• El foro de relojes de habla hispana con más tráfico de la Red, donde un reloj es algo más que un objeto que da la hora. Relojes Especiales es el punto de referencia para hablar de relojes de todas las marcas, desde Rolex hasta Seiko, alta relojería, relojes de pulsera y de bolsillo, relojería gruesa y vintages, pero también de estilográficas. Además, disponemos de un foro de compraventa donde podrás encontrar el reloj que buscas al mejor precio. Para poder participar tendrás que registrarte.

Antivirus falso que se instala a través de wifi "públicas"?

  • Iniciador del hilo Mr. Jones
  • Fecha de inicio
Estado
Hilo cerrado
Mr. Jones

Mr. Jones

Antiguos Moderadores
Sin verificar
Antiguos Moderadores
Muy buenas.

ayer a mi suegro le pasó una cosa muy curiosa: trató de conectarse a la que creía que era mi wifi (que es una "onoXXXX") y entró en una llamada algo como "_ono", etc...vamos, un nombre como para picar... La wifi no tenía clave, claro.

Total, que nada más conectarse le saltó un mensaje de "Su teléfono está infectado por 14 virus. ¿desea descargar gratuitamente un antivirus?" Me lo comentó y lógicamente le dije que ni loco se descargara nada y que, por sistema, dejara de conectarse a wifis desconocidad o abiertas (él es mucho de eso...)

No he encontrado gran cosa en internet sobre fraudes o virus siguiendo este método de simular una wifi "legítima" e inducir a la instalación de un antivirus (que intuyo que si dices que sí al antvirus te instalará algún toryano o sabe Dios qué...) ¿alguien sabe algo de esto?
 
Pues no tengo ni idea ni oí nada sobre eso, pero tomo nota y si de algo me entero lo cuento, gracias por la advertencia.
 
Vamos a ver,

Clase básica de seguridad informatica atravez de wifis "publicas" abiertas.

El mayor problema de una wifi aberita es que te deja vunerable a 3 tipos de ataque,

El primero es de suplantación de DNS.

En que consiste ?

Bueno, primero tenemos que explicar lo que es una DNS, cada ordenador de internet tiene una direccion IP, puede ser publica, o puede ser una privada que se traduce a una publica atravez de un dispositivo con una NAT. Ahora por es mas facil recordar www.paginaweb.es que 83.57.123.43 (IP inventada, si lleva a algo yo seré el primer sorprendido) hay servidores que se dedican a que si tu le preguntas "donde esta www.relojes-especiales.es" el servidor DNS le responde al ordenador 87.106.157.133 que es donde esta el servidor web que aloja esta pagina.

El asunto es cuando tu te connectas con un dispositivo portatil a una wifi abierta, lo primero que hace el dispositivo es hacer un broadcast (basicamente un grito en la web) preguntando por el dispositivo enroutador y por si hay un servidor DHCP, El access point o el router le responde "estoy aqui, tienes que usar IP tal, Gateway tal y DNS tal" y el dispositivo se autoconfigura.

El problema es que estas a la merced de quien configuro el dispositivo enroutador, ese dispositivo puede tener una DNS que esta configurada para darte direcciones modificadas o erróneas para que vayas a versiones modificadas de las paginas web que quieres visitar, Esto se llama DNS Hijacking

La el segundo ataque es injecion de codigo, la idea es que el router se configura como proxy y modifica las paginas al pasar insertando codigo. como las paginas web suelen pasar en formato HTML y se compilan localmente en el navegador entonces se pueden modificar de camino, desde cosas básicas como cambiar la publicidad a directamente modificar las paginas para que ejecuten codigo malicioso.

La idea es que como un programa tiene su codigo fuente, una pagina web tambien lo tiene, dependiendo de sus componentes es HTML, CSS, Javascript, y algunos componentes cerrados como Flash o Silverlight, pero los principales pasan en codigo abierto y son compilados a la pagina por tu navegador, entonces es fácil modificaros de camino, esto lo puede verificar cualquiera haciendo un telnet contra un servidor web en puerto 80.

La ultima que suele ser la mas compleja es el "man in the middle", (el hombre en el medio), Para esta vamos a tener que indagar mas en redes.

Cada dispositivo de red tiene lo que se llama una Direccion MAC, Una direccion de control de medio, esta direccion suele ser Fija y en la gran mayoria de dispositivos no se puede cambiar, suele ser una combinacion de un prefijo de fabricante y el numero de serie del dispositivo de red (ojo, dispositivo de red, no el aparato en si. seria el chip wifi, no la tablet/teléfono). Y cada dispositivo que goberna una red, sea un access point, un switch o un router tiene lo que se llama una tabla ARP.

La tabla ARP lo que hace es relacionar la IP asignada a un un dispositivo con su direccion mac, tu tablet le va al router y le dice "mi MAC es X" entonces el router le dice "pues la mia es Y te doy la IP 192.168.0.68" y se apunta en su tabla ARP "el dispositivo con MAC X es la 192.168.0.68" y tu tablet se apunta en su tabla ARP "pues el router tiene la ip 192.168.0.1 y la MAC Y" y los paquetes de datos que se pasan entre ellos dicen "este paquete es para la IP 192.168.0.1 que corresponde a MAC Y y este paquete va a 192.168.0.68 con la MAC X.

Que pasa... viene un listo y configura su dispositivo de red para que para el trafico que viene de la MAC Y el responda que tiene la MAC X y para trafico que viene de la MAC X el responda que tiene la MAC y, basicamente sentandose entre los dos suplantando a ambos y pasando los mensajes de uno al otro basicamente siendo el "hombre del medio".

Esto se puede usar de dos maneras,
De forma pasiva : solo recollectas informacion, levantas usuarios y contraseñas no encryptadas, si tienes interes lees correos, mensajes instantaneos, todo lo que no este pasando por paquete encryptado

De forma activa : directamente modificas la información que pasa, entonces si el usuario pide una pagina web, puedes usar el ataque descrito anteriormente de injeccion de codigo a las paginas web para agregar la informacion que tu quieres como codigo malicioso para ejecutarse en local.

Que puedes hacer al respecto ?

Primero y ante todo, en una wifi publica abierta, nada de cosas privadas, contraseñas de cosas como facebook, foros y cosas asi a no ser que puedas comprobar que esta llendo por HTTPS (http sobre SSL), si es por HTTPS significa que los paquetes están siendo encryptados y no pueden ser leidos por terceros.

Cuando es posible usar DNS´s fijas publicas como las de google, 8.8.8.8 y 8.8.4.4.

Mantener vuestras aplicaciones y navegadores actualizados para reducir la posibilidad de que sean vulnerables a código malicioso, y Desactivar el flash cuando estáis en una red de la que no confiáis.

Y por favor usar el sentido común, si sale una ventana de un antivirus de que no conocéis de nada, no instalen ni presionen nada, cierren la ventana y ejecutar un antivirus de confianza, nade de mierdas de popups de Internet, Ningun antivirus online podrá decir si tenéis un virus a no ser que le den permisos de acceso local... y eso solo pasa cuando instaláis esas mierdas.


Espero que esto les sea de ayuda.
 
Muchas gracias Aevum, por supuesto ha sido de gran ayuda:ok::
 
Gracias Aevum por tomarte el tiempo de responder y redactar una explicación tan detallada.
 
POr cierto, el mensajito de marras que le salía a mi suegro empezó tb a saltarme a mí tanto en móvil como en tablet cuando navegaba con chrome.

el nombre del supuesto antivirus era mobilean-tivirus (qué original)

googleando he encontrado esto

http://rpgmaker.net/forums/topics/19606/?post=682134

me instalé el avast en todos mis dispositivos y afortunadamente el problema ha desaparecido
 
Gracias Aevum. Siempre es de agradecer el trabajo que supone una respuesta como la tuya.
Un saludo
 
Estado
Hilo cerrado
Atrás
Arriba Pie