Phishing PORTADA

Phishing, Pharming y las amenazas relacionadas con la suplantacin de la identidad

PICANDO EL ANZUELO
Los pharmers y los phishers van
tras vuestra valiossima informacin financiera. Aqu mostraremos cmo proteger nuestros intereses.
POR CHRISTOPH WEGENER
Y RALF SPENNEBERG

l phising se puede definir como

el arte de engaar mediante trucos y estratagemas a los
confiados usuarios de Internet para
lograr de ellos informacin de carcter
personal y financiero. Este juego vil ya
ha proporcionado enormes ganancias a
una nueva generacin de delincuentes
cibernticos. Pero el phising no es ms
que uno de los muchos trucos que hay
para la estafa. En este artculo examinaremos algunas de las ms populares
tcnicas usadas para la suplantacin de
identidad y mostraremos qu podemos
hacer para adelantarnos a la posible
amenaza.

Phishing y Pharming
El phising usa tcnicas de falsificacin
de correos electrnicos para lograr que
los usuarios desprevenidos visiten sitios
maliciosos. Es ah donde son invitados a
introducir datos personales, tales como
contraseas y nmeros PIN. Los ataques
de phising ocurren en dos fases: en la
Fase Uno el usuario es engaado y seducido para que haga una visita al servidor
web del atacante. Los atacantes usan
varios vectores de inicio para lograr
atraer a las vctimas. En la Fase Dos, el

usuario es preguntado por sus datos personales. Esta parte del ataque es
conocida como engao o falsificacin
visual. Los vectores de ataque inicial
ms conocidos son la falsificacin de
correos y lo que se conoce como cross
site scripting (XSS), en donde el atacante
hace mal uso de sitios web de terceros
confiados para lograr iniciar el ataque.
En todos estos casos el atacante
depende de las acciones llevadas a cabo
por la vctima, por lo que fracasaran sin
la cooperacin de la misma.
En contraste con el phising, el ataque
pharming requiere del atacante el envenenamiento de las entradas de la cach
de servidores de DNS vulnerables, para
redirigir luego a los usuarios que confan en este servidor a una mquina
comprometida que aloja al sitio web que
est siendo suplantado. Este ataque se
apoya normalmente en los errores de
implementacin de los servidores DNS
para conseguir inyectar falsos pares [IP
/ nombre de mquina] en la cach del
servidor de dominio. Lo importante es
que el ataque de pharming es puramente
tcnico.
Esto
mejora
considerablemente las oportunidades de
xito de este tipo de ataques, puesto que

WWW.LINUX- MAGAZINE.ES

elimina la incertidumbre causada por la

dependencia en la cooperacin humana.
Aunque la problemtica del robo de
identidad en Internet no es nada nueva,
se ha detectado un claro incremento en
los ltimos meses. Ha pasado un ao
desde que se realiz un estudio estadstico por los expertos en investigacin de
mercado de Gartner[2] sobre este tema
tan llamativo. Investigaciones ms
recientes, de Junio del ao pasado, mostraron claramente el impacto econmico
asociado al phising y al pharming. Los
investigadores han detectado una prdida clara de la confianza de los
consumidores en los negocios on-line,
produciendo como resultado un incremento del coste y del riesgo de inversin
tanto para las empresas como para los
consumidores. Y por ltimo, pero no
menos importante, el Grupo de Trabajo
Anti-Phishing (Anti Phishing Working
Group, APWG) ha destacado un incremento constante de los ataques phishing
y un considerable incremento en crimeware desde Abril de 2005: se ha
duplicado el cdigo malicioso detectado
entre Abril y Julio de 2005 [2].
Estos peligros no son slo hipotticos;
causan un dao real. El 10% de los que

