La filial brasileña de un reconocido banco fue víctima de un ingenioso ataque de phishing para Brasil llevado a cabo durante los últimos días. Según Zscaler, un proveedor de seguridad en la nube que detectó el ataque, se trata de un ataque de envenenamiento a la caché DNS de determinados servidores muy utilizados en Brasil, que podrían estar resolviendo la dirección del banco brasileño.
Una vez que el usuario ingresaba al sitio web, la víctima que proporcionaba sus credenciales estaba realizando el acceso a otro sitio que, por supuesto, no era la página oficial del banco. Nótese que las diferencias entre el sitio web original y el duplicado son casi indetectables, lo cual remarca la calidad del ataque de phishing:
Sin embargo, no se trataba de un ataque de phishing convencional. Para llevar a cabo el robo de información, los atacantes se aprovechaban de un mecanismo que resulta mucho más efectivo que los métodos tradicionales, ya que en los ataques por envenenamiento de caché, el delincuente no necesita enviar correos electrónicos a posibles clientes del banco esperando que alguno de ellos decida seguir el vínculo y caer en la estafa. En este caso, por lo contrario, solamente es necesario esperar que la posible víctima ingrese a la página brasileña del banco Santander y esperar que el servidor DNS afectado redireccione la víctima hacia el sitio infectado, sin que el usuario pueda percatarse al respecto.
¿Cómo funciona este ataque? Los servidores DNS poseen memorias temporales donde almacenan las resoluciones de nombres que han ido obteniendo. Es decir, cuando un usuario hace una consulta a un servidor DNS, este no posee necesariamente almacenada la resolución para dicho dominio, entonces comienza a realizar las consultas a los servidores que correspondan (de mayor jerarquía) y, para no volver a realizar la misma consulta en tiempos prudenciales, se almacena la resolución en la caché. De esta forma, si otro usuario consulta el mismo dominio al servidor, este no volverá a hacer una consulta externa, sino que usará la resolución de la memoria temporal (cuyos registro poseen un tiempo de vida, conocido como TTL - Time to live). El ataque de DNS cache poisoning, consiste en aprovechar vulnerabilidades en estos servidores, para enviarles información incorrecta sobre las direcciones IP de determinados dominios. De esta forma, todos los usuarios que utilicen este servicio estarán visitando páginas falsas, ya que la caché de estos ha sido manipulada por los atacantes.
Aunque para este caso el usuario podría advertirlo que el sitio era falso comprobando en la página web la existencia de un protocolo de transferencia seguro HTTPS (dado que el sitio que montaron los atacantes solo soportaba HTTP), el ataque posee las siguientes ventajas respecto a ataques de phishing tradicional:
- El atacante no necesita contactar al usuario por correo u otro medio. Una vez realizado el ataque al servidor DNS, todos los usuarios que lo utilicen serán potenciales víctimas si visitaran la página web en cuestión.
- El dominio que observa el usuario en la dirección URL del navegador es el legítimo, ya que no se enlaza al usuario a otra página web, sino directamente a otro servidor.
- El usuario no puede remediar el incidente, hasta que el servidor DNS no limpie su memoria temporal y solucione la vulnerabilidad.
Este último punto es uno de los más importantes: no solo que es muy difícil para el usuario detectar el ataque de phishing, sino que aún si notara el inconveniente, depende del proveedor del DNS para poder seguir consultando las páginas web correctamente.
Desde ESET aprovechamos la oportunidad para recordar a los usuarios que en todos los sitios en los que se maneje información sensible, como lo son las transacciones de home banking, la página web del banco debe proveer una conexión segura entre el cliente y el servidor a través de un protocolo HTTPS. Por lo tanto, al momento de ingresar a la cuenta bancaria, si en la barra de navegación solo aparece HTTP; significa que su información estaría viajando por la red sin cifrar y podría ser fácilmente interceptada. Este control, además, brinda una herramienta más, como en este caso, para comprobar la autenticidad de un sitio web.
Al día de la fecha, los servidores DNS ya fueron limpiados y la página web que contenía el phishing ya está dada de baja. Recomendamos, no obstante, tomar en cuenta estas sugerencias dado que incidentes de esta índole, con mucha seguridad, van a volver a repetirse. A su vez, esto nos muestra que también en Latinoamérica se están llevando a cabo este tipo de ataques.
Raphael Labaca Castro
Awareness & Research Specialist