Pharming en los bancos
En este articulo explicaremos un poco sobre que es este tipo de amenanza, y sobre como poder estar mas precavidos, y tratar de no caer en este tipo de vulnerabilidad.
Pues actualmente, solo los clientes de Banamex están siendo afectados por esta vulnerabilidad, porque su sistema pide todos los datos al iniciar sesion en bancanet, y no pide una segunda clave para traspasos, a pesar de que en artículos pasados ya mencionamos que Banamex lo podría solucionar, aun no lo ha hecho, aunque como leerán mas abajo, esta intentando solucionarlo de otra manera, que podría ser efectiva, pero no tanto si su sistema mejor pidiera otra clave para traspasos.
Empezamos por Explicar que es el Pharming, pero para ello explicaremos como funcionan algunas cosas.
Cuando nosotros entramos a una pagina web, como banamex.com, o banamex.com.mx,
o yahoo.com, etc, estas paginas estan alojadas en un SERVIDOR, o Computadora que
esta siempre encencida y conectada a la RED DE INTERNET, para que nosotros nos
podamos comunicar con ella. Estos SERVIDORES tienen una direccion IP con numeros,
y asi cuando nos conectamos a una pagina realmente nos estamos conectando a ese
servidor.
Esto es posible a traves del DNS, como explicamos anteriormente en:
http://www.robosbancarios.com/2006/03/definiciones.html
Asi, un Nombre de Dominio, tiene en su registro de DNS un numero, el cual es el numero IP del SERVIDOR.
El Pharming consiste en Cambiar ese NUMERO IP DEL SERVIDOR, por lo que en vez de estar viendo el IP ORIGINAL de la pagina, estaríamos en otra pagina que aparenta ser IGUAL para engañarnos e introduzcamos nuestros datos, pero es dificil de detectar, ya que en la barra de direcciones seguimos viendo el NOMBRE DEL DOMINIO Correctamente. Esto se Logra en Windows, modificando un archivo llamado hosts, el cual se localiza normalmente en:
C:/WINDOWS/SYSTEM32/DRIVERS/ETC/
host
Dicho archivo lo podemos abrir con el Bloc de Notas, y Debe contener algo como lo siguiente:
|
Archivo Host Normal en Windows |
| # Copyright (c) 1993-2006 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost ::1 localhost |
El símbolo de # solo indica que es un comentario dentro del archivo, y lo que no tiene el Símbolo #, es ya la información que procesa nuestra computadora, que como vemos en este ejemplo, dice:
127.0.0.1 localhost Lo cual solo nos esta indicando que nuestra maquina es el servidor local con numero 127.0.0.1 (que es el numero que debe tener). Este archivo por lo general nunca lo tenemos que modificar, porque no nos interesa hacer cambios en las direcciones ip y nombres de dominio. Pero como vemos en el cuadro anterior, viene un Ejemplo de como se puede modificar:
102.54.94.97 rhino.acme.com # servidor origen
Asi, podemos indicar que cuando se acceda a la pagina rhino.acme.com, nos dirija
al servidor 102.54.94.97, y lo demás después del Símbolo # solo son
comentarios
Con esto, estamos forzando a que siempre esa pagina nos lleve a ese Servidor, y
no al servidor registrado en el DNS del dominio original.
Manuel Lara, quien fue victima de un fraude en Banamex, nos proporciona un archivo Host modificado:
|
Archivo Host Modificado |
| 69.72.195.140 boveda.banamex.com.mx 69.72.195.140 www.boveda.banamex.com.mx 69.72.195.140 bancanetempresarial.banamex.com.mx 69.72.195.140 www.bancanetempresarial.banamex.com.mx 69.72.195.140 www.banamex.com.mx 69.72.195.140 banamex.com.mx 69.72.195.140 www.banamex.com 69.72.195.140 banamex.com |
Esto es a lo que se llama Pharming, ya que se esta forzando que cuando
entremos al portal de Banamex, nos redirigan a un SERVIDOR DISTINTO, que no es
el de BANAMEX, pero que simula serlo, para que ingresemos nuestras claves. Para
empezar, no deberíamos de tener ninguna pagina en ese archivo y menos la pagina
de nuestro banco.
Podemos revisar de donde viene ese IP en:
http://www.ip2location.com/free.asp y al ingresar 69.72.195.140 Nos muestra
lo siguiente:
Banamex.com.mx al tener Terminacion .mx esta registrado con NIC Mexico (www.nic.mx), asi que si consultamos con NIC Mexico, nos indicara que el nombre de Dominio banamex.com.mx esta registrado con los siguientes datos:
http://www.nic.mx/es/Busqueda.Who_Is_3?domain_name=banamex&domain_type=1&template_type=1
| DOMINIO: banamex.com.mx FECHA DE CREACION: 16-MAR-98 FECHA DE ULTIMA MODIFICACION: 11-SEP-07 CONTACTO REGISTRANTE: BANCO NACIONAL DE MEXICO S.A. [banco8] DOMICILIO: MEXICO, Distrito Federal, México ORGANIZACION: Banco Nacional de Mexico [banco17] CONTACTO ADMINISTRATIVO: Domain Administration [domai115] DOMICILIO: Mexico, D.F., México CONTACTO TECNICO: Technical Administration [techn21] DOMICILIO: Mexico, D.F., México CONTACTO DE PAGO: Laura Cano Diaz [olive16] DOMICILIO: México, D.F., México SERVIDOR PRIMARIO: nmxjar-edns01.banamex.com.mx IP PRIMARIO: 192.193.204.74 SERVIDOR SECUNDARIO: nmxmty-edns01.banamex.com.mx IP SECUNDARIO: 192.193.207.41 |
Como podrán ver, El numero IP del Servidor de Banamex en estos momentos es
192.193.204.74, y no los números IP mostrados en el archivo host modificado.
