En este articulo explicaremos un poco sobre que es este tipo de amenanza, y
sobre como poder estar mas precavidos, y tratar de no caer en este tipo de
vulnerabilidad.
Pues actualmente, solo los clientes de Banamex están siendo afectados por
esta vulnerabilidad, porque su sistema pide todos los datos al iniciar sesion en
bancanet, y no pide una segunda clave para traspasos, a pesar de que en
artículos pasados ya mencionamos que Banamex lo podría solucionar, aun no lo ha
hecho, aunque como leerán mas abajo, esta intentando solucionarlo de otra
manera, que podría ser efectiva, pero no tanto si su sistema mejor pidiera otra
clave para traspasos.
Empezamos por Explicar que es el Pharming, pero para ello explicaremos como
funcionan algunas cosas.
Cuando nosotros entramos a una pagina web, como banamex.com, o banamex.com.mx,
o yahoo.com, etc, estas paginas estan alojadas en un SERVIDOR, o Computadora que
esta siempre encencida y conectada a la RED DE INTERNET, para que nosotros nos
podamos comunicar con ella. Estos SERVIDORES tienen una direccion IP con numeros,
y asi cuando nos conectamos a una pagina realmente nos estamos conectando a ese
servidor.
Esto es posible a traves del DNS, como explicamos anteriormente en:
http://www.robosbancarios.com/2006/03/definiciones.html
Asi, un Nombre de Dominio, tiene en su registro de DNS un numero, el cual es
el numero IP del SERVIDOR.
El Pharming consiste en Cambiar ese NUMERO IP DEL SERVIDOR, por lo que en vez
de estar viendo el IP ORIGINAL de la pagina, estaríamos en otra pagina que
aparenta ser IGUAL para engañarnos e introduzcamos nuestros datos, pero es
dificil de detectar, ya que en la barra de direcciones seguimos viendo el NOMBRE
DEL DOMINIO Correctamente. Esto se Logra en Windows, modificando un archivo
llamado hosts, el cual se localiza normalmente en:
C:/WINDOWS/SYSTEM32/DRIVERS/ETC/
host
Dicho archivo lo podemos abrir con el Bloc de Notas, y Debe contener algo
como lo siguiente:
Archivo Host Normal en Windows |
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
::1 localhost |
El símbolo de # solo indica que es un comentario dentro del archivo, y lo que
no tiene el Símbolo #, es ya la información que procesa nuestra computadora, que
como vemos en este ejemplo, dice:
127.0.0.1 localhost Lo cual solo nos esta indicando que nuestra maquina es el
servidor local con numero 127.0.0.1 (que es el numero que debe tener). Este
archivo por lo general nunca lo tenemos que modificar, porque no nos interesa
hacer cambios en las direcciones ip y nombres de dominio. Pero como vemos en el
cuadro anterior, viene un Ejemplo de como se puede modificar:
102.54.94.97 rhino.acme.com # servidor origen
Asi, podemos indicar que cuando se acceda a la pagina rhino.acme.com, nos dirija
al servidor 102.54.94.97, y lo demás después del Símbolo # solo son
comentarios
Con esto, estamos forzando a que siempre esa pagina nos lleve a ese Servidor, y
no al servidor registrado en el DNS del dominio original.
Manuel Lara, quien fue victima de un fraude en Banamex, nos proporciona un
archivo Host modificado:
Archivo Host Modificado |
69.72.195.140 boveda.banamex.com.mx
69.72.195.140 www.boveda.banamex.com.mx
69.72.195.140 bancanetempresarial.banamex.com.mx
69.72.195.140 www.bancanetempresarial.banamex.com.mx
69.72.195.140 www.banamex.com.mx
69.72.195.140 banamex.com.mx
69.72.195.140 www.banamex.com
69.72.195.140 banamex.com |
Esto es a lo que se llama Pharming, ya que se esta forzando que cuando
entremos al portal de Banamex, nos redirigan a un SERVIDOR DISTINTO, que no es
el de BANAMEX, pero que simula serlo, para que ingresemos nuestras claves. Para
empezar, no deberíamos de tener ninguna pagina en ese archivo y menos la pagina
de nuestro banco.
Podemos revisar de donde viene ese IP en:
http://www.ip2location.com/free.asp y al ingresar 69.72.195.140 Nos muestra
lo siguiente:
Banamex.com.mx al tener Terminacion .mx esta registrado con NIC Mexico (www.nic.mx),
asi que si consultamos con NIC Mexico, nos indicara que el nombre de Dominio
banamex.com.mx esta registrado con los siguientes datos:
http://www.nic.mx/es/Busqueda.Who_Is_3?domain_name=banamex&domain_type=1&template_type=1
DOMINIO: banamex.com.mx
FECHA DE CREACION: 16-MAR-98
FECHA DE ULTIMA MODIFICACION: 11-SEP-07
CONTACTO REGISTRANTE: BANCO NACIONAL DE MEXICO S.A. [banco8]
DOMICILIO: MEXICO, Distrito Federal, México
ORGANIZACION: Banco Nacional de Mexico [banco17]
CONTACTO ADMINISTRATIVO: Domain Administration [domai115]
DOMICILIO: Mexico, D.F., México
CONTACTO TECNICO: Technical Administration [techn21]
DOMICILIO: Mexico, D.F., México
CONTACTO DE PAGO: Laura Cano Diaz [olive16]
DOMICILIO: México, D.F., México
SERVIDOR PRIMARIO: nmxjar-edns01.banamex.com.mx
IP PRIMARIO: 192.193.204.74
SERVIDOR SECUNDARIO: nmxmty-edns01.banamex.com.mx
IP SECUNDARIO: 192.193.207.41 |
Como podrán ver, El numero IP del Servidor de Banamex en estos momentos es
192.193.204.74, y no los números IP mostrados en el archivo host modificado.
