El Pharming es un método empleado para hacernos creer que estamos en una página web, cuando realmente estamos en otra, una copia, en muchos casos si el pirata de turno es bueno, será una copia exactamente igual, incluyen hasta los fallos de programación de la web original, esto es sencillo, con hacer un Ctrl+u dentro de la página original, obtenemos el código fuente en pantalla, basta copiar el código y pegarlo en la web que queremos falsificar, dando el pego totalmente, ahora bien, dónde radica que caigamos en la página oficial o en la página trampa...
En Windows tenemos un archivo llamado Hosts, este archivo se encarga de redireccionar las dns correctamente, pero la simple modificación de una línea indicando una ip distinta a una determinada página, hará que cuando escribamos esa dirección concreta en el navegador nos lleve a la página falsa, esta explicación es un poco general, voy a poner un ejemplo que nos permitirá entender mejor cómo funciona.
Dependiendo de la seguridad de nuestro pc, el simple hecho de recibir un correo, abrirlo y pulsar sobre un enlace, nos puede generar una descarga que suplante nuestro archivo Hosts, o también puede ocurrir cuando descargamos desde internet en páginas de dudosa reputación. Ese archivo que descargamos resulta ser un archivo comprimido en formato zip, rar, ppt o similares, de forma que no solo se descarga lo que queremos, sino, también lo que no queremos, que además tiene instrucciones de ejecutarse en segundo plano o cuando reiniciemos el pc, si nuestro sistema no está protegido al ejecutar ese archivo "como administrador" este no tendrá mayores problemas en añadir una línea en el archivo Hosts, o directamente suplantarlo, hay quien dirá que esto no puede ser tan sencillo, bueno, puede que sí o puede que no, depende de la seguridad que tengas implementada en tu pc, pero tan válido es inyectar una línea en tu Hosts cómo reemplazar el archivo o contenido, o cambiar el nombre del archivo original al mismo tiempo que se crea uno nuevo con el nombre del original y distinto contenido.
Y nos cambian una línea, donde antes teníamos este contenido en el archivo Hosts:# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handle within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
Ahora resulta que tenemos esto:# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handle within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
# 16.58.201.142 recarga-tarjeta.com
Aclaro que para el ejemplo utilizo una ip de google, aquí le hemos indicado a nuestro pc que cuando pongamos esa url en el navegador, se vaya a recarga-tarjeta.com
Vamos a imaginar que tenemos que recargar nuestra
tarjeta de prepago con criptomoneda, para ello vamos a la página oficial que nos proporcionó la tarjeta, escribimos su dirección web (URL) en el navegador, y escribimos recarga-tarjeta.com, pero aquí está la madre del cordero, cuando pongamos ese nombre de dominio en el navegador, en realidad, nuestro pc obviando nombres de dominio y DNS (servidores de nombres) nos llevará directos a la url que haya bajo la ip 16.58.201.142 que bien puede aparecer en el navegador como recarga-tar
geta.com, fijaros que he cambiado la "j" de tarjeta por la "g" de “tarjeta”, algo que es fácil de pasar por alto cuando la apariencia de la web es idéntica a la oficial.
Ahí pondremos nuestros datos en el formulario de turno para recargar nuestra tarjeta de prepago:
Número de tarjeta: XXX
Tu teléfono: XXX
Tu email de contacto: XXX
Sólo con esos datos que estamos introduciendo, y con las protecciones básicas, el delincuente ya podría como mínimo realizar compras en determinadas páginas de internet. Pocas, pero algunas hay.
Pero el tema no acaba aquí, seguimos con la recarga de nuestra tarjeta y la web nos da una dirección wallet donde debemos hacer el pago en bitcoins, realizamos el pago y esperamos a que llegue la verificación de la recarga, evidentemente esta recarga nunca llegará a nuestra tarjeta, porque la dirección wallet a la que hemos enviado el dinero no es de la página original (recarga-tarjeta.com) sin o una dirección wallet originada por el pirata que ha creado la página copia (recarga-targeta.com), está claro que nuestros bitcoins se han ido a un wallet del pirata.
Esto extrapolado al uso del spam, correo masivo, descargas masivas en páginas que se prestan a ello, o que incluso se han creado expresamente para llevar a cabo estas estafas, puede llegar a muchos pc.
No olvidemos lo que ha ocurrido con los videos de google, que ponen a trabajar nuestro pc minando cripto sin nuestro consentimiento y sin que nos demos cuenta de ello hasta que ya hemos sido vulnerados. Comparado con eso, cambiar el contenido de un txt o suplantarlo por otro, parece un juego de niños.
