Eliminando una infección de Phishing

Eliminando una infección de Phishing

Cuando nos referimos a remover o eliminar, debemos entender que el asunto con el problema de Phishing no radica en remover, sino en detectar. A diferencia de otros métodos de ataque que dependen en algún evento del navegador para que suceda, la infección de Phishing puede quedarse quieta hasta que el atacante decida utilizarla (por ejemplo, en email spam, sms, social media, etc.).

Por lo general, las páginas adicionales incorporadas con el método de Phishing no incluyen sí mismo ningún malware, por lo que no intentan ocasionar algún problema a la computadora del usuario o el navegador. En su lugar, aprovechan la inocencia del usuario para obtener su información proporcionada bajo engaño, libremente.

A diferencia de otros tipos de infecciones, el Phishing no se inserta en el código existente o ligado a un sitio web. A menudo navegan el sitio completo a través de los mapas de sitio buscando deficiencias en el código que les permita incluir sus páginas maliciosas.

Con esto en mente, cuando hablamos de remover nuestra atención primera está en detectar la infección. A continuación algunas recomendaciones:

1. Conoce enteramente tu sitio, su estructura y lo que debe estar en cada directorio.
2. Utiliza herramientas que te permitan saber si algo cambia en tus archivos.
3. Vigila todos los cambios que ocurren en los directorios instalados core o centrales.

Muy a menudo, los atacantes prefieren incluir sus archivos phishing dentro de los directorios originales de instalación, un aspecto que aplica mayoritariamente a los CMS. Esto significa que utilizarán preferentemente directorios como /includes y /administrator en Joomla!, y /wp-admin y /wp-includes en WordPress, por mencionar sólo los más utilizados. Debido a la propia naturaleza de esta acción, es imposible saber con precisión en donde se realizará.

Si tienes una infección Phising y debido a los retos que representa, recomendamos que reemplaces todos los archivos core de tu sitio, de ser posible. Toma en cuenta que no es un asunto de reinstalar los archivos, sino más bien de eliminar los directorios core actuales e instalar una copia nueva. La razón de esta sugerencia es que cuando reinstalas vía la plataforma misma del CMS, sólo se acturalizarán los archivos existentes, no removerán todos los archivos e iniciarán de cero. Como comentamos líneas arriba, las infecciones de Phishing a menudo son archivos solitarios que están pacientemente en espera a ser utilizados.

Otro aspecto importante es ejecutar una revisión de integridad en todos los directorios y archivos. Aquí vigilas si hay archivos nuevos incorporados en algún directorio y al mismo tiempo ves si hay cambios en archivos (cambios de contenido, cambios de fecha, accesos al archivo, etc). Se hace necesario utilizar algún script que tenga como función el comparar el contenido de un servidor contaminado contra uno libre de infección para mostrar la discrepancia en las líneas de código entre los archivos de cualquier CMS o framework.

En lo referente a Phishing, desafortunadamente no hay una respuesta simple. Es recomendable realizar auditorias de manera regular y constantemente vigilar el código de los archivos en el servidor. Sólo de esa manera será posible detectar a tiempo páginas cuya finalidad sea el Phishing.