Un atac de tip pharming reprezintă o tehnică avansată de fraudă, care afectează utilizatorii în mod direct, fără a necesita acțiuni eronate din partea acestora. Vom analiza acest mecanism și vom vedea cum ne putem proteja.
Imaginați-vă că accesați platforma de internet banking folosind o adresă web legitimă, iar economiile dvs. dispar la scurt timp. Acesta este un exemplu concret al unui atac pharming.
Termenul „pharming” este o combinație a cuvintelor „phishing” (tip de atac) și „farming” (agricultură 🚜), reflectând natura sa insidioasă.
Simplificat, phishing-ul implică un click pe un link dubios, care descarcă programe malware ce duc la pierderi financiare. Un exemplu este un email de la un presupus CEO care vă solicită un transfer bancar „urgent”. Phishing-ul de tip „vânătoare de balene” este o variantă țintită către persoane cu funcții de conducere.
Pe scurt, phishing-ul necesită implicarea activă a utilizatorului, în timp ce atacurile pharming (în majoritatea cazurilor) nu.
Ce este un atac Pharming?
Suntem familiarizați cu numele de domenii (cum ar fi example.com), în timp ce computerele operează cu adrese IP (de exemplu, 192.168.1.1).
Când introducem un nume de domeniu, solicitarea ajunge la serverele DNS, care acționează ca agenda telefonică a internetului, traducând numele de domeniu în adresa IP corespunzătoare.
Așadar, numele de domenii sunt doar o fațadă pentru locațiile fizice ale site-urilor web.
De exemplu, dacă serverul DNS asociază un nume de domeniu cu o adresă IP falsă, care găzduiește un site web contrafăcut, utilizatorul va ajunge pe acel site fals, indiferent de adresa URL corectă introdusă.
Utilizatorul, înșelat de aparențe, va furniza datele confidențiale, cum ar fi datele cardului bancar, codurile de identificare sau credențialele de conectare, către acest site fals.
Acest aspect face atacurile pharming extrem de periculoase. Ele sunt executate cu mare precizie, acționând în secret, iar utilizatorul final realizează frauda abia când primește notificări despre tranzacții necunoscute de la bancă sau când datele personale sunt vândute pe dark web.
Să analizăm în detaliu modul lor de funcționare.
Cum funcționează un atac Pharming?
Aceste atacuri sunt implementate pe două nivele, vizând fie utilizatorii individuali, fie serverele DNS în sine.
#1. Pharming la nivel de utilizator
Această metodă seamănă cu phishing-ul, implicând accesarea unui link periculos care descarcă malware. Ulterior, fișierul gazdă (care gestionează local înregistrările DNS) este modificat, iar utilizatorul este redirecționat către o versiune falsificată a unui site web real.
Un fișier gazdă este un simplu fișier text care stochează înregistrări DNS la nivel local, permițând conexiuni mai rapide și cu latență redusă. Administratorii web folosesc fișierul gazdă pentru a testa site-urile web înainte de a actualiza înregistrările DNS la registratorul de domenii.
Totuși, programele malware pot adăuga intrări false în fișierul gazdă al computerului. Astfel, chiar dacă adresa corectă a site-ului web este introdusă, utilizatorul este direcționat către un site fraudulos.
#2. Pharming la nivel de server
Atacul care vizează un singur utilizator poate fi extins la un întreg server. Această tehnică se numește otrăvire DNS, deturnare DNS sau DNS spoofing. Având loc la nivel de server, impactul poate fi mult mai mare, afectând sute sau mii de utilizatori.
Serverele DNS țintă sunt mai dificil de controlat și implică riscuri mai mari. Totuși, dacă atacul reușește, infractorii cibernetici obțin recompense semnificative.
Pharming-ul la nivel de server se realizează prin preluarea fizică a serverelor DNS sau prin atacuri de tip „om-din-mijloc” (MITM). Acestea din urmă reprezintă o manipulare software a comunicării dintre un utilizator și serverul DNS, sau între serverele DNS și serverele autorizate.
Un hacker poate, de asemenea, modifica setările DNS ale routerului WiFi, printr-o tehnică numită „poziționare DNS locală”.
Atacuri Pharming documentate
Atacurile pharming la nivel de utilizator rămân frecvent nedetectate și sunt rar raportate. Chiar și atunci când sunt înregistrate, rareori ajung la știri.
În plus, sofisticarea atacurilor la nivel de server face ca acestea să fie dificil de observat, până când infractorii cibernetici nu fură sume mari de bani, afectând un număr mare de persoane. Să analizăm câteva exemple pentru a înțelege mai bine modul lor de operare.
#1. Curve Finance
Curve Finance, o platformă de schimb de criptomonede, a fost victima unui atac de otrăvire DNS pe 9 august 2022.
Un scurt raport de la @iwantmyname despre ce s-a intamplat. Pe scurt: otrăvirea cache-ului DNS, nu compromiterea serverului de nume.
Furnizorul DNS al Curve, iwantmyname, a fost compromis, redirecționând utilizatorii către un site web fals, provocând pierderi de peste 550.000 USD.