Nmero 20

21

PORTADA Phishing

y vender en Ebay.
El atacante se apropia de la identidad
de la vctima.
La mejor proteccin
contra
el
phishing es el sentido comn en
combinacin con
Spam Assassin. Las
vctimas potenciaFigura 1: Un correo de phising pregunta a un usuario para que
les
pueden
actualice la informacin de su cuenta de eBay.
identificar emails y
sitios web frauduparticiparon en una encuesta confiesan
lentos simplemente comprobando la
que han sufrido prdidas econmicas
URL en sus navegadores, y por el hecho
debido a correos electrnicos de phising.
de que la comunicacin no est normalAunque estos datos pueden no ser ofimente encriptada (el icono del candado
ciales, definitivamente muestran cmo
en la esquina inferior derecha de la vende real es el peligro.
tana del navegador est abierto). Pero
algunos sitios maliciosos estn empeEn la Red
zando a usar SSL para conexiones
Como mencionamos antes, los phishers
seguras. El navegador comprueba el cerfalsifican mensajes de emails de proveetificado y alerta al usuario de que el sitio
dores de servicios muy conocidos para
seleccionado no coincide con el sitio
engaar a sus vctimas y lograr que visipara el cual el certificado ha sido emiten sitios web maliciosos. Una vez la
tido, o no proviene de una organizacin
vctima accede al sitio malicioso, el phisde confianza, pero muchos usuarios no
her intenta engaarla para que revele
atienden a estas alertas y simplemente
datos de identificacin (usuario y conlas ignoran. Estos nos dejan a la URL
trasea), nmeros PIN o datos de la
como nico medio de identificacin de
tarjeta de crdito. Los ataques de phisla estafa.
hing estn orientados principalmente a
El Viejo e Inseguro MSIE
los ms importantes bancos y sitios web
dedicados al e-Comercio tales como CitiUna vulnerabilidad en las antiguas verbank, PayPal o Ebay. En la Figura 1 se
siones del Explorador de Internet de
muestra el tpico mensaje de phishing.
Microsoft permite adicionalmente a los
En contraste a muchos emails de
atacantes falsificar la barra de URL, el
phishing menos depurados, en este caso
icono del candado SSL y la vista del cerel usuario no es alertado por los
tificado. En estos casos el candado se
evidentes errores de deletreo y
encontrar cerrado, los datos del certifigramaticales. Errores de este tipo
cado aparecern correctos y la barra de
proporcionan con frecuencia una pista,
URL nos mostrar la direccin
puesto que muchos de los mensajes de
correcta una falsificacin perfecta. La
phishing han sido creados por gente
nica proteccin contra esto es la actuacuyo idioma nativo no es el nuestro.
lizacin de nuestra versin de MSIE, o
Una vctima que pulse sobre el enlace
personalizar la versin del navegador
es conducida al sitio web del atacante,
instalado para lograr que la falsificacin
que normalmente se parecer mucho al
o engao visual sea ms o menos impositio original (Figura 2), excepto que el
sible.
sitio suplantado contiene con frecuencia
Spam Assassin puede ser til en la
errores de deletreo o gramaticales,
deteccin de emails falsificados. Las
puesto que dichos sitios son con freltimas versiones de esta herramienta
cuencia
creados
por
criminales
detectarn normalmente la mayora de
internacionales que usan herramientas
los correos de phishing. Filtrar los
automticas de traduccin. Si la vctima
mensajes entrantes con Spam Assassin
finalmente introduce los datos solicitanos proteger en gran medida contra los
dos en ese sitio, el atacante podra
ataques
phishing
conocidos.
usarlos para transferir dinero o comprar
Naturalmente ni siquiera Spam Assassin

22

Nmero 20

WWW.LINUX- MAGAZINE.ES

puede protegernos contra mensajes

phishing desconocidos con anterioridad.
Los chicos malos ganan una considerable suma de dinero con estos ataques.
Los delincuentes estn organizados con
frecuencia en grupos criminales. El sitio
Internet News.com calcula que el dao
financiero causado en los Estados Unidos en el ao 2003 fue de 1,2 billones
(entendido como mil millones y no un
milln de millones).

