En este articulo explicaremos un poco sobre que es este tipo de amenanza, y sobre como poder estar mas precavidos, y tratar de no caer en este tipo de vulnerabilidad.
Pues actualmente, solo los clientes de Banamex están siendo afectados por esta vulnerabilidad, porque su sistema pide todos los datos al iniciar sesion en bancanet, y no pide una segunda clave para traspasos, a pesar de que en artículos pasados ya mencionamos que Banamex lo podría solucionar, aun no lo ha hecho, aunque como leerán mas abajo, esta intentando solucionarlo de otra manera, que podría ser efectiva, pero no tanto si su sistema mejor pidiera otra clave para traspasos.
Empezamos por Explicar que es el Pharming, pero para ello explicaremos como funcionan algunas cosas.
Cuando nosotros entramos a una pagina web, como banamex.com, o banamex.com.mx, o yahoo.com, etc, estas paginas estan alojadas en un SERVIDOR, o Computadora que esta siempre encencida y conectada a la RED DE INTERNET, para que nosotros nos podamos comunicar con ella. Estos SERVIDORES tienen una direccion IP con numeros, y asi cuando nos conectamos a una pagina realmente nos estamos conectando a ese servidor.
Esto es posible a traves del DNS, como explicamos anteriormente en:
http://www.robosbancarios.com/2006/03/definiciones.html
Asi, un Nombre de Dominio, tiene en su registro de DNS un numero, el cual es el numero IP del SERVIDOR.
El Pharming consiste en Cambiar ese NUMERO IP DEL SERVIDOR, por lo que en vez de estar viendo el IP ORIGINAL de la pagina, estaríamos en otra pagina que aparenta ser IGUAL para engañarnos e introduzcamos nuestros datos, pero es dificil de detectar, ya que en la barra de direcciones seguimos viendo el NOMBRE DEL DOMINIO Correctamente. Esto se Logra en Windows, modificando un archivo llamado hosts, el cual se localiza normalmente en:
C:/WINDOWS/SYSTEM32/DRIVERS/ETC/
host
Dicho archivo lo podemos abrir con el Bloc de Notas, y Debe contener algo como lo siguiente:
Archivo Host Normal en Windows |
# Copyright (c) 1993-2006 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost ::1 localhost |
El símbolo de # solo indica que es un comentario dentro del archivo, y lo que no tiene el Símbolo #, es ya la información que procesa nuestra computadora, que como vemos en este ejemplo, dice:
127.0.0.1 localhost Lo cual solo nos esta indicando que nuestra maquina es el servidor local con numero 127.0.0.1 (que es el numero que debe tener). Este archivo por lo general nunca lo tenemos que modificar, porque no nos interesa hacer cambios en las direcciones ip y nombres de dominio. Pero como vemos en el cuadro anterior, viene un Ejemplo de como se puede modificar:
102.54.94.97 rhino.acme.com # servidor origen
Asi, podemos indicar que cuando se acceda a la pagina rhino.acme.com, nos dirija al servidor 102.54.94.97, y lo demás después del Símbolo # solo son comentarios
Con esto, estamos forzando a que siempre esa pagina nos lleve a ese Servidor, y no al servidor registrado en el DNS del dominio original.
Manuel Lara, quien fue victima de un fraude en Banamex, nos proporciona un archivo Host modificado:
Esto es a lo que se llama Pharming, ya que se esta forzando que cuando entremos al portal de Banamex, nos redirigan a un SERVIDOR DISTINTO, que no es el de BANAMEX, pero que simula serlo, para que ingresemos nuestras claves. Para empezar, no deberíamos de tener ninguna pagina en ese archivo y menos la pagina de nuestro banco.
Podemos revisar de donde viene ese IP en:
http://www.ip2location.com/free.asp y al ingresar 69.72.195.140 Nos muestra lo siguiente:
Banamex.com.mx al tener Terminacion .mx esta registrado con NIC Mexico (www.nic.mx), asi que si consultamos con NIC Mexico, nos indicara que el nombre de Dominio banamex.com.mx esta registrado con los siguientes datos:
http://www.nic.mx/es/Busqueda.Who_Is_3?domain_name=banamex&domain_type=1&template_type=1
DOMINIO: banamex.com.mx
FECHA DE CREACION: 16-MAR-98 FECHA DE ULTIMA MODIFICACION: 11-SEP-07
CONTACTO REGISTRANTE: BANCO NACIONAL DE MEXICO S.A. [banco8] DOMICILIO: MEXICO, Distrito Federal, México
ORGANIZACION: Banco Nacional de Mexico [banco17]
CONTACTO ADMINISTRATIVO: Domain Administration [domai115] DOMICILIO: Mexico, D.F., México
CONTACTO TECNICO: Technical Administration [techn21] DOMICILIO: Mexico, D.F., México
CONTACTO DE PAGO: Laura Cano Diaz [olive16] DOMICILIO: México, D.F., México
SERVIDOR PRIMARIO: nmxjar-edns01.banamex.com.mx IP PRIMARIO: 192.193.204.74
SERVIDOR SECUNDARIO: nmxmty-edns01.banamex.com.mx IP SECUNDARIO: 192.193.207.41 |
Como podrán ver, El numero IP del Servidor de Banamex en estos momentos es 192.193.204.74, y no los números IP mostrados en el archivo host modificado.