#2. MyEtherWallet
24 aprilie 2018 a fost o zi neagră pentru unii utilizatori MyEtherWallet, un portofel Ethereum (criptomonedă) gratuit, open-source, cu măsuri de securitate ridicate.
În ciuda securității sale, utilizatorii au fost afectați de un furt de 17 milioane de dolari.
Prin deturnarea BGP pe serviciul Amazon Route 53 DNS, folosit de MyEtherWallet, unii utilizatori au fost redirecționați către o pagină de phishing. Aceștia au introdus datele de conectare, care au permis infractorilor să acceseze portofelele lor de criptomonede, ducând la o pierdere financiară bruscă.
Totuși, o eroare gravă a utilizatorilor a fost ignorarea avertismentelor SSL din browser.
Declarație oficială MyEtherWallet cu privire la înșelătorie.
#3. Bănci majore
În 2007, utilizatorii a aproximativ 50 de bănci au fost vizați de atacuri pharming, care au generat pierderi financiare semnificative.
Acest atac DNS clasic a trimis utilizatorii către site-uri web rău intenționate, chiar dacă au introdus adresele URL oficiale. Totul a început cu vizitarea unui site web malițios, care descărca un troian din cauza unei vulnerabilități Windows (acum remediată).
Ulterior, virusul solicita utilizatorilor să dezactiveze antivirusul și firewall-ul. Apoi, aceștia erau redirecționați către site-uri false ale instituțiilor financiare majore din SUA, Europa și Asia-Pacific. Există numeroase alte incidente similare, care funcționează pe același principiu.
Semne ale unui atac Pharming
Atacurile pharming oferă infractorilor un control total asupra conturilor dvs. online, fie că este vorba de profilul de Facebook, contul bancar etc.
Dacă sunteți victima unui astfel de atac, veți observa activități neobișnuite, cum ar fi postări necunoscute, tranzacții neautorizate sau modificări neașteptate ale profilului.
În cazul în care observați ceva ce nu vă amintiți să fi făcut, trebuie să luați măsuri de precauție.
Protecție împotriva Pharming-ului
În funcție de tipul de atac (la nivel de utilizator sau server), există mai multe modalități de protecție. Deoarece atacurile la nivel de server depășesc scopul acestui articol, vom discuta despre măsurile pe care le puteți lua ca utilizator.
#1. Utilizați un antivirus premium
Un antivirus bun este o măsură esențială de protecție. Acesta vă protejează de majoritatea link-urilor periculoase, descărcări malware și site-uri web înșelătoare. Deși există antivirusuri gratuite, cele plătite oferă o protecție mai eficientă.
#2. Setați o parolă complexă pentru router
Routerele WiFi funcționează și ca mini-servere DNS. Prin urmare, securitatea lor este vitală. Primul pas este să schimbați parola predefinită a routerului.
#3. Alegeți un ISP de încredere
Pentru majoritatea dintre noi, furnizorii de internet acționează și ca servere DNS. Din experiență, am observat că DNS-ul ISP-ului oferă o mică creștere a vitezei, comparativ cu serviciile DNS publice gratuite, cum ar fi Google Public DNS. Cu toate acestea, este crucial să alegeți un ISP de încredere nu doar pentru viteza de navigare, ci și pentru securitatea generală.
#4. Utilizați un server DNS personalizat
Utilizarea unui server DNS alternativ este simplă și comună. Puteți utiliza servicii DNS publice gratuite oferite de OpenDNS, Cloudflare sau Google. Trebuie să fiți conștienți de faptul că furnizorul de DNS poate monitoriza activitatea dvs. online. Prin urmare, alegeți cu atenție cui îi permiteți accesul la activitatea dvs. de navigare.
#5. Utilizați VPN cu DNS privat
Un VPN adaugă mai multe straturi de securitate, inclusiv un DNS personalizat. Acesta vă protejează atât de infractorii cibernetici, cât și de supravegherea ISP-ului sau a guvernului. Asigurați-vă că VPN-ul utilizează servere DNS criptate pentru o protecție optimă.
#6. Mențineți o igienă cibernetică bună
Accesarea link-urilor periculoase sau a reclamelor prea bune pentru a fi adevărate este o cale sigură de a fi înșelat. Deși un antivirus vă poate alerta, niciun instrument de securitate nu oferă o protecție 100%. Prin urmare, sunteți personal responsabil pentru protecția dvs.
De exemplu, analizați link-urile suspecte în motoarele de căutare pentru a identifica sursa. Asigurați-vă că site-ul web folosește HTTPS (indicat de un lacăt în bara de adrese) înainte de a furniza date sensibile. În plus, ștergerea periodică a memoriei cache DNS vă poate ajuta.
Fiți precauți!
Atacurile pharming sunt o problemă veche, iar modul lor de funcționare este subtil. Cauza principală este vulnerabilitatea DNS, care nu este complet rezolvată.
Deși nu depinde întotdeauna de dvs., măsurile de protecție prezentate vă pot ajuta. Un VPN cu DNS criptat, cum ar fi ProtonVPN, oferă o protecție suplimentară.
Rețineți că, deși pharming-ul utilizează DNS, există și alte tipuri de atacuri, cum ar fi cele bazate pe Bluetooth. Verificați articolele despre bluesnarfing pentru a învăța cum să vă protejați.