirigida a un falso formulario de inicio de sesión, o a un sitio web infame, no hace falta que una personal haga clic en un enlace obtenido mediante correo electrónico, SMS, etc.
Tampoco es necesario darle la brasa con pretextos y excusas para que lleve a cabo alguna acción.
Cuando entre en una página web perfectamente legítima, será conducido automáticamente a la mismísima boca del lobo, donde posiblemente será engañado para que, por ejemplo, entregue sus datos personales.
Pharming basado en malware
Para que un ataque de pharming de este tipo tenga éxito, el atacante debe modificar el archivo hosts del ordenador de la víctima.
Y para lograr su propósito, tiene que colar de contrabando código malicioso en la máquina del destinatario.
Para ello utiliza a los sospechosos habituales:
- Correos electrónicos con archivos adjuntos maliciosos.
- Descargas de software.
- Cracks y generadores de claves.
Este malware modifica el archivo hosts del ordenador y desvía el tráfico web a la página controlada por el delincuente, incluso si la persona objetivo ha escrito la dirección correctamente en la barra del navegador.
El archivo Hosts de Windows permite definir qué nombres de dominio (sitios web) están vinculados a ciertas direcciones IP. Se encuentra en «C:\Windows\System32\Drivers\etc» y es un archivo de texto que se puede abrir y editar fácilmente con el Bloc de notas.
Al tratarse del primer paso en el proceso para resolver las consultas de DNS, el archivo Host de Windows puede usarse para secuestrar el tráfico de Internet.
Pero también sirve para bloquear páginas maliciosas.
Cookies de terceros, sitios web conocidos por albergar malware, spam, spyware y también se puede utilizar como un método de control parental.
Si deseas bloquear uno varios sitios web, todo lo que tienes que hacer es editar tu archivo host y escribir: 0.0.0.0, y a continuación el nombre de dominio de la página.
Por ejemplo:
0.0.0.0 dropcoinbase.com.
0.0.0.0 primeerotica.com.
0.0.0.0 se utiliza para designar un objetivo no válido, desconocido o no aplicable, por lo que cualquier dirección que coloques después será inaccesible.
También se puede hacer lo mismo colocando 127.0.0.1, antes del nombre de dominio, del mismo modo en que se puede ver al final de la imagen de arriba.
Envenenamiento de DNS.
Cada vez que navegamos por internet, el Sistema de Nombres de Dominio (DNS) es responsable de convertir los nombres de dominio legibles por humanos en direcciones IP legibles por una máquina.
Y para ahorrar tiempo y evitar el tráfico de red innecesario, los navegadores almacenan de forma temporal las direcciones IP de los servidores que contienen las páginas web que hemos visitado recientemente.
A esto se le llama caché de DNS.
Mediante este método de ataque, los delincuentes introducen información falsa en la caché de DNS, de tal manera que los visitantes de una página web puedan ser engañados para visitar una versión falsificada del sitio legítimo.
Los atacantes pueden usar el sitio web falsificado para diferentes propósitos, siendo el más común robar información confidencial mediante falsos formularios de inicio de sesión.
Los villanos pueden utilizar distintos métodos para lograr su objetivo.
Por ejemplo:
- Se pueden interponer entre el navegador y el servidor DNS, envenenar ambos y redirigir al usuario a un sitio fraudulento controlado por ellos.
- Pueden entrar en el servidor DNS, y reconfigurarlo para enviar todas las peticiones a su propio sitio.
- Envenenan directamente el navegador web de la víctima mediante extensiones o publicidad, ambas maliciosas.
Lo peor del envenenamiento de DNS, es que a ojos de cualquier antivirus, el dispositivo estará completamente libre de malware.
Cómo mantenerse seguro contra el pharming
Una gran mayoría de ciberataques se basan en vulnerabilidades conocidas del software y del sistema operativo, por lo que la primera medida de seguridad tiene que ser la instalación de los últimos parches de seguridad.
También puedes tener en cuenta estos consejos:
- No hagas clic enlaces sin antes investigarlos.
- No abras archivos adjuntos a los correos electrónicos de procedencia desconocida.
- Comprueba las URL en busca de errores tipográficos.
- No facilites información personal al primero que te la pida.
- Evita descargar software fuera de la página web de su desarrollador.
- Navega solo por sitios que utilicen el protocolo de transferencia de hipertexto seguro (HTTPS)
- Para evitar el pharming y otros ataques de DNS, cambia la contraseña predeterminada del router.
- Échale de vez en cuando un vistazo al archivo Host, para ver si ha sido modificado recientemente.