Podemos revisar de donde viene ese IP en:
http://www.ip2location.com/free.asp y al ingresar 192.193.204.74 Nos muestra lo siguiente:
Si tu archivo Host llegara a estar modificado, solo necesitas borrar todos esos números que hacen que vayas a otro servidor falso, y solo dejar:
127.0.0.1 localhost ::1 localhost |
En Windows Vista, tenemos la opción de Proteger el archivo host contra Escritura, para ello:
Hacer clic con el boton derecho y darle en PROPIEDADES
Luego en SEGURIDAD, y luego en EDITAR
Ahi, para cada uno de los usuarios, escoger que DENEGE la Escritura del Archivo, y con eso, ya no se podrá modificar
Pues cuando algún código lo intentara, se abrirá una ventana alertándonos de ello, y pidiéndonos si deseamos permitirlo
En Resumen, si tu host esta modificado, al teclear banamex.com.mx podrías estar entrando a un servidor falso, y al ingresar tus claves, estarias enviandoselas a alguien mas, que despues entraria al portal correcto del banco y haria movimientos a otras cuentas para robarse todo el dinero.
LO QUE ESTA HACIENDO BANAMEX
Bueno, según nos informan, Banamex esta regalando Norton Internet Security por 1 Año a sus usuarios de Banca en Linea, pero la version 2007, cuando la actual es 2008, o sea, un año atrasada.
Según las especificaciones del producto (Ver comparativo de las funciones de Los Programas de Norton)
Este no tiene proteccion AntiPharming, pero en el folleto de Banamex, dice que si tiene Proteccion AntiPharming, y segun una prueba que hicimos del producto, si tiene esa protección, por lo que se empieza a ver que Banamex esta intentando solucionar el problema de esta forma.
De lo productos de Norton, otro que tambien tiene Proteccion AntiPharming es el Norton Confidential (y Norton 360 que incluye todo):
Ver Especificaciones y Preguntas sobre Norton Confidential
ADEMAS, LO QUE RECOMIENDA NORTON CONTRA EL PHARMING:
Verifique el certificado. Sólo lleva unos segundos saber si un sitio al que se accede es legítimo. En la última versión de Internet Explorer y en muchos otros navegadores Web de uso frecuente, vaya a "Archivo" en el menú principal y seleccione "Propiedades", o haga clic en el botón derecho del mouse en algún lugar de la pantalla del navegador y, desde el menú emergente, haga clic en" Propiedades". Cuando aparece la casilla "Propiedades" haga clic en "Certificados" y verifique que el sitio tenga un certificado seguro de su propietario legítimo.
LA MEJOR SOLUCIÓN
Claro, aqui la mejor solucion esta en ellos (el banco), porque el banco puede modificar su sistema, para que cuando quieras hacer un traspaso, se te pida otra clave mas, y asi si alguien tuviera tus datos de entrada al sistema de bancanet, aun le faltaria un password mas, que no tendria, y no podria hacer nada. Esto nos pareceria incluso mas rapido, que regalar el norton internet security, porque el usuario no necesitaría instalar nada para que se haga esta modificación en el sistema del banco.
Otra Solución, es investigar y atrapar al culpable, que creemos es la mejor, pero los bancos se siguen empeñando en ocultar al culpable, ya que:
- No quiere dar información de la IP de la persona que hizo los movimientos fraudulentos, para al menos saber desde que lugar, y ciudad cometió el fraude
- No quiere dar información de las cuentas a donde va a parar el dinero, o sea, la persona que aperturo las cuentas
- No quiere dar información sobre videos sobre la persona que retiro el dinero en cajeros o en ventanilla
Asi que para que nos quieren desorientar con tantos tecnisismos, cuando la solucion es atrapar al culpable, y la negativa de los bancos a hacerlo nos lleva a pensar que esta encubriendo la verdad de todo, que al no ser clara, nos lleva a especular que podrían ser sus mismos empleados los que cometen el fraude.
Y que quede claro que:
- No importa de donde vino la infección de Pharming, ya sea por leer postales de gusanito, o haber leido un email con codigo HTML, o haber hecho clic en una pagina de un email, pues lo realmente importante, es Saber "Quien esta cobrando ese dinero del Fraude"
Ya que mientras el ladrón siga sin castigo, este siempre estará buscando nuevas formas de cometer fraudes y es inadmisible que en este pais se siga permitiendo la impunidad y falta de castigo al delincuente.
Comentarios
Hace unos meses reporte a banamex que gente de bancanet envia spam con ligas a backdoors para hacer phishing. He rastreado y eliminado algunos de esos sitios y banamex no me dio respuesta
Publicado por: cazaratas | Octubre 2, 2009 11:58 AM
Hola Cazaratas
La gente de bancanet no envia el spam que te ha de estar llegando.
Te explico algo que debes saber, y es que cualquiera te puede enviar un email, en donde el remitente puede ser quien sea, sin de verdad serlo.
Esto se hace a travez de paginas web con formularios o codigos, que envian emails masivos, y en remitente dice que es cierta direccion de emai, pero eso no es algo en lo que se pueda confiar, por lo que te comento.
En otras palabras, cuando alguien envia un email a travez de un formulario de una pagina web, en el mismo formulario esta la opcion de poner en el campo de remitente cualquier valor.
Y a los que les llega el email, les indica que ese remitente se lo envio, cuando eso solo es un valor del formulario que no forzozamente quiere decir, que te enviaron el email desde un email REAL, sino mas bien se te envia desde un formulario.
Saludos
Publicado por: ivan |
más información, pincha aquí