Pharming

Desde hace un par de días, al tratar a acceder a alguna de las web de banca online a las que normalmente accedo, tras el login inicial me aparecen pantallas solicitando mis claves personales, firma electrónica, etc, todo con las URLs aparentemente del banco, marcadas como https y con certificado de seguridad (es alucinante, no se como lo harán). Evidentemente no he dado ninguna de estas claves, y he comprobado que al navegar desde estas páginas hacia atrás se accede a la banca online de forma normal (es decir, son una especie de puente entre la página de login y las páginas del servicio del banco)
Indagando por ahí sospecho que estoy sufriendo el famoso pharming, pero no tengo forma de estar seguro.
¿Hay alguna forma de confirmarlo? El archivo Host de mi equipo está intacto y no contiene nada sospechoso, el servidor DNS que utilizo es muy raro que haya sido modificado por algún pirata, es de una empresa y tiene es propia seguridad, ¿de dónde puede venir el pharming? ¿Existen programas para realizar esta traducción URL a IP sin pasar por el DNS ni por el HOST? ¿Se pueden limpiar de alguna forma?
Un saludo y muchas gracias
Respuesta
1
En primer lugar lo que haría es mirar el certificado de seguridad, haciendo doble clic sobre el icono del candado, y ver qué entidad certificadora lo ha expedido (p. Ej. Verisign), para quién, y durante qué tiempo.
En segundo lugar, prueba a utilizar el DNS de otro proveedor, como telefónica u orange.
Lo que preguntas de programa para pasar de URL a IP sin pasar por DNS, creo que no se puede hacer eso, ya que la llamada a un servidor DNS es obligatoria cuando escribes un nombre en la URL para traducirlo a la dirección IP. Lo que sí puedes hacer es resolver el nombre con el comando nslookup del sistema operativo o el comando dig (que se puede descargar de internet si no usas linux), y probar a introducir en el explorador de internet la IP resuelta por estos comandos.
Por último (aunque debería ser lo primero), ante la duda, llamaría a la línea de atención al cliente del banco para informar de la incidencia y que te confirmen si es normal que ocurra eso que comentas o no, para que así tomen las medidas oportunas, y para que tengan constancia del asunto por si posteriormente ocurre un uso fraudulento de tus contraseñas.
Gracias por la respuesta
El icono del candado informa que el certificado es de verisign en los dos casos que he visto (cajamadrid y deustche bank), y aparentemente es normal, por eso estoy alucinando.
No he llamado al banco para que me confirmen nada, no me hace falta, no es posible que dos bancos simultáneamente y el mismo día empiecen a pedir datos de seguridad. Lo que si me parece bien es llamar para informarles de la incidencia.
Lo que necesitaría saber es si el problema está en mi equipo o está en el servidor DNS al que accedo, y eso no se como averiguarlo, ¿cómo puedo conocer cuales son mis servidores DNS? ¿Cómo puedo poner el DNS de otro proveedor?
¿Hay alguna forma de conocer la ip a la que estoy accediendo cuando navego por algún sitio web?
Gracias otra vez
Los servidores DNS que tienes asignados los puedes ver en la configuración del adaptador de red (ethernet o inalámbrico, según sea tu caso), dentro de propiedades de TCP/IP, o bien tecleando el comando ipconfig /all desde una ventana de MS-DOS y mirando los datos asociados al adaptador de red correspondiente.
Si te aparece como que la dirección DNS está asignada automáticamente, ponla manual. Telefónica tiene las direcciones DNS:
80.58.0.33
80.58.32.97
80.58.61.250
DNS de Orange:
62.37.237.140
62.37.236.252
DNS de Auna:
62.81.31.250
62.81.61.2
Las direcciones IP con las que tiene conexión tu ordenador las puedes ver tecleando el comando "netstat -b" (sin las comillas) desde una ventana MS-DOS. De esta forma puedes controlar la IP y puerto tanto entrantes como salientes, el programa que está originando esa conexión y el estado de la misma.
Existe la versión Windows en formato gráfico de este comando, que se llama NetStat Agent que te puedes descargar gratuito, el cual tiene la ventaja que refresca automáticamente las conexiones existentes y así puedes controlar mejor las posibles conexiones "raras" que puedan originarse en cualquier momento.
Por ejemplo, si estás navegando por internet, habrán varias conexiones que las esté originando iexplore.exe o firefox.exe (eso si no hay un antivirus por medio que en cuyo caso saldrá, además, el nombre .exe del programa antivirus)
Una última cosa, ¿qué explorador estás utilizando, internet explorer o mozilla firefox?
Se dice que Mozilla firefox es el navegador más seguro y eficiente que hay...
Gracias por la información
¿Hay algún antivirus online que se pueda utilizar para estos temas, el que tengo instalado no ha detectado nada
Antivirus online conozco solamente el Panda ActiveScan.
Yo uso Avast Home Edition que es gratuito, se actualiza diariamente, va aceptablemente bien y me ha detectado virus que no ha detectado el Panda Security.
No obstante en otras máquinas mantengo Panda Security sobre todo por el soporte técnico.
Ayer instalé un par de software antispyware, que me limpiaron algunos archivos, entradas del registro, etc; ahora no detectan nada, y sin embargo me sigue pasando lo mismo, en alguna parte se está tocando el DNS y redireccionandome a un sitio diferente al banco.
Con el comando "dnslookup www.cajamadrid.es" me aparece lo siguiente:
...
*** los servidores predeterminados no están disponibles
servidor: unknown
address: 5.0.9.254
respuesta no autoritativa:
Nombre: www.cajamadrid.es
address: 213.164.164.74
Pero no tengo claro que significa esto ni como solucionar el problema
Saludos y gracias
¿Alguna sugerencia? ¿Hay alguien ahí?
Tengo un dato nuevo, el virus ha infectado el explorer, porque si navego con Firefox accede a las páginas correctas
Eso quiere decir que el servidor DNS que te ha resuelto la consulta es 5.0.9.254, un servidor que está en EEUU y que me empezaría a dar muy mala espina.
Revisa el archivo hosts en c:\windows\system32\drivers\etc y la configuración DNS en adaptadores de red.
Lo último que se me ocurre que busques la cadena 5.0.9.254 en el registro de Windows a ver qué te sale.

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas