Un atac pharming este un mecanism sofisticat care fraudează utilizatorii (în mare parte) fără a avea nevoie de vreo „greșeală prostească” din partea lor. Să decodificăm acest lucru și să vedem cum să protejăm.
Imaginați-vă că vă conectați la serviciile bancare online folosind o adresă web legitimă și că economiile de o viață au dispărut la scurt timp după.
Acesta este unul dintre modurile în care arată atacurile pharming.
Termenul pharming este inventat din phishing (atac) și farming 🚜.
Pune simplu; phishingul necesită să faceți clic pe un link suspect (greșeala stupidă), care descarcă programe malware care duc la pierderi financiare. În plus, poate fi un e-mail de la „CEO” dvs. prin care vă cere să faceți un transfer bancar „urgent” către un „vânzător”, o înșelătorie de categorie specială cunoscută sub numele de fraudă prin phishing de vânătoare de balene.
Pe scurt, phishingul are nevoie de participarea dvs. activă, în timp ce atacurile de pharming (în cele mai multe cazuri) nu.
Cuprins
Ce este Pharming Attack?
Suntem obișnuiți cu nume de domenii (cum ar fi tipstrick.ro.com), în timp ce mașinile înțeleg adrese IP (cum ar fi 24.237.29.182).
Când introducem o adresă web (nume de domeniu), aceasta (interogarea) ajunge la serverele DNS (agenda telefonică a internetului), care o potrivesc cu adresa IP asociată.
În consecință, numele de domenii au puțin de-a face cu site-urile web reale.
De exemplu, dacă serverul DNS a asociat un nume de domeniu cu o adresă IP neautentică care găzduiește un site web falsificat – asta este tot ce vei vedea, indiferent de adresa URL „corectă” pe care ai introdus-o.
Apoi, un utilizator predă fără efort detaliile – numere de card, numere de identificare, acreditări de conectare etc. – parodiei, crezând că este legitim.
Acest lucru face ca atacurile pharming să fie periculoase.
Sunt extrem de bine făcute, funcționează pe furiș, iar utilizatorul final nu știe nimic până când nu primește mesaje „sumă debitată” de la băncile lor. Sau, își vând informațiile personale de identificare pe dark web.
Să le verificăm în detaliu modul de operare.
Cum funcționează Pharming Attack?
Acestea sunt orchestrate pe două niveluri, cu utilizatorul sau cu un întreg server DNS.
#1. Pharming la nivel de utilizator
Acest lucru este similar cu phishingul și faceți clic pe un link suspect care descarcă programe malware. Ulterior, fișierul gazdei (alias înregistrările DNS locale) este modificat, iar un utilizator vizitează un aspect rău intenționat al unui site web original.
Un fișier gazdă este un fișier text standard care salvează înregistrările DNS gestionate local și deschide calea pentru conexiuni mai rapide, cu o latență mai mică.
De obicei, webmasterii folosesc fișierul gazdă pentru a testa site-urile web înainte de a modifica înregistrările DNS reale la registratorul de domenii.
Cu toate acestea, programele malware pot scrie intrări false în fișierul gazdă local al computerului. În acest fel, chiar și adresa corectă a site-ului web se transformă într-un site web fraudulos.
#2. Pharming la nivel de server
Ceea ce sa întâmplat cu un singur utilizator poate fi făcut și unui întreg server.
Acest lucru se numește otrăvire DNS sau DNS spoofing sau deturnarea DNS. Deoarece acest lucru se întâmplă la nivel de server, victimele pot fi sute sau mii, dacă nu mai multe.
Serverele DNS țintă sunt în general mai greu de controlat și reprezintă o manevră riscantă. Dar dacă este făcută, recompensele sunt exponențial mai mari pentru infractorii cibernetici.
Pharmingul la nivel de server se realizează prin deturnarea fizică a serverelor DNS sau prin atacuri MAN-in-the-middle (MITM).
Acesta din urmă este o manipulare software între un utilizator și serverul DNS sau între serverele DNS și serverele de nume DNS autorizate.
În plus, un hacker ar putea schimba setările DNS ale routerului tău WiFi, care este cunoscută sub numele de poziționare DNS locală.
Atacurile Pharming documentate
Un atac pharming la nivel de utilizator rămâne adesea ascuns și este abia raportat. Chiar dacă sunteți înregistrat, acest lucru cu greu ajunge la știri.
Mai mult decât atât, sofisticarea atacurilor la nivel de server le face, de asemenea, greu de observat, cu excepția cazului în care infractorii cibernetici șterg o sumă substanțială de bani, afectând mulți oameni.
