Phishing 2.0, nuevas formas de ataque por medio de DNS
Investigadores del Instituto de Tecnología de Georgia, en conjunto con Google, están estudiando una nueva forma de ataque virtualmente indetectable y que permite controlar lo que alguien hace en Internet.
Si bien los resultados del estudio serán publicados en Febrero, podemos adelantar algunos aspectos para que se enteren lo peligroso del asunto.
A la hora de sentarnos a navegar por Internet, cada petición que hacemos para navegar por un sitio, requiere de una resolución de un nombre de dominio, por medio de un servidor DNS.
En el mundo, existen millones de servidores de DNS, que permiten que las computadoras naveguen conociéndose unas a otras cuando es necesario, y direccionando aquellas que andan perdidas (la mayoría), buscando un camino hacia su destino.
Según los investigadores, existen unos 17 millones de servidores DNS abiertos, de los cuales aproximadamente un 0,4% (68 mil) se comportan de forma maliciosa, y un 2% (340 mil) lo hacen de forma dudosa.
Estos servidores, si son alcanzados por peticiones de usuarios, pueden confundir a este y llevarlo a, lo que podríamos llamar, un mal camino.
El hecho de controlar, o bien, tener acceso a información sobre los sitios visitados por los usuarios, permite que los intrusos puedan crear copias idénticas de estos, y montar luego sitios dedicados a Phishing, haciendo caer en la trampa a estos mismos usuarios, que darán sus contraseñas como si nada sucediese (ya que, a simple vista, se verá todo normal).
Es por esto, que la amenaza es tanto grave como invisible... y por ende, indetectable, tanto al usuario como a los software de protección, ya que estos actúan del lado del cliente... y creen que lo que sucede del otro lado, viene con buenas intenciones.
Todo el ataque comenzaría sencillamente con la infección por medio de alguna vulnerabilidad no corregida en sistemas operativos como Windows, y pasaría luego a modificar la configuración DNS de la máquina infectada, y posteriormente redireccionaría al usuario bien en su comienzo, para conocer sus costumbres, y mal luego... cuando se quiera efectuar el Phishing objetivo.
Sin duda, nos hace temblar un poco... ya que esto excede nuestra posibilidad de protegernos... por lo que habrá que estudiar luego como saber si un sitio es o no legítimo, fuera de que en lo visual lo parezca.
Fuente: InfoWorld
8 ComentariosComentar
Pero... no me queda claro por qué no se podría saber si el sitio es legítimo o no. Es decir que el dominio también será falso? por ejemplo si la URL dice google.com puede o no puede ser la verdadera? O.o
Te comento que he entrado como parte en VU Security, una empresa argentina que ha desarrollado una plataforma de seguridad de doble factor que utiliza el celular como terminal del usuario, evitando así los molestos llaveros.
La plataforma es una efectiva manera de lucar contra el fishing por utilizar el protocolo de HOTP para la generación de claves únicas.
Si te interesa puedo acercarte mas información.
Saludos,
Gastón Bercún
Edgar,
El problema está en que tu confías en que Google.com apunta al servidor de Google, o sea.. confías en que el ente que hay en el medio, que te dice que Google.com -apunta a- IP de servidor de Google... bueno, si ese 'ente' es vulnerado.. entonces tu confianza está puesto en algo débil. Conclusión... la url que dice google.com, puede no ser la verdadera.
Gaston,
Me interesaría saber más del tema, si puedes enviarme información por medio del correo que aparece en Staff (http://www.techtear.com/about/) te agradecería (y si se puede, a futuro hacemos una revisión aquí mismo en T_T).
De lo poco que he conocido sobre HOTP (en parte viendo el RFC en http://www.ietf.org/rfc/rfc4226.txt), debo decir que si la solución es uno-a-uno, sería un problema de implementar (y luego utilizar) por parte de los usuarios, mientras que si la solución es global (uno-a-muchos) la situación empeora.. porque si ya de por si falsifican el camino, con un poco de -escucha- (y con la cantidad de datos que conseguirían por día), sería fácil encontrar las llaves de las empresas como Paypal, Bancos, y demás.
Aún así, me quedo en la espera de la información.
Saludos
p.d: Soy fanático de la seguridad... que quede claro jeje ;)
Pero justamente, para esto es que existen empresas como verisign, que firman ceritificados de terceros de forma segura (SSL). Alcanza con ver que bancos, PayPal y muchos otros utilizan este sistema.
De este modo el servidor nos está ofreciendo a un tercero en garantía de que es quien dice ser.
El único problema real de este sistema es que requiere un mínimo conocimiento por parte del usuario a la hora de analizar el certificado y decidir aceptarlo o no, pero por lo demás es 100% funcional.
Hola, entonces si esto se llegara a extender? Uno tendría que aprenderse y escribir directamente las IP ya que seria la única manera segura de entrar al site que uno quiere, o aun así es posible que lo redireccionen a otro lugar?
Juan,
Verisign existe desde hace más de 10 años, y el problema persiste... principalmente por lo último que dijiste... 'requiere un mínimo conocimiento por el usuario'. Hasta que no corrijamos al usuario, lo demás no servirá... por eso las empresas buscan dar seguridad sin que el usuario sea el que se la auto provea ;)
Rafo,
Correcto, deberías aprenderte las IPs de los servidores... con el consecuente posible -cambio- de estas también. Ya que cuando te conectas a Google.com, por ejemplo, vas a unas de las N direcciones IPs que cuenta la empresa... por ende, deberías conocer las N direcciones para conectarte en alguno de sus servidores.
Aún así, hay sitios que solo cuentan con una dirección IP y que normalmente, con los cambios de configuración del servidor en donde están (compartidos, usualmente), sus direcciones IPs cambian... por lo que ante cada cambio deberías aprenderte la nueva IP.
Un lío...sinceramente, por algo existen los dominios... que son una solución, pero a la vez un problema (de seguridad, en caso de que secuestren un servidor DNS).
Saludos
Un tema muy interesante. Una pregunta, que es lo mínimo que se debe saber sober los certificados para que la confianza que depositamos en ellos no nos de problemas.
Un saludo
hola, tengo un gravisimo problema, una persona ha obtenido unas fotos privadas y no se como ha sido, es posible hacer eso? y si es asi, se puede saber como lo hizo?, como evitarlo, como hago para denunciarlo?. de antemano muchas gracias