Quería explicar este tema, para compartirlo con vosotros y que estéis al tanto, pero no quiero publicar el post sin decir cuál es el mejor método para evitar que esto nos ocurra, puede parecer que quiera meter miedo a la gente y no es el caso, lo que quiero es que estemos informados para no caer en la trampa, la forma más simple y eficaz de evitar esta estafa es fijarnos bien en la url que tenemos en el navegador, así de sencillo, cuando entramos en una URL tan clara como recarga-tarjeta.com es eso y solo eso, no debe haber ningún añadido en la dirección del navegador, nos podemos encontrar con:
recarga-targeta.com - Cambiado una letra como en este caso sería la "g"
subdominio/recarga-tarjeta.com - En este caso estaremos en un subdominio de cualquier sitio, menos en la original.
Son casos tipo, evidentemente a partir de la dirección web original se pueden hacer muchas variantes, pero ninguna será como la original, solo hay que fijarse bien en la dirección web, nada de prisas cuando metemos nuestros datos en formularios, y mucho ojo con tener configurado el navegador para que ponga los datos automáticamente.
Hay otros métodos, pero el mejor es el que acabo de explicar. También podemos restablecer el archivo Hosts al valor predeterminado, que en definitiva es editar el archivo y poner esto:
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handle within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
O acudir a la página de Microsoft donde se nos indica paso por paso cómo restablecer ese archivo y su contenido, fijaros si está creciendo esta forma de engaño, que aunque es más vieja que los molinos de viento, Microsoft la actualiza cada año añadiendo la misma descripción como si fuera nueva para cada versión de Windows o cualquier parche que publique, yo mismo he realizado ahora una búsqueda con esta frase "Cómo restablecer el archivo Hosts al valor predeterminado" y me aparece un resultado de este mismo año, de enero.
Cómo restablecer el archivo Hosts al valor predeterminado | 24 ene. 2018 - Describe cómo restablecer el archivo Hosts al valor predeterminado.
Otras personas también buscan:
Archivo Hosts Windows 10 | Archivo Hosts Windows 8 | Archivo Hosts Ubuntu | Hosts file Windows 10 | Hosts file Windows 7 | Archivo Hosts Mac
Existe como restablecer el archivo tengamos el sistema operativo que tengamos y la versión que sea siempre y cuando ese sistema operativo tenga use el archivo Hosts.
Un buen antivirus, de esos que cuando realizamos una búsqueda en internet nos indica junto a cada resultado si esa url está verificada o puede ser falsa o tener problemas de inyección de código.
Si no podemos restaurar nuestro archivo Hosts al original, bien porque no tengamos permisos de acceso bien porque no nos deje modificar el archivo por estar siendo utilizado, debemos detener los servicios que depende del Hosts y luego modificar el archivo, en casos extremos guardar toda nuestra información relevante en un txt e imprimirlo, luego restaurar el sistema, pero ya digo que esto sería solo en casos extremos, si tienes algún problema o duda con este archivo, la publicas aquí y entre todos intentaremos ayudarte lo mejor posible.
Ah, antes de finalizar este post, aquí he explicado cómo puede un pirata modificar nuestro archivo Hosts, pero incluso sin que este modifique el archivo Hosts es posible hacernos caer en este fraude, ¿cómo? Fácil, si nosotros nos equivocamos al escribir la dirección web en el navegador y
en lugar de escribir:recarga-tarjeta.com
Escribimos:recarga-targeta.com
Ya está, estamos dentro del formulario y la página del pirata, sin que nadie haya tenido que colarnos nada en nuestro pc, y los datos que se lleva son los mismos, también los bitcoins claro.
Nuestra vista y la cabeza en su sitio es nuestro mejor aliado.
El navegador del coche, nos hace dejar de pensar en cómo llegar a los sitios, cuando falla, ya no sabemos como reaccionar, lo mismo pasa con los navegadores de internet, si dejamos que haga todo el trabajo por nosotros, solo por comodidad, mal vamos. Las contraseñas a mano, nada de guardarlas en el navegador.
La ubicación del archivo puede variar en función del sistema operativo que tengamos, incluso puedes no verlo si está como oculto, lo cual no quiere decir que no se pueda modificar.
Ubicación del fichero hosts, como veréis, el Pharming no afecta solo a pc, ojo también con los móviles, tablets etc...
La localización del archivo hosts cambia dependiendo del sistema operativo,2 algunos ejemplos son:
| Sistema-Operativo | | | Ruta |
| Windows/95/98/Me | | | C:\Windows\hosts |
| Windows/NT/2000 | | | C:\WINNT\System32\drivers\etc\hosts |
| Windows/XP/2003/Vista/7/8/10 | | | C:\Windows\System32\drivers\etc\hosts |
| Mac OS/iPhone OS | | | /private/etc/hosts |
| Unix / Linux / BSD | | | /etc/hosts |
| Novell NetWare | | | SYS:etc\hosts |
| OS/2 / eComStation | | | "bootdrive":\mptn\etc\ |
| BeOS | | | /boot/beos/etc/hosts |
| Symbian OS 6.1-9.0 | | | C:\system\data\hosts |
| Symbian OS 9.1+ | | | C:\private\10000882\hosts |
| Android | | | /system/etc/hosts |
