Evita el Pharming desde Firefox

DragonJAR 336x280 Evita el Pharming desde Firefox

El es uno de los fraudes mas extendidos por Internet, consiste en modificar los registros de un servidor o los archivos “hosts” del sistema operativo, para que cuando se haga una petición a una url especifica, en vez de dirigirse a la IP que corresponde a ese dominio, nos envía a una dirección diferente escogida por el atacante.

QpSzG Evita el Pharming desde Firefox

cabar3t, un usuario de nuestra comunidad, que ha estudiado este tipo de fraudes en internet y ha creado una solución para identificar adecuadamente si estamos siendo victimas de pharming o realmente estamos visitando la pagina a la que deseamos entrar.

La solución propuesta por cabar3t, es una extensión para que permite detectar sitios web falsos que han sido manipulados previamente por un ataque de pharming. Cuando un usuario accede a un sitio web determinado, se realiza una consulta DNS del nombre de dominio asociado al sitio web accedido. Luego de recibir la dirección IP asociada al sitio web, se procede a realizar consultas adicionales del nombre de dominio a otros servidores DNS que están por fuera de la red local, para comparar las respuestas obtenidas con la dirección IP inicialmente devuelta por el servidor DNS local.

Si alguna de las respuestas obtenidas por parte de los otros servidores es igual a la dirección IP devuelta por el servidor DNS local, entonces el sitio web es válido. Por el contrario, si no existe ninguna correspondencia entre las respuestas de los servidores DNS, es posible que el sitio web al cual accede el usuario sea falso.

Puedes ver un vídeo de su funcionamiento a continuación:

Si quieres instalar este en tu , solo tienes que visitar la pagina de complementos para Mozilla Firefox, buscar el Test Pharming y seguir los pasos vistos en el vídeo.

Mas Información:
Anuncio en nuestra Comunidad
Pagina oficial del Plugin Test Pharming


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • Alfredo

    Interesante :-)
    ¿Qué ocurre cuando el sitio web legítimo es multihomed o está balanceado entre varias direcciones IP?

  • Bt.Slax

    ps parece que en gmail no corre bien. por que me lo detecta como web falsa o es que me equivoco¡?

  • http://www.dragonjar.org DragoN

    @alfredo, exactamente la misma pregunta me hice yo, aun cabar3t no me responde, pero en teoría debería reportar un sitio como fraudulento, cuando no lo es

  • SarTux

    Mira lo instalé y me sucede que http://www.google.com es fraude… todavia esta muy pollo este proyecto

    http://s2.subirimagenes.com/otros/previo/thump_4392368error.jpg

  • c1b3rh4ck

    Si gmail como que no lo detecta bn , estuve realizando un test similar al video pero parace no detectarlo sera que me estoy equivocando o la extencion no funciona

  • fede

    Lindo video!
    Realice algunas pruebas y en algunas situaciones genera falsos positivos.
    Pero también cabe recalcar que dicha herramienta es un complemento que se encuentra en etapa experimental y debe ser “limada” para que funcione como se prevé.
    de igual modo, es una herramienta que no debería faltar en cualquier navegador

    Buen aporte cabar3t

  • cabar3t

    Hola en efecto, el plugin esta en etapa experimental y por ello, todavia genera falsos positivos, debido a que un nombre de dominio puede tener asociado muchas direcciones IP – por ej: “www.gmail.com”, entonces el navegador Firefox no es capaz de resolver todas las direcciones IP asociadas al dominio, y por ello al comparar con los otros servidores se puede generar un falso positivo.

    Una solucion a lo anterior, es comparar si la direccion IP del nombre de dominio consultado, pertenece a la red de dicho dominio u organizacion, sin embargo es dificil saber los limites de una red, si solo se tiene de entrada una direccion IP X.X.X.X.

    Estoy buscando la forma de encontrar la solucion.

    Saludos !!!

  • Pingback: Evitar el Pharming desde Firefox | Omeyas Web