A técnica de Pharming no Windows se baseia em trocar os DNS's de um arquivo, fazendo assim, você acessar um site sem a intenção de fazer aquilo.
O arquivo é o C:\Windows\System32\drivers\etc e possui uma lista de DNS's com endereços de IP.
O que ele faz? Ele simplesmente faz o seguinte:
- Quando você digita 127.0.0.1, ele abre o endereço localhost automaticamente... E na barra de endereços, o endereço fica 127.0.0.1.
Pera ae... Isso quer dizer que eu posso fazer a vítima acessar um site, o site aparecer corretamente na barra de endereços e a vítima estar acessando outro site? CORRETO! :D
Abrindo o arquivo com o bloco de notas, podemos ver:
Quote# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
127.0.0.1 localhost
Agora, vamos pegar por exemplo, o IP de Google.com e o DNS de Orkut.com e adicionar no arquivo (assim, quando a você tentar acessar o Orkut, você vai cair no Google).
Dando um ping www.google.com (http://www.google.com), temos:
QuoteDisparando www.l.google.com (http://www.l.google.com) [64.233.163.104] com 32 bytes de dados:
Resposta de 64.233.163.104: bytes=32 tempo=50ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=45ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=46ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=49ms TTL=56
Agora, pegamos o IP do Google.com (64.233.163.104) e acrescentamos, junto ao DNS do Orkut.com, no arquivo hosts.
QuoteQuote# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
127.0.0.1 localhost
64.233.163.104 www.orkut.com (http://www.orkut.com)
Pronto! Agora, quando você for acessar Orkut.com, vai abrir a página do Google.com (na barra de endereços, continuará Orkut.com).
Assim, se você fizer isso com uma página fake, a vítima verá a barra de endereçõs idêntica, mas estará logando em outro site! Isso foi apenas para explicar como funciona o Pharming (Windows) com um pouco de imaginação e SEing, ai ai...
DNS spoof . (:
'
Sim, CodeZ
Isso é pharming, até onde eu sei.
A diferença basica entre Desktop Phishing e Pharming, é que Pharming
é feito localmente, enquanto Desktop Phishing é feito remotamente.
Em pharming asume-se que voce tem acesso a maquina, e poderia editar o arquivo HOSTS, enquanto na outra tecnica, criamos um arquivo HOSTS feito por nóis, para que substitua o arquivo existente na maquina alvo.
Acho que voce se equivocou, não DG ? :)
[]'s
Corrigido. ;)
DG, já que voce postou sobre Pharming,
posso postar um texto que fiz sobre Desktop Phishing?
Quote from: fpois0n on 15 de November , 2010, 06:31:56 PM
DG, já que voce postou sobre Pharming,
posso postar um texto que fiz sobre Desktop Phishing?
Claro, posta ai. ;)