Mucho Ms Prometedor
Puesto que el phishing depende de la
complicidad del usuario, y como factor
humano que es puede hacer peligrar el
xito del ataque, los hackers maliciosos han ideado mtodos para
incrementar las probabilidades a su
favor. El pharming no depende de un
email para atraer mediante engaos a
la vctima a un sitio malicioso. En vez
de esto, un servidor de DNS comprometido lleva a la vctima directamente
a ese sitio. Los usuarios normalmente
no escriben las direcciones IP de su
banco en el navegador; en su lugar
escriben los nombres DNS del sitio. El
servicio de Internet DNS es quien
resuelve la direccin, y es precisamente este proceso de resolucin de
direcciones el que es explotado por los
pharmers.
El ataque es realmente sencillo en
los sistemas Windows de Microsoft
usando un virus que modifique el
fichero System32/drivers/etc/hosts. Si
los usuarios introducen los pares nombre del host/direccin IP en este
fichero, el navegador ir derecho a la
direccin IP cuando el usuario intente
acceder al nombre del sitio. Naturalmente la direccin IP dirige a la
vctima al sitio web malicioso del atacante. Normalmente la vctima se cree
segura, despus de todo no estn accediendo al sitio desde un email, sino
que han sido ellos los que han introducido la direccin.
Para prevenir este ataque, los
expertos en seguridad recomiendan
proteger contra escritura el fichero de
hosts. Pero puesto que los troyanos
normalmente asumen privilegios de
administrador, este tipo de proteccin
es generalmente intil. Adems,
variantes ms recientes utilizan un
vector diferente: introducir un servidor
DNS malicioso, ejecutado por el

Phishing PORTADA

Figura 2: Un usuario que pulsa sobre el enlace de la Figura 1 es dirigido a una pgina web muy
parecida a la pgina de entrada de eBay, pero realmente dnde est?

pharmer, en las propiedades de red del

sistema operativo. En este caso, la
proteccin contra escritura del fichero
de hosts no ayudar para nada.

Suplantacin DNS
Un vector de ataque alternativo
requiere que el atacante monitorice
las peticiones de resolucin DNS, y
responda en su lugar en vez del servidor DNS genuino. Para hacer esto
el atacante debe estar localizado en
algn lugar de la vecindad de la vctima para lograr esnifar las
peticiones de resolucin de nombre.
Naturalmente existen multitud de
herramientas capaces de esto. Linux
tiene la legendaria Dsniff de Dug
Song, por ejemplo, con su comando
dnsspoof. Incluso Windows tiene
una herramienta grfica apodada
Cain&Abel [3]. Pero existen gran
nmero de herramientas que soportan este tipo de ataques; los
atacantes pueden adems usar tcnicas de suplantacin ARP para
rastrear respuestas DNS o comprometer sesiones SSL usando tcnicas
Man-in-the-Middle (MitM).

Envenenamiento
Cach

de

la

Sin embargo la aproximacin ms efectiva

para el pharmer es envenenar la cach del
servidor DNS. Aunque esta vulnerabilidad
es bien conocida desde hace aos, se sorprenderan de la cantidad de servidores
DNS vulnerables que an lo siguen
siendo. Dan Kaminsky investig alrededor
de 2,5 millones de servidores en Julio del
2005 y averigu que alrededor del 10% de
los servidores DNS estn abiertos a este
tipo de ataques de envenenamiento.
En un escenario de envenenamiento de
cach (Figura 3), el atacante primero
busca un nombre para el cual su propio
servidor de nombres est autorizado (por
ejemplo www.hackingexample.com) en el
servidor de cach de DNS vulnerable (1).
El servidor de cach DNS no tendr dicha
informacin, y por tanto ir al servidor
DNS del pharmer (2) en busca de ayuda.
El servidor DNS del pharmer responder a
la peticin, y al mismo tiempo le devuelve
sus propias entradas para los nombres
DNS www.anybigbank.com y www.
yetanotherbigbank.com (3). El servidor de
cach DNS aade esta informacin a su

