Año 3 - N° 12 | Diciembre 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

 

 E-Fraude

 
 
 
Phishing y Pharming aprovechan vulnerabilidades del ADSL
Por Lic.María Virginia Dell’Arciprete
ITPros Argentina

Hace unos días se supo de otra forma de ataques de phishing y pharming: ahora las víctimas son los routers ADSL.

El ataque se inicia con el ya conocido SPAM, los usuarios reciben un mensaje de e-mail que les dice que entren al link para visitar una postal virtual. Si el usuario visita la página podrá ver una animación flash que a simple vista parece inofensiva, pero esa misma página intentará, mientras está viendo la postal, modificar la configuración de su router ADSL.

Más específicamente, el sitio web incluye en su código HTML llamadas a direcciones internas, relativas a direcciones IP con las que suelen estar configuradas por defecto las LAN de los routers.

Los rangos de direcciones IP son direcciones privadas que no están accesibles, y que se utilizan para conectar la PC con el router ADSL. El código del sitio web, al ejecutarse en el browse del usuario, puede hacer referencias a esas IPs privadas.

Una vez llevado a cabo el ataque, cada vez que el usuario intente visitar un sitio web “X”, el router irá a una IP diferente, y en el browse aparecerá una web falsa que solicitará al usuario, clave de acceso y la clave dinámica Netkey del token.

En todo momento el usuario verá en pantalla la dirección correcta del sitio web “X”, si bien no el https de servidor seguro. Cuando la información es capturada, los atacantes podrán hacerse pasar por la víctima y realizar transacciones en su nombre.

La novedad de este ataque de pharming (adultera la resolución DNS) y phishing (una web falsa pide las credenciales), es que el dispositivo atacado es el router ADSL y el sistema del usuario sólo hace de puente para llevar a cabo el ataque.

Un ejemplo más que claro, si bien sucedió en España, no quita que pudiéramos recibirlo aquí: http://blog.hispasec.com/laboratorio/255

Consecuentemente, el ataque es transparente, no lo detecta ningún antivirus. Esto llevará a los usuarios a un sitio web falso cada vez que introduzcan en el browser la dirección correcta del Banco.

Todo esto nos lleva a pensar que se debería hacer hincapié en la seguridad de los routers ADSL, exigiendo a las operadoras o instaladores que los routers instalados estén libres de vulnerabilidades conocidas y que permitan una password personalizada (no la que viene por defecto).
 

  

 

 

 

María Virginia Dell’Arciprete
ITPros Argentinao
 virginia@itprosargentina.com.ar


Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales