Pharming con NIC.AR, más fácil de lo que parece

marzo 11, 2013 § Deja un comentario

Para aquellos que son habituales usuarios de la entidad argentina de registración de nombres, la situación que les voy a comentar no les sorprenderá en absoluto, dentro de las notorias limitaciones que la entidad demuestra poseer y que desde hace años promete solucionar (más allá del bonito cambio de logo realizado durante 2012).

Quienes en su afán de generar proyectos, o administrar servicios de hosting, posean cientos de nombres de dominios a su nombre les aconsejo presten atención al siguiente problema con el que se pueden ver perjudicados llegado el momento. Sin embargo, este post no está orientado a los domainers argentinos que tienen más de 200 sitios registrados y ante los cuales NIC tampoco hace nada, a pesar de existir la normativa desde hace años.

Comencemos por el principio, NIC.ar es la entidad encargada según la IANA (Internet Assigned Numbers Authority) de administrar todos los dominios bajo la denominación .AR o lo que se suele llamar en la jerga un ccTLD country code Top Level Domain (o simplemente TLD .ar). Tiene bajo su responsabilidad gestionar los dominios de la Argentina, entidad que desde diciembre de 2011 depende de la Secretaria Legal y Técnica de Presidencia de la Nación.

Hecha esta breve introducción, paso a comentarles una situación en la que me ví involucrado, y que destacó un comportamiento inentendible para nosotros de parte de NIC.ar.

Como uds sabrán luego de dar de alta un dominio, con todos los mails que van y vienen tratando de respetar las arcaicas reglas NIC.ar, llega el momento de dar de alta la delegación del dominio, momento en el cual debemos definir lo DNS que vamos a utilizar para nuestro sitio web, que para este caso será mi-nuevo-dominio.com.ar.

Al momento de querer utilizar los DNS que nuestro proveedor de hosting nos otorgó; o bien si tenemos nuestros DNS propios, si estos no existen en la base de datos de NIC, este nos exigirá que registremos esos DNS con las IPs definida a nombre de nuestra entidad.

Y aquí es donde las incoherencias comienzan, en primer lugar, ¿cuál es el control que realiza NIC para validar si realmente somos dueños de esos DNS? ¡Ninguno! o, si realiza alguno no parece cumplir su objetivo.

Y ¿si quiero registrar el DNS ns1.google.com.ar? (del cual obviamente no soy el dueño ni responsable), tampoco hay ningún problema. NIC simplemente registra lso DNS para tener una referencia interna a la cual apuntar al dar de alta las nuevas delegaciones, pero no valida en ningún momento si realmente deberíamos poder registrarlos o no.

De todas formas, supongamos que NIC tiene alguna razón (que nosotros no entendemos), para elegir este esquema; este proceso no termina allí, sino que tambíen podemos registrar DNS de cualquier otro TLD. Por lo tanto podemos registrar un DNS .com .net .es o lo que se nos venga en gana, siempre y cuando alguien no lo haya hecho antes.

Y, ¿si registramos un DNS que alguien más tendrá que usar en el futuro? Muchos proveedores de hosting como Godaddy, Rackspace o cualquier otro nos otorgan sus propios DNS al dar de alta un dominio. Muchas veces por un tema de practicidad (o porque simplemente no tenemos un DNS propio) terminamos usando estos, o bien utilizamos servicios de DNS gratuitos como ZoneEdit o CDMon, etc. (todos ellos ya registrados en NIC por alguna persona desconocida).

Ahora, si cualquiera pudo registrar estos DNS y nosotros necesitamos utilizar esos DNS “publicos” ya registrados previamente, la única opción que tenemos, es… utilizarlos, por más que el que lo haya registrado sea alguna otra persona de la que no sabemos si es el responsable por parte del proveedor, o simplemente alguien que lo necesitaba o, peor aún, alguien con malas intenciones.

Por nuestra parte podemos elegir un DNS cualquiera sin pedir ningún tipo de autorización y simplemente utilizar el nombre y la IP que nos otorgo nuestro proveedor de DNS. NIC tampoco realizará ninguna verificación adicional.

Ahora, planteemos esta situación: una persona malintencionada, registra un DNS, que es utilizado por alguna entidad con TLD .ar o cualquier otro extranjero, digamos el DNS “ns1.freedns.com”. Seguramente tarde o temprano muchos usuarios usaran ese DNS cuando desde NIC se solicite delegar su dominio, ya que su proveedor les asigno los mismos y nadie tiene idea de los controles que (no) hace NIC en Argentina.

Ejemplos:

  • mi-nuevo-dominio.com.ar | Delegacion en NIC.ar | ns1.freedns.com | Resolución DNS | HOME MI NUEVO DOMINIO
  • happy-domain.com.ar | Delegacion en NIC.ar | ns1.freedns.com | Resolución DNS | HOME HAPPY DOMAIN

En esta situación quien haya registrado el DNS “ns1.freedns.com” tiene cautivos todos los dominios que se registren y lo utilicen el futuro.

¿Por qué “cautivos”? Debido a que, quien registra el DNS originalmente es el “dueño” (solo él puede hacer cambios a través de su correo electrónico) y según la política de NIC puede modificar los datos de “su” DNS: puede cambiarle la IP asociada y/o su nombre (ns1.freedns.com en este caso).

Y aquí es donde la magia sucede. Aparentemente, la asociación que NIC realiza, de nuestro dominio, con el DNS asociado, la lleva a cabo mediante el ID del mismo, con el cual vincula TODOS los dominios apuntados al DNS con nuestro registro “ns1.freedns.com“. Por lo tanto, como ya se estarán imaginando, con un simple trámite de modificación se puede realizar lo siguiente.

1. DNS actual:

  • Titular: Pepe Phishing
  • ns1.freedns.com | IP: 1.2.3.4 | Asociación por ID (ej: ID=2000) | (mi-nuevo-dominio.com.ar)
  • (happy-domain.com.ar)
  • (domain-X.com.ar)

2. Ingreso al formulario de NIC.ar
3. Modificación de DNS

  • Nuevo nombre DNS: ns1.phisinglibre.es | Asociación por ID (ID=2000) | Nueva IP: 4.5.6.7
  • Impacta en (mi-nuevo-dominio.com.ar)
  • Impacta en (happy-domain.com.ar)
  • Impacta en (domain-X.com.ar)
  • Impacta en …

Este cambio se replica en TODOS los dominios asociados, sin NINGÚN trámite adicional y sin ningún aviso a los dueños de los dominios (entidades responsables, técnicos o lo que sea, no llega ningún aviso por este cambio), planteandose la siguiente situación:

  • mi-nuevo-dominio.com.ar | Delegacion en NIC.ar | ns1.phising-libre.es | Resolución DNS | PHISING HOME
  • happy-domain.com.ar | Delegacion en NIC.ar | ns1.phising-libre.es | Resolución DNS | FAKE DOMAIN
  • domain-X.com.ar | Delegacion en NIC.ar | ns1.phising-libre.es | Resolución DNS | DOMINIO DE DELINCUENTE

De esta forma, es posible registrar metódicamente muchos DNS, que luego nos proveerán dominios. NIC nunca avisa a quien registra el DNS cuando alguien eligió su DNS por lo que luego se puede utilizar el DNS cambiado en forma masiva, para monetizar campañas, robo de datos, etc.

Es decir, se puede realizar Pharming simplemente realizando un trámite, sin concentimiento de quienes registraron los dominios y para utilizarlo con cualquier objetivo dañino.
Además, el mismo procedimiento se puede realizar si alguien (con malas intenciones) roba el acceso al correo electrónico de una persona que haya registrado un DNS (con buenas intenciones), ya que desde ese momento podría cambiar la delegación de dichos DNS.

Esta situación, fue reportada a NIC, en varias ocasiones, por todos los medios (correo electrónico, Facebook, Twitter y telefónicamente) con respuestas poco convincentes. Desde la parte técnica no hay preocupación alguna por mantener una política coherente en la protección al usuario y de los dominios, la cual debería ser uno de los objetivo primarios de NIC.
Es dificil de entender, cómo en un ámbito de donde se intenta evitar este tipo de técnicas, tengamos
un sistema (con constantes promesas de actualización) que nos remite 25 años hacia atrás y sin ningún tipo de intención de tomar los reportes de mejoras por parte de los usuarios.

Todo lo explicado está sucediendo actualmente en Argentina y la imagen anterior es un correo que enviado a NIC, ante una situación semejante: una persona cualquiera registró un DNS determinado y luego decidió (quizás sin mala intención) cambiar las direcciones IP.

Para prevenir que esto ocurra y, ante la ineficiencia de NIC, la única solución posible es utilizar DNS propios y tener el control de los mismos. Obviamente esta solución es viable para una organización pero es casi inaplicable para miles de usuarios que simplemente desean tener un sitio pequeño o su blog personal.

Ricardo Temperini para Segu-Info

Falsos mensajes de Claro simulan la recepción de MMS

julio 20, 2011 § 4 comentarios

En el día de hoy nos han reportado un correo que simula provenir de la empresa de telefonía Claro y en el cual se informa que se ha recibido un mensaje MMS. En realidad, el objetivo del correo es propagar un troyano bancario.

El mensaje que recibe el usuario es el siguiente:

Si el usuario hace clic sobre el enlace ingresa al sitio de una popular heladería argentina, cuyo sitio ha sido vulnerado y en el cual se ha alojado una serie de archivos dañinos.
El script PHP
http://www.%5BELIMINADO%5D.com.ar/async/include/novedades/MensajesMultimdia/iclaro/ClaroMultimedia.php descarga un archivo ejecutable ClaroMultimedia.EXE detectado por varios antivirus y cuyo objetivo es modificar el archivo hosts del sistema apuntando varios bancos peruanos a una dirección IP donde se encuentran réplicas de los mismos (Pharming Local):

[ELIMINADO].22.248.234 http://www.viabcp.com
[ELIMINADO].22.248.234 viabcp.com
[ELIMINADO].22.248.234 http://www.bn.com.pe
[ELIMINADO].22.248.234 bn.com.pe

Desde Segu-Info ya nos hemos puesto en contacto con la empresa de la heladería para que proceda a eliminar los archivos dañinos y solucionar las vulnerabilidad en su servidor.

!Gracias a Ernesto por la denuncia!

Actualización 21/07: la heladería ya ha eliminado el archivo dañino de sus servidores.

Cristian de la Redacción de Segu-Info

Pharming a través de Facebook

agosto 29, 2010 § Deja un comentario

por: malware/unam-cert

En días pasados recibimos un correo electrónico que invitaba al usuario a descargar y ver un comentario típico de Facebook.

Al visitar la liga vemos que es de una empresa que ofrece libros por internet, seguramente han vulnerado su servidor y han alojado malware en él, creando una carpeta llamada System32 donde fueron colocados un archivo ejecutable (facebookcomment.exe) y un archivo html (index.html).
|– facebookcomment.exe
— index.html
El ejecutable fue analizado con motores antivirus y apenas fue detectado por dos firmas.

Al hacer un análisis de cadenas, nos percatamos que no se encuentra ofuscado y que fue programado en Visual Basic, un proyecto que el mismo autor llamó pharming.

Al ejecutar el malware en el laboratorio, crea un proceso llamado facebook.exe,
Posteriormente, comienza a conectarse a un sitio de España y descarga una cookie, aproximadamente cada 3 minutos. La cookie se aloja en los archivos temporales de internet.
Crea y aloja en la carpeta System32 un archivo llamado updmnngr.exe.
El tráfico capturado por el sniffer muestra que de dicho sitio en España, trae consigo las cadenas que serán sustituidas en el archivo de hosts.
El archivo de hosts igualmente se encuentra modificándose continuamente, quedando con la siguiente información. 
El malware deja abierto el puerto 1320 UDP, posiblemente pueda ser una puerta trasera.
El malware se agrega a la llave de registro updmnngr que hace referencia al archivo que colocó en System32, para poder garantizar su ejecución en cada inicio de sistema.

Comprobamos los sitios phishing a donde hacía referencia y todos se encontraban activos.

Fuente: Proyecto Malware – UNAM CERT

Recibiste una postal de TuParada.com!

agosto 20, 2009 § Deja un comentario

Hola, hemos realizado el análisis de un archivo malicioso que se propaga mediante el correo electrónico aprovechando la ingenuidad del usuario. El correo enviado supuestamente por: postales@tuparada.com y el mensaje del correo electrónico que contiene una liga para la descarga de la postal se muestra a continuación:

Al realizar el análisis del archivo descargado se pudo comprobar que realiza una ataque pharming con las siguientes URLs


Contenido completo en Proyecto Malware (UNAM CERT)

Malware realiza pharming contra bancos del Perú

agosto 9, 2009 § 2 comentarios

Se ha analizado un archivo ejecutable que realiza un ataque de pharming al descargar y ejecutar el archivo video.exe

El malware levanta un servicio de http en el equipo afectado y modifica el archivo de host para direccionar las peticiones bancarias a localhost, los portales afectados son los siguientes:

Contenido completo en Blog Proyecto Malware – UNAM

Malware realiza pharming contra bancos del Perú

agosto 9, 2009 § Deja un comentario

Se ha analizado un archivo ejecutable que realiza un ataque de pharming al descargar y ejecutar el archivo video.exe

El malware levanta un servicio de http en el equipo afectado y modifica el archivo de host para direccionar las peticiones bancarias a localhost, los portales afectados son los siguientes:

Contenido completo en Blog Proyecto Malware – UNAM

Segu-Info contra el Phishing bancario en el diario

junio 22, 2009 § 6 comentarios

Gobierno y bancos crean el dominio “banco.ar” para evitar estafas virtuales

Se buscará ofrecer una mayor transparencia en la actividad de los usuarios de “home banking” y poner un obstáculo a los delincuentes que usan el “phishing”.

El Gobierno nacional y los bancos que operan en el país comenzaron a trabajar esta semana en la creación de un dominio de Internet específico para las actividades bancarias en la Argentina, con el objetivo de reducir los casos de estafas virtuales, conocidas en inglés como “phishing”.

Según explicó a iProfesional.com una fuente que participa en las negociaciones entre la Cancillería, el área del Poder Ejecutivo encargado de administrar los dominios en la red, y los bancos, el nuevo registro se llamaría “banco.ar” (todavía no disponible).

La idea es replicar la experiencia que comenzó hace casi un año con la actividad turística, con el dominio “.tur.ar”. En ese caso, se trató de una iniciativa de la Secretaría de Turismo y de la Cancillería.

A ese registro pueden acceder todas las agencias de viajes habilitadas por el organismo de turismo. El objetivo en ese caso fue proteger los derechos de los turistas, que podrán estar seguros que están contratando por Internet a una agencia habilitada si la página web pertenece al dominio .tur.ar.

Con respecto a los bancos, se buscará ofrecer una mayor transparencia en la actividad de los usuarios de “home banking” por Internet, y en especial poner un obstáculo a los delincuentes que arman y difunden estafas virtuales.

El dominio .tur.ar es administrado por NIC Argentina, organismo dependiente del Ministerio de Relaciones Exteriores y Culto. Esta misma repartición participa en las negociaciones con los bancos. La fuente consultada no precisó cuándo estará vigente el “banco.ar”, aunque resaltó la buena predisposición de todas las partes involucradas en las conversaciones.

Ofensiva delictiva

El “phishing” es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando “spam” e invitando acceder a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios.

El usuario recibe así correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.

De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.

Desde el portal especializado Segu-Info señalaron que “existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario”. Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son, según Segu-Info:

Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una compañía existente, con el fin de confundir aún más al receptor del mensaje.

Utilizar el nombre de un empleado real como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.

Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al usuario hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web (URL) son falsos y se limitan a imitar a los reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.

Factor miedo. “La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido, y que usualmente están relacionadas con nuevas medidas de seguridad recomendadas por la entidad”.

Un caso local

Esta semana, el Banco Galicia fue víctima de esta práctica. Clientes de esta entidad recibieron un mail con un dominio similar al del banco y su logo con el siguiente texto:

“Estamos realizando tareas de actualizaciones en nuestras bases de datos, en todas las actualizaciones de software de nuestras bases de datos necesitamos su colaboración de reingresar a su cuenta home banking”. Luego se informaba de una dirección en la Web donde el usuario debía cargar sus datos personales (nombre de sesión y contraseña).

El mail refleja un caso de esta práctica delictiva, que no cesa de aumentar en los últimos años. Según el último reporte de la empresa Symantec, difundido en abril, las herramientas de esta práctica ilegal continúan profesionalizándose. Incluso, los sitios de phishing en español ocupan el quinto puesto a nivel mundial.

Los delincuentes aprovechan la expansión de la red, conformada por miles de millones de usuarios, donde los blancos nunca se agotan. Sin embargo, los fraudes de phishing se han vuelto más sofisticados y los criminales han desarrollado “una amenaza a la medida de cada usuario”: el fraude bancario es el delito informático profesional más habitual. Los criminales atacan al sistema en su eslabón más débil: el cliente o, cada vez más, la computadora personal del mismo.

El número de credenciales, perfiles o informaciones personales que puede robar un criminal depende de la cantidad de tiempo en que permanece activo un sitio de captura. A medida que los bancos se volvieron igualmente eficaces que ellos para desmantelar los sitios de captura, los criminales han desarrollado técnicas para frustrar estos servicios de desmantelamiento, cambiando rápidamente entre cientos de sitios de captura, aplicando una técnica conocida como “fast-flux” (flujo rápido).

“En realidad, los criminales no desean obtener números de tarjetas de crédito; quieren dinero. Actualmente, transformar las credenciales en dinero efectivo es la parte del proceso que más trabajo conlleva y la más riesgosa. Los números de tarjetas de crédito robados generalmente se intercambian en el mundo de la Internet por un dólar o menos, la pérdida promedio por tarjeta es más de cien veces mayor”, explicó Phillip Hallam-Baker, científico Jefe de VeriSign, empresa encargada de administrar dominios en Internet (ver más en nota relacionada).

Daniel Monastersky, abogado especialista en nuevas tecnologías, apuntó por su parte a iProfesional.com que “si bien no se conocen datos de personas que hayan sido víctimas de este delito, esta modalidad ha crecido enormemente en nuestro país en los últimos meses”.

El letrado, CEO del portal Identidad Robada y socio del estudio de abogados Techlaw, recordó que “al no haber norma que obligue a denunciar estos hechos, los datos son parciales. Se estima que durante el año 2006 las entidades financieras de nuestro país perdieron 500 millones de pesos debido al robo de identidad”.

Prevenciones

Monastersky, socio de Hispasec Sistemas Argentina, representantes en la Argentina de una empresa española de seguridad informática, advirtió que “el riesgo que se corre al no tener políticas preventivas sobre los fraudes electrónicos es la pérdida de confianza por parte de los clientes. El consumidor exige que su institución bancaria difunda y eduque sobre estos tópicos. El desconocimiento, lo único que hará es que los canales electrónicos sean utilizados con mayor cautela y, en muchos casos, pasen a mejor vida”.

Del último informe de la consultora Gartner se desprende que hubo un aumento del 40% en el número de afectados por el phishing en los Estados Unidos.

El mismo documento detalla que los damnificados por esta modalidad sufren pérdidas cercanas a los 350 dólares, en promedio. Un 56 % de esos montos es recuperado por los consumidores y el 44 % restante es absorbido por los sitios de Internet y los bancos.

Según el experto en seguridad Dancho Danchev, el tiempo activo de un sitio de phishing cambia mucho de país a país. Por ejemplo, en Taiwan, el tiempo promedio según el estudio es de 19 horas, mientras que en Australia es de una semana.

“Existe una normativa que impone a los bancos contar con mecanismos de seguridad informática que garanticen la confiabilidad de la operatoria”, explicó Monastersky.

Consejos

Las recomendaciones de Segu-Info para evitar este tipo de estafa son las siguientes:

  • Evite el SPAM ya que es el principal medio de distribución de cualquier mensaje que intente engañarlo. Para ello puede recurrir a nuestra sección de Spam.
  • Tome por regla general rechazar adjuntos y analizarlos aún cuando se esté esperando recibirlos.
  • >Nunca hacer clic en un enlace incluido en un mensaje de correo. Siempre intente ingresar manualmente a cualquier sitio web. Esto se debe tener muy en cuenta cuando es el caso de entidades financieras, o en donde se nos pide información confidencial (como usuario, contraseña, tarjeta, PIN, etc.).
  • Sepa que su entidad, empresa, organización, etc., sea cual sea, nunca le solicitará datos confidenciales por ningún medio, ni telefónicamente, ni por fax, ni por correo electrónico, ni a través de ningún otro medio existente. Es muy importante remarcar este punto y en caso de recibir un correo de este tipo, ignórelo y/o elimínelo.
  • Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S final, nos da un alto nivel de confianza que estamos navegando por una página web segura.
  • Es una buena costumbre verificar el certificado digital al que se accede haciendo doble clic sobre el candado de la barra de estado en parte inferior de su explorador (actualmente algunos navegadores también pueden mostrarlo en la barra de navegación superior).
  • No responder solicitudes de información que lleguen por e-mail. Cuando las empresas reales necesitan contactarnos tienen otras formas de hacerlo, de las cuales jamás será parte el correo electrónico debido a sus problemas inherentes de seguridad.
  • Si tiene dudas sobre la legitimidad de un correo, llame por teléfono a la compañía a un número que conozca de antemano… nunca llame a los números que vienen en los mensajes recibidos.
  • El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este medio.
  • Resulta recomendable hacerse el hábito de examinar los cargos que se hacen a sus cuentas o tarjetas de crédito para detectar cualquier actividad inusual.
  • Use antivirus y firewall. Estas aplicaciones no se hacen cargo directamente del problema pero pueden detectar correos con troyanos o conexiones entrantes/salientes no autorizadas o sospechosas.
  • También es importante que si usted conoce algún tipo de amenaza como las citadas, las denuncie a la unidad de delitos informáticos de su país.

César Dergarabedian
Fuente: iProfesional

¿Dónde estoy?

Actualmente estás explorando la categoría pharming en Seguridad Informática.