WWW.LINUX- MAGAZINE.ES

propia cach junto con la direccin IP para

www.hackingexample.com. A continuacin el servidor de nombre responde a la
peticin para www.hackingexample.com
(4).
Ahora, cuando la vctima consulta al
servidor de DNS comprometido por
www.anybigbank.com
o
www.
yetanotherbigbank.com, el servidor DNS
encontrar los datos solicitados en su
propia cach y no preguntar al servidor
de nombres autorizados para dicha
direccin. El servidor devolver entonces la direccin IP falsa, proporcionada
a ste por el atacante, a la vctima. Todo
lo que el pharmer necesita ahora es un
servidor web con un sitio malicioso ejecutndose en la direccin IP que ha sido
deslizada a la vctima.
Los ataques de encadenamientos de
nombres son una versin ms avanzada
del envenenamiento de la cach ya que
involucran que el atacante enlace la propia bsqueda DNS con la denominada
seccin adicional de una forma poco
comn. La respuesta no contendr una
direccin IP, sino un puntero al nombre
del host del servidor de redireccin. En
nuestro ejemplo anterior la respuesta
podra
ser
algo
como
www.
hackinexample.com es un alias para
www.anybigbank.com, y como seccin adicional, www.anybigbank.com
resuelve a 192.0.2.1. No hay forma de
prevenir la inyeccin de informacin de
suplantacin del atacante mediante la
comprobacin de si la entrada seccin
adicional coincide con la bsqueda
solicitada.
En cuanto un nuevo agujero de seguridad es descubierto en el software de
servidor DNS, firewall o cualquier producto similar el pharmer tratar de
aprovecharlo. Y esto es exactamente lo
que ocurri en Marzo del 2005 con el
firewall de Symantec. En Junio de 2004
[4] se revelaron detalles de un error en
la cach DNS de este producto, pero no
todas las instalaciones fueron parcheadas para Marzo del siguiente ao. Esto
permiti que fuera posible un ataque a
larga escala de envenenamiento de
cach DNS [5].
Una variante de este ataque intenta
manipular la cach del lado del cliente
en las mquinas Windows o Linux, en
vez de centrarse en la cach del servidor. Para lograrlo el atacante se
aproxima de la siguiente forma: primero

Nmero 20

23

PORTADA Phishing

Figura 3: Para envenenar la cach de la DNS el atacante necesita montar su propio servidor de
nombres.

enva un aparentemente inocuo correo

electrnico a la vctima; el correo contiene una imagen que apunta al dominio
www.example-attacker.com. El cliente
tiene que consultar al servidor de nombres autorizados para descubrir la
direccin IP, y es as como comienza el
ataque de envenenamiento de cach. El
servidor DNS no slo provee una
entrada para www.example-attacker.
com, al mismo tiempo envenena la
cach del PC cliente directamente, deslizando una direccin IP falsa al cliente
para
www.anymajorbank.com.
La
siguiente vez que el cliente intente acceder a la pgina web del banco, el
confiado usuario ser teletransportado
al sitio web malicioso.

mTAN, iTAN, eTAN

Tras muchos aos de usar el mtodo
PIN/TAN para las transacciones electrnicas, los bancos tratan ahora de
mejorar la seguridad bancaria on-line
con una nueva aproximacin a los TANs
(nmeros de transaccin). Con el
mtodo iTAN el banco le da al cliente
una lista indexada de TAN. Cuando el
cliente intenta realizar una transferencia
bancaria, el banco le solicita un TAN
con un nmero de ndice determinado.
Si el cliente termina en una pgina maliciosa, el pharmer no sabr qu TAN
solicitar. La aproximacin iTAN es usada
hoy en da por muchos bancos y sociedades, y muchas ms planean usarla.

24

Nmero 20

El mtodo eTAN requiere la entrega al

cliente de un dispositivo electrnico.
Cuando el cliente desea realizar una
transferencia, el banco le enva un
nmero aleatorio; el cliente debe introducir el nmero en el dispositivo , ste
es similar a una calculadora. El aparato
calcula entonces una respuesta especfica para el cliente que es devuelta por
ste al banco para realizar la transferencia. El mtodo eTAN es usado, por
ejemplo, por GE Money Bank.
El mtodo mTAN utiliza el mvil del
cliente para autorizar las transacciones. Cuando un cliente desea realizar
una transferencia de dinero el banco
enva un pequeo mensaje con un
nmero TAN y alguna informacin
adicional al mvil del cliente. ste
comprueba los detalles de la transferencia e introduce el TAN para
autorizar la transaccin. El TAN slo
es vlido para una transferencia.
El mtodo iTAN es inseguro si el atacante no almacena el dato en la pgina
web maliciosa sino que reenva este
dato al autntico banco, como una
especie de proxy transparente. Todo lo
que tiene que hacer el atacante es
modificar la cantidad y los detalles de
la cuenta antes de pasar los datos al
banco. El banco entonces solicita el
iTAN al atacante; el atacante devuelve
la peticin directamente a la vctima
quin amablemente escribe el correcto
iTAN.