Podemos revisar de donde viene ese IP en:
http://www.ip2location.com/free.asp y al ingresar 192.193.204.74 Nos muestra
lo siguiente:
Si tu archivo Host llegara a estar modificado, solo necesitas borrar todos esos números que hacen que vayas a otro servidor falso, y solo dejar:
| 127.0.0.1 localhost ::1 localhost |
En Windows Vista, tenemos la opción de Proteger el archivo host contra
Escritura, para ello:
Hacer clic con el boton derecho y darle en PROPIEDADES
Luego en SEGURIDAD, y luego en EDITAR
Ahi, para cada uno de los usuarios, escoger que DENEGE la Escritura del Archivo,
y con eso, ya no se podrá modificar
Pues cuando algún código lo intentara, se abrirá una ventana alertándonos de
ello, y pidiéndonos si deseamos permitirlo
En Resumen, si tu host esta modificado, al teclear banamex.com.mx podrías estar entrando a un servidor falso, y al ingresar tus claves, estarias enviandoselas a alguien mas, que despues entraria al portal correcto del banco y haria movimientos a otras cuentas para robarse todo el dinero.
LO QUE ESTA HACIENDO BANAMEX
Bueno, según nos informan, Banamex esta regalando Norton Internet Security por 1 Año a sus usuarios de Banca en Linea, pero la version 2007, cuando la actual es 2008, o sea, un año atrasada.
Según
las especificaciones del producto (Ver comparativo de las funciones de Los Programas de Norton)
Este no tiene proteccion AntiPharming, pero en el folleto de Banamex, dice
que si tiene Proteccion AntiPharming, y segun una prueba que hicimos del
producto, si tiene esa protección, por lo que se empieza a ver que Banamex esta
intentando solucionar el problema de esta forma.
De lo productos de Norton, otro que tambien tiene Proteccion
AntiPharming es el Norton Confidential (y Norton 360 que incluye todo):
Ver Especificaciones y Preguntas sobre Norton Confidential
ADEMAS, LO QUE RECOMIENDA NORTON CONTRA EL PHARMING:
Verifique el certificado. Sólo lleva unos segundos saber si un sitio al que
se accede es legítimo. En la última versión de Internet Explorer y en muchos
otros navegadores Web de uso frecuente, vaya a "Archivo" en el menú
principal y seleccione "Propiedades", o haga clic en el botón derecho del
mouse en algún lugar de la pantalla del navegador y, desde el menú emergente,
haga clic en" Propiedades". Cuando aparece la casilla "Propiedades" haga
clic en "Certificados" y verifique que el sitio tenga un certificado
seguro de su propietario legítimo.
LA MEJOR SOLUCIÓN
Claro, aqui la mejor solucion esta en ellos (el banco), porque el banco puede modificar su sistema, para que cuando quieras hacer un traspaso, se te pida otra clave mas, y asi si alguien tuviera tus datos de entrada al sistema de bancanet, aun le faltaria un password mas, que no tendria, y no podria hacer nada. Esto nos pareceria incluso mas rapido, que regalar el norton internet security, porque el usuario no necesitaría instalar nada para que se haga esta modificación en el sistema del banco.
Otra Solución, es investigar y atrapar al culpable, que creemos es la mejor, pero los bancos se siguen empeñando en ocultar al culpable, ya que:
- No quiere dar información de la IP de la persona que hizo los movimientos fraudulentos, para al menos saber desde que lugar, y ciudad cometió el fraude
- No quiere dar información de las cuentas a donde va a parar el dinero, o sea, la persona que aperturo las cuentas
- No quiere dar información sobre videos sobre la persona que retiro el dinero en cajeros o en ventanilla
Asi que para que nos quieren desorientar con tantos tecnisismos, cuando la solucion es atrapar al culpable, y la negativa de los bancos a hacerlo nos lleva a pensar que esta encubriendo la verdad de todo, que al no ser clara, nos lleva a especular que podrían ser sus mismos empleados los que cometen el fraude.
Y que quede claro que:
- No importa de donde vino la infección de Pharming, ya sea por leer postales de gusanito, o haber leido un email con codigo HTML, o haber hecho clic en una pagina de un email, pues lo realmente importante, es Saber "Quien esta cobrando ese dinero del Fraude"
Ya que mientras el ladrón siga sin castigo, este siempre estará buscando nuevas formas de cometer fraudes y es inadmisible que en este pais se siga permitiendo la impunidad y falta de castigo al delincuente.