Podemos revisar de donde viene ese IP en:
http://www.ip2location.com/free.asp y al ingresar 192.193.204.74 Nos muestra
lo siguiente:
Si tu archivo Host llegara a estar modificado, solo necesitas borrar todos
esos números que hacen que vayas a otro servidor falso, y solo dejar:
127.0.0.1 localhost
::1 localhost |
En Windows Vista, tenemos la opción de Proteger el archivo host contra
Escritura, para ello:
Hacer clic con el boton derecho y darle en PROPIEDADES
Luego en SEGURIDAD, y luego en EDITAR
Ahi, para cada uno de los usuarios, escoger que DENEGE la Escritura del Archivo,
y con eso, ya no se podrá modificar
Pues cuando algún código lo intentara, se abrirá una ventana alertándonos de
ello, y pidiéndonos si deseamos permitirlo
En Resumen, si tu host esta modificado, al teclear banamex.com.mx podrías
estar entrando a un servidor falso, y al ingresar tus claves, estarias
enviandoselas a alguien mas, que despues entraria al portal correcto del banco y
haria movimientos a otras cuentas para robarse todo el dinero.
LO QUE ESTA HACIENDO BANAMEX
Bueno, según nos informan, Banamex esta regalando Norton Internet
Security por 1 Año a sus usuarios de Banca en Linea, pero la version
2007, cuando la actual es 2008, o sea, un año atrasada.
Según
las especificaciones del producto (Ver comparativo de las funciones de Los Programas de Norton)
Este no tiene proteccion AntiPharming, pero en el folleto de Banamex, dice
que si tiene Proteccion AntiPharming, y segun una prueba que hicimos del
producto, si tiene esa protección, por lo que se empieza a ver que Banamex esta
intentando solucionar el problema de esta forma.
De lo productos de Norton, otro que tambien tiene Proteccion
AntiPharming es el Norton Confidential (y Norton 360 que incluye todo):
Ver Especificaciones y Preguntas sobre Norton Confidential
ADEMAS, LO QUE RECOMIENDA NORTON CONTRA EL PHARMING:
Verifique el certificado. Sólo lleva unos segundos saber si un sitio al que
se accede es legítimo. En la última versión de Internet Explorer y en muchos
otros navegadores Web de uso frecuente, vaya a "Archivo" en el menú
principal y seleccione "Propiedades", o haga clic en el botón derecho del
mouse en algún lugar de la pantalla del navegador y, desde el menú emergente,
haga clic en" Propiedades". Cuando aparece la casilla "Propiedades" haga
clic en "Certificados" y verifique que el sitio tenga un certificado
seguro de su propietario legítimo.
LA MEJOR SOLUCIÓN
Claro, aqui la mejor solucion esta en ellos (el banco), porque el banco puede modificar su
sistema, para que cuando quieras hacer un traspaso, se te pida otra clave mas, y asi si alguien tuviera tus datos de entrada al sistema de bancanet, aun le
faltaria un password mas, que no tendria, y no podria hacer nada. Esto nos
pareceria incluso mas rapido, que regalar el norton internet security, porque el
usuario no necesitaría instalar nada para que se haga esta modificación en el
sistema del banco.
Otra Solución, es investigar y atrapar al culpable, que creemos es la mejor,
pero los bancos se siguen empeñando en ocultar al culpable, ya que:
- No quiere dar información de la IP de la persona que hizo los
movimientos fraudulentos, para al menos saber desde que lugar, y ciudad
cometió el fraude
- No quiere dar información de las cuentas a donde va a parar el dinero, o
sea, la persona que aperturo las cuentas
- No quiere dar información sobre videos sobre la persona que retiro el
dinero en cajeros o en ventanilla
Asi que para que nos quieren desorientar con tantos tecnisismos, cuando la
solucion es atrapar al culpable, y la negativa de los bancos a hacerlo nos lleva
a pensar que esta encubriendo la verdad de todo, que al no ser clara, nos lleva
a especular que podrían ser sus mismos empleados los que
cometen el fraude.
Y que quede claro que:
- No importa de donde vino la infección de Pharming, ya sea por leer
postales de gusanito, o haber leido un email con codigo HTML, o haber hecho
clic en una pagina de un email, pues lo realmente importante, es Saber "Quien
esta cobrando ese dinero del Fraude"
Ya que mientras el ladrón siga sin castigo, este siempre estará buscando
nuevas formas de cometer fraudes y es inadmisible que en este pais se siga
permitiendo la impunidad y falta de castigo al delincuente.