WWW.LINUX- MAGAZINE.ES

El mtodo mTAN parece ser el nico

genuinamente seguro; en la actualidad
necesitas iTAN para habilitar el
mtodo. El cliente selecciona el sistema mTAN, y entonces el banco enva
una clave de registro al mvil del
cliente. A continuacin el cliente debe
introducir dicha clave de registro en un
formulario, y es preguntado por un
iTAN para habilitar el mtodo mTAN.
Los nmeros de mvil existentes en
mTAN pueden ser eliminados sin ninguna otra verificacin adicional.
Desafortunadamente no parece previsible que este sistema logre
sobrevivir, puesto que mTAN aade un
coste a la transaccin. Adems hay que
aadir a esto el hecho de que el futuro
de mTAN parece inseguro en una
poca caracterizada por hackeos Bluetooth, virus para mviles y troyanos. Y
no olvidemos que siempre hay un riesgo
de prdida del mvil.

HBCI es Seguro
HBCI es el nico mecanismo capaz de
proporcionar autntica seguridad en
estos momentos, sin embargo, puesto
que HCBI es complejo y requiere un
incremento en la inversin de hardware
adicional en forma de smartcards y lectores de tarjeta, no muchos bancos la
soportan, y menos son los consumidores
que la usan. Los clientes no usan PINs y
xTAN para autentificarse aqu, sino que
usan certificados X.509 y las claves privadas correspondientes; en el otro
extremo de la conexin, el servidor web
del banco necesita del mismo tipo de
credenciales para identificarse frente al
usuario. Para prevenir que un atacante
pueda simplemente acceder en la propia
casa de la vctima y apropiarse de su
clave privada, la clave es almacenada en
una smartcard, la cual adicionalmente
protege la llave frente a accesos de lecturas no autorizados.
Para ser capaz de utilizar la clave privada para firmar transacciones, el
usuario siempre necesita una smartcard.
Para prevenir a un atacante que ha
logrado la posesin de la smartcard de
hacer un mal uso de ella, la clave en la
smartcard est protegida adicionalmente
con un PIN. Los clientes son solicitados
a introducir el PIN para autentificarse
frente a la smartcard. Para frustrar a los
troyanos y a los programas que registran
las pulsaciones del teclado los intentos

Phishing PORTADA

de conseguir el PIN de los clientes desde

su mquina, los lectores smartcard Class
2 tienen integrado un panel numrico
que permite al usuario escribir el PIN en
ellos directamente.
Sin embargo, el mensaje que debe ser
firmado es con frecuencia mostrado en
el PC para permitir al cliente su verificacin. Esto puede abrir un vector de
ataque a un troyano localizado entre el
lector de tarjeta y el PC. En este caso un
usuario podra firmar transacciones que
no desea firmar. Los dispositivos smartcard Class 3 proveen de autntica
seguridad. Esta vez el texto que ha de
ser firmado no debera mostrarse nunca
en el PC (porque es demasiado largo
para ser mostrado desde el lector de tarjeta) puesto que esto volvera otra vez a
comprometer la seguridad.
En las aplicaciones de banca on-line
los datos crticos, tales como el nmero
de cuenta de destino, el cdigo de identificacin del banco y la cantidad
puedan ser mostrados en el lector de tarjeta, proporcionando a los clientes una
solucin donde ellos pueden estar seguros de lo que firman.

Proteccin va Certificados
SSL de Clientes
Todas estas soluciones ignoran un problema: en las viejas aplicaciones el
servidor bancario se autentifica frente a
los clientes. Los clientes deben estar
seguros de que estn en comunicacin
con el servidor correcto, y para lograr
esto, necesitan ser capaces de distinguir
una conexin SSL fraudulenta de una
conexin legtima.
La experiencia diaria sugiere que
depender del cliente no siempre resuelve
el problema: hay una razn, los usuarios
tienden a pulsar descontroladamente el
ratn a la hora de eliminar mensajes de
error sin ni siquiera pararse a leerlos. Un
mensaje de error ya no es una sorpresa
para los usuarios. Hay otra razn, los
clientes generalmente desconocen el
modo en el que funcionan las conexiones SSL. Varios de los intentos realizados
por los bancos para formar a sus clientes
a este respecto no han tenido siempre el
resultado esperado. Algunas de las polticas usadas en la actualidad dan al
usuario una falsa sensacin de seguridad, tales como el mostrar el logotipo de
certificacin SSL en la pgina principal
desprotegida del banco.

Un mtodo interesante para conseguir

ms proteccin frente a los ataques de
phishing y pharming consiste en invertir
la direccin de la autentificacin y forzar al cliente (el PC o navegador del
cliente, para ser ms preciso) a autentificarse frente al banco. Los bancos
pueden usar para ello certificados SSL
para cada cliente. Los bancos pueden
emitir un certificado a un cliente una
vez comprobada la legitimidad del
mismo (esto puede realizarse en la
misma sucursal bancaria), y el cliente
puede instalar este certificado en su propio PC. Los clientes necesitan presentar
dicho certificado cuando deseen establecer una conexin con el servidor del
banco. El certificado puede as mismo
protegerse con un PIN frente a usos no
autorizados.
Para impedir ataques de engao o falsificacin visual de la identidad del
banco, se podran introducir tcnicas
para la autentificacin visual. El banco
podra esperar algn tipo de identificacin visual del cliente, que sera
transmitida por medio de un canal
seguro; los atacantes podran encontrar
extremadamente difcil falsificar algn
tipo de identificador visual del cliente.
Un problema de este procedimiento es
que el comportamiento on-line del
cliente medio podra colisionar con este
tipo de procedimiento. Las estadsticas
bancarias revelan que la mayora de las
transacciones tienen lugar en los descansos de los clientes para la comida,
por lo que suelen hacer uso de los ordenadores de la oficina. Algunos entornos
pueden impedir que esto suceda, puesto
que normalmente los usuarios tienen
normalmente ciertas restricciones en los
privilegios de uso de sus ordenadores de
oficina. Algn tipo de token conectado
por USB podra resolver estos problemas, pero esto volvera a presentar un
incremento en el coste del procedimiento.

Situacin Legal
El phishing y el pharming presentan
algunos problemas legales en varios
campos. Una cuestin importante es
quin es actualmente responsable de la
transaccin fraudulenta. El banco puede
intentar reclamar alguna compensacin
a la vctima de la estafa por la cantidad
de dinero transferida por el phisher. Una
transferencia bancaria funciona de una

WWW.LINUX- MAGAZINE.ES

manera similar a esto: el banco, consultado por una cantidad de dinero (el
banco de la vctima en este caso) transfiere una suma de dinero al atacante. El
banco querr tomar el dinero de la
cuenta de la vctima como reembolso de
la transaccin. Incluso si est claro que
la transaccin no tiene la aprobacin de
la vctima, el banco puede reclamar
daos por la cantidad desembolsada. La
entidad bancaria puede entonces tener
que probar su caso ante los tribunales;
en otras palabras, el banco debe probar
que el cliente ha ordenado la transferencia, y normalmente no podr hacerlo.
Naturalmente todos estos procedimientos dependen de las leyes y normas
locales. Como mnimo, incluso si la vctima tiene xito en evitar tener que
pagar por el dinero sustrado por el phisher, el acontecimiento siempre termina
en una larga tormenta de cartas, amenazas y problemas burocrticos.

Conclusiones
Aun est por ver cuando llegar la primera gran ola de ataques de tipo
pharming, pero considerando el hecho
de que una importante proporcin de
servidores de nombres por todo el
mundo son vulnerables al envenenamiento de la cach, el peligro es muy
real y difcil de predecir. Lo importante para los usuarios es pensar
antes de bucear por Internet, especialmente si uno es consultado sobre
datos de carcter personal. Bancos,
plataformas de subastas online y tiendas web necesitan trabajar en la
concienciacin sobre temas de seguridad a sus clientes. Probablemente este
sea el nico camino para parar el mal
uso a larga escala del pago online y de

los sistemas bancarios.

RECURSOS
[1] Grupo Gartner: http://www.gartner.
com
[2] Anti Phishing Working Group
(APWG): http://www.antiphishing.org
[3] Cain&Abel: http://www.oxid.it
[4] Vulnerabilidad en el Cortafuegos de
Symantec: http://securityresponse.
symantec.com/avcenter/security/
Content/2004.06.21.html
[5] Ataque de la cach de DNS: http://isc.
sans.org/diary.php?date=2005-03-04

Nmero 20

25