Pharming

O pharming é unha variante do phishing consistente na redirección da páxina web solicitada polo usuario a outra predeterminada polo atacante co obxectivo de facerlle crer que se atopa na orixinal e actúe dentro dela con total normalidade. É dicir, cando se visita unha páxina web co navegador web, este diríxese a unha páxina falsa.

Adoita empregarse para redirixir a vítima a un enderezo falso, na que introducirá os seus datos, que pasarán a estar en poder dos atacantes. Estes datos poden ser os contrasinais dunha conta bancaria ou dunha conta de correo etc. Estas redireccións pódense efectuar por varios métodos (alterando o ficheiro hosts, modificando as táboas do servidor DNS, cambiando o DNS asignado etc.)

Métodos

Cando se introduce un enderezo web (URL) na barra de enderezos dun navegador web, este procede en primeiro lugar ó envío dunha petición de resolución DNS, para obter o enderezo IP correspondente ao dominio introducido; é dicir, todas as páxinas web levan unha IP asociada ao seu nome para que sexa máis fácil de recordarse. Exemplo:

www.google.com --- 66.102.9.99

www.xunta.es --- 85.91.64.128

Dita consulta diríxese ó servidor DNS configurado no sistema quen, á súa vez, completa a consulta axudándose doutros servidores DNS en Internet. Unha vez que se obtén o enderezo IP vinculado ao dominio solicitado, esta é enviada de volta a quen a solicitou. Se o enderezo IP incluído na resposta final resulta ser falsa, a consecuencia inmediata consiste en que o navegador procede a iniciar comunicacións cun enderezo IP non esperado.

Envelenamento da caché dinámica DNS

Os servidores DNS manteñen unha memoria caché onde almacenan algunhas das respostas enviadas a peticións de resolución de dominios recibidas, coa finalidade de mellorar o rendemento e o tempo de resposta. O envelenamento da caché DNS (DNS cache poisoning) consiste en enganar a un servidor ou conxunto de servidores DNS con respostas falsas, de maneira que certas entradas da caché DNS sexan sobrescritas con novos enderezos IP.

Modificación de caché estática DNS

Os sistemas operativos actuais incorporan unha memoria caché estática de resolución DNS en forma de ficheiro host (En Windows este atópase en %windir%\system32\drivers\etc , onde %windir% é o directorio de instalación de Windows)). O ficheiro host permite construír unha lista de pares de resolución dominio-enderezo IP que prevalecen sobre as peticións DNS estándar. Polo tanto, cando o sistema necesita traducir un dominio no seu correspondente enderezo IP, primeiro consulta este ficheiro e, en caso de non atopar unha referencia ao dominio procurado, procede a realizar unha petición DNS estándar a través da rede.

Ferramentas Anti-Pharming

AntiPharming 1.30 FREE Edition - Creado por NGSEC. É unha ferramenta que bloquea calquera intento de modificación do ficheiro de host.