DNS Spoofing como los árbitros españoles

Que los árbitros son malos en España es una verdad sabida por todos, se puede decir que en muchas ocasiones, sea porque no están preparados o porque quieren engañar a los aficionados realizan una especie de spoofing. Hoy queremos enseñar el DNS Spoofing como método de engaño a una víctima con el objetivo de lograr dirigirle a una dirección IP que nos interese. ¿Por qué puede ser interesante? Fácil:

  • Conseguir lanzar un exploit contra la víctima.
  • Mostrar un sitio web falso y recoger sus credenciales.
  • Obtener la cookie de sesión de la víctima.
  • O... todo junto... es decir, te mostramos un sitio web falso, te recogemos la contraseña, y te lanzamos un exploit, al cual por supuesto tu navegador es vulnerable y troyanizamos tu máquina, y sin que te des cuenta te mandamos al sitio web original, para que tu no sepas que ocurre algo malo... ¿Qué te parece? Eso si es puro... arte!

Escenario

  • Una víctima con Microsoft Windows XP SP3 y utiliza un servidor DNS externo a la red local, por ejemplo el DNS de Google 8.8.8.8.
  • Un atacante con Kali Linux.
  • Atacante y víctima se encuentran en la misma LAN. El atacante interceptará las peticiones y respuestas DNS proporcionando la dirección IP que él quiera mediante la construcción de un fichero hosts especial.

En primer lugar el atacante realizará MITM a la víctima mediante ARP Spoofing. Una vez el tráfico circula por el atacante, se construye un fichero hosts que se pasará a dnsspoof. En este fichero se especificará las direcciones IP acordes a los nombres de dominio que se quieren spoofear. El siguiente fragmento simula el fichero de texto editado:

192.168.0.57 *.tuenti.com192.168.0.57 tuenti.com

Una vez creado el fichero se debe ejecutar la herramienta dnsspoof con la siguiente sintaxis dnsspoof –i eth0 –f <fichero de hosts>.

De esta manera tan sencilla se puede realizar un phishing casi perfecto, teniendo en cuenta que el sitio web es una clonación del original. Por otro lado, la víctima puede detectar esto si al comprobar el estado de su caché descubre que la resolución de nombres de dominio hacia tuenti se han quedado en una dirección IP local, algo que extrañaría, y mucho, al usuario final.

Por último indicar que la técnica es realmente sencilla e interesante. Tener cuidado con las máquinas de vuestra LAN, ya que llevar a cabo este tipo de ataques es muy muy sencillo :D