Să verificăm câteva pentru a vedea cum a funcționat în viața reală.
#1. Curbe Financiare
Curve Finance este o platformă de schimb de criptomonede care a suferit un atac de otrăvire DNS pe 9 august 2022.
Avem un scurt raport de la @iwantmyname despre ceea ce s-a întâmplat. Pe scurt: otrăvirea cache-ului DNS, nu compromiterea serverului de nume.https://t.co/PI1zR96M1Z
Nimeni de pe web nu este 100% ferit de aceste atacuri. Ceea ce s-a întâmplat sugerează PUTERNIC să începeți să treceți la ENS în loc de DNS
— Curve Finance (@CurveFinance) 10 august 2022
În culise, a fost iwantmyname, furnizorul DNS al Curve, care a fost compromis, trimițându-și utilizatorii la o parodie și provocând pierderi de peste 550.000 USD.
#2. MyEtherWallet
24 aprilie 2018 a fost o zi neagră pentru unii dintre utilizatorii MyEtherWallet. Acesta este un portofel Ethereum (o criptomonedă) gratuit și open source, cu protocoale de securitate robuste.
În ciuda tuturor bunătăților, experiența a lăsat un gust amar în gura utilizatorilor săi cu un furt net de 17 milioane de dolari.
Din punct de vedere tehnic, BGP Hijacking a fost retras pe serviciul Amazon Route 53 DNS – folosit de MyEtherWallet – care i-a redirecționat pe unii dintre utilizatorii săi către o replică de phishing. Ei și-au introdus detaliile de conectare care le-au dat infractorilor acces la portofelele lor criptomonede, provocând o scurgere financiară bruscă.
Cu toate acestea, o greșeală flagrantă din partea utilizatorului a fost ignorarea avertismentului SSL al browserului.
Declarație oficială MyEtherWallet cu privire la înșelătorie.
#3. Bănci majore
În 2007, utilizatorii a aproape 50 de bănci au fost vizați de atacuri pharming, care au dus la o sumă necunoscută de pierderi.
Acest compromis clasic de DNS a trimis utilizatorii către site-uri web rău intenționate chiar și atunci când au introdus adresele URL oficiale.
Totuși, totul a început cu victimele care au vizitat un site web rău intenționat care a descărcat un troian din cauza unei vulnerabilități Windows (acum corecţionat).
Ulterior, virusul a cerut utilizatorilor să dezactiveze antivirusul, firewall-urile etc.
Ulterior, utilizatorii au fost trimiși să parodieze site-uri web ale unor instituții financiare importante din SUA, Europa și Asia-Pacific. Există mai multe astfel de evenimente, dar ele funcționează într-un mod similar.
Semne de Pharming
Pharming oferă, în esență, controlul deplin asupra conturilor dvs. online infectate actorului amenințării. Poate fi profilul dvs. de Facebook, contul bancar online etc.
Dacă sunteți o victimă, veți vedea activitate nedescoperită. Poate fi o postare, o tranzacție sau o schimbare amuzantă în fotografia de profil.
În cele din urmă, ar trebui să începeți cu remediul dacă există ceva ce nu vă amintiți că ați făcut.
Protecție împotriva Pharmingului
În funcție de tipul de atac (nivel de utilizator sau server) la care sunteți supus, există câteva modalități de a vă proteja.
Deoarece implementarea la nivel de server nu face obiectul acestui articol, ne vom concentra pe ceea ce puteți face ca utilizator final.
#1. Utilizați un Antivirus Premium
Un antivirus bun este jumătate din munca făcută. Acest lucru vă ajută să rămâneți protejat de majoritatea link-urilor necinstite, descărcări rău intenționate și site-uri web înșelătorie. Deși există un antivirus gratuit pentru computerul dvs., cei plătiți în general funcționează mai bine.
#2. Setați o parolă puternică pentru router
Routerele WiFi se pot dubla și ca mini servere DNS. În consecință, siguranța lor este crucială și începe cu eliminarea parolelor livrate de companie.
#3. Alegeți un ISP reputat
Pentru cei mai mulți dintre noi, furnizorii de servicii de internet acționează și ca servere DNS. Și pe baza experienței mele, DNS-ul ISP-ului oferă o creștere mică a vitezei în comparație cu serviciile DNS publice gratuite, cum ar fi Google Public DNS. Cu toate acestea, este important să alegeți cel mai bun ISP disponibