El ataque phishing (obtener credenciales por el engaño) es uno de los ataques mas realizados hoy en día. En los consejos básicos que nos suelen dar nos recomiendan no pinchar en links (url) sospechosos, fijarnos en faltas de ortografía y no confiar en correos electrónicos desconocidos. Pero existen métodos mas avanzados que pueden engañarnos aun teniendo en cuenta estos consejos.

En primer lugar cuando queremos fingir (desde la vista del delincuente) ser una compañía de confianza debemos de copiar su página web. Pensemos por ejemplo en Facebook. Si alguien quiere obtener las claves de acceso de Facebook de una persona tiene que fingir ser Facebook.

¿Cómo se reproduce una página web exactamente igual? Pues es relativamente sencillo. Con el atajo de teclas Ctrl + U obtenemos el código fuente de la página. A partir de aqui es un copiar y pegar a un programa de diseño de páginas web e introducir las imágenes oportunas. Ya tengo una página web totalmente idéntica a la original, sin faltas de ortografía ni apariencias sospechosas.

Pero como somos cautelosos y no pinchamos en links ni abrimos correos no conocidos, por lo tanto, el delincuente tiene que coger otra vía para hacernos llegar a su página web falsa.

Aquí entran dos técnicas que se llaman DNS spoofing y ARP spoofing.

Para entenderlo habría que explicar con profundidad el funcionamiento del Internet y de las comunicaciones. Pero voy a dar unas pinceladas por encima.

Cuando buscamos una página web, por ejemplo Google. Al buscar su URL, esta es mandada a unos servidores DNS para buscar la dirección IP asociada. Esto también lo podemos hacer de forma manual. Si abrimos la linea de comandos de Windows y ponemos ping www.google.com nos devuelve la dirección IP de la página. Con este número ya sabe donde tiene que dirigir sus paquetes de datos.

Posteriormente con el protocolo ARP busca la dirección MAC del destino. La dirección MAC es una serie de números y letras que identifica de forma univoca las tarjetas de red. Nuestros ordenadores, móviles, tablets, etc. tienen una dirección MAC porque tienen tarjeta de red.

Teniendo esto claro ya nos devuelve la información que hemos solicitado, por ejemplo la página de google.

Ahora bien, si en la solicitud de la dirección IP el delincuente es capaz de inyectar una IP falsa a la URL que hemos solicitado, nos dirigirá a la dirección IP del delincuente. Si por ejemplo buscamos Google pero nos inyecta la IP de Youtube, siempre vamos a acceder a Youtube. En este caso nos daríamos cuenta enseguida, no es la página que hemos solicitado. En cambio, si buscamos Facebook y nos inyectan una IP de una página que es exactamente igual que Facebook (como explicamos antes) no nos vamos a dar cuenta y vamos a introducir nuestros credenciales.

Lo mismo se puede hacer con las resoluciones ARP. Se inyecta una dirección MAC falsa (de otra página) a la solicitud que hemos enviado.

Ante este tipo de ataques solo nos sirven herramientas técnicas para prevenirlo. Por un lado existen mecanismos para detectar en la red copias de páginas oficiales. Y por otro lado se pretende (con más o menos éxito) proteger los servidores DNS para así evitar estos ataques.

Por último, si nos fijamos bien en la URL estando ya en la página también podríamos detectar el engaño, aunque no es fácil. Pero los engaños de URL dan para otro post en este blog.