Comentarios
""No quiere dar información de la IP de la persona que hizo los movimientos fraudulentos, para al menos saber desde que lugar, y ciudad cometió el fraude""
Y ustedes creen que los black hats van a usar su ip, minimo usan 5 proxys se conectan a uno y este se conecta a otro al otro lado del mundo y asi sucesivamente,
Publicado por: Mr H | Abril 30, 2008 2:03 PM
Hola Mr. H
Eso no exculpa a los bancos de esconder la informacion.
Estos rateros ni siquiera necesitan usar varios proxys, pues no son ni siquiera hackers expertos, sino solo empleados del banco robando.
Tambien, las cuentas a donde va a parar el dinero, son cuentas en Mexico, y de ellas el banco tampoco da ninguna informacion.
Conclusion: Se esta protegiendo totalmente al delincuente, por eso ni siquiera necesitan ser hackers, porque estan totalmente cubiertos por los bancos y las leyes que permiten esto.
Publicado por: Ivan | Junio 9, 2008 11:20 PM
Existe una manera de reportar ip address, de alguna manera me modificaron el archivo host y casi caigo en la trampa, al entrar al sitio falso de bancomer tecle las clave de acceso y cuenta y luego me solicitaron la clave de transferencias, la cual no di, despues teclee claves patito y enseguida se bloqueo el acceso al servidor, cheque el archivo host y tal como lo describen aqui tenia rediccionamientos para casi todos los bancos de mexico a esta direccion ip
67.207.190.41 es de un servidor de estados unidos, donde puedo reportar esta fraudulenta direccion?
Publicado por: Hector Camacho | Agosto 15, 2008 1:04 AM
hola buen dia, tengo dudas al respecto de los robos bancarios. cuando un delincuente hace una transferencia (fraude) a una cuenta bancaria como es que retiran el dinero? sin ser detectados muchas gracias un saludo
Publicado por: antonio | Agosto 30, 2008 8:19 PM
hola buen dia, quiero de antemano felicitar a al equipo por esta informacion tan bien detallada y a la vez compartir mi experiencia de hacking o pharming o como quieran llamale, con mi cuenta HSBC, resulta que el dia 08 de enero de 2009, se hacen abono de tiemo aire desde banca por internet en donde tengo 3 numeros de cuentas, en las que hicieron 6 abonos por 500 pesos en cada una de ellas (Total 18 Abonos 9,000.00 pesos).
Leyendo esta informacion pongo en practica la opcion de localizar la ip que efectivamente tengo registrada en el arcivo hosts 189.186.39.10 ubicada en los mochis, sinaloa.
los abonos de tiempo aire se realizaron a estos numeros:
Lada Mexico,DF.
55-50-74-63-42 $2500.00
Lada Guamuchil,Sin.
673-120-4297 $2500.00
Lada El Tule o Dorado,Sin.
667-245-4707 $1500.00
667-137-8501 $1000.00
667-222-5774 $1000.00
667-143-3485 $500.00
Segun tengo entendido hay una division de la PFP que es la policia cibernetica, mas al intentar comunicarme con dicha dependencia contesta la "Srita. Conmutador" diciendo "Gracias por llamar a atencion ciudadana .......", "de momento todos los operadores se encuentran ocupados pero que con gusto regresaran la llamada" sigo esperando aque se comunique la "Srita. Cunmutador"
espero que haya la manera de dar con los responsables de todo esto.
Publicado por: Luis Garcia | Enero 9, 2009 1:59 PM
LA Empresa FINSOL es una empresa ya con planes de comspirar al cliente victima , Los ejecutivos ya entrenaron a sus empleados y a los que forman los grupos para asi lograr provocar la denuncia
asi el cliente y lograr embargar sus propiedades y lo logran a base de puro
chantaje psicologico y estorcionando al cliente vivtima , FINSOL es una empresa fantasma que hasta al gobierno esta haciendo fraude osea lavado de dinero , impuestos , avicen a todos los mexicanos que aqui en mexico ya estan , aqui en veracruz ya le robaron a mucha gente miren en
www.youtube.com y hagan clik en FINSOL FRAUDE , y veran que en minatitla veracruz ya robaron ....
FINSOL ES PURO FRAUDE y sobre todo se aprovecha de gente humilde y digna que ignoran el sitema legal y hasta les falsifican la firma del cliente victima .
Publicado por: Leo ramos | Octubre 18, 2009 12:20 AM
Que mal esta ese comentario sobre Finsol, dicha empresa es una institucion seria, la cual esta normada por la CNBV, por tanto no es un fraude!!
Es cierto que, como en toda empresa, existen malos elementos los cuales desprestigian a una empresa cuya finalidad es apoyar a quienes menos tiene para mejorar su nivel de vida, a esas personas en cuanto se les detecta una mala practica se le da de baja inmediatamente.
ah y de que no pagan impuestos a hacienda, pueden revisar qui les dejo el RFC de la empresa.... FIN-030101-QW6
Publicado por: ALDO PEREZ | Mayo 5, 2010 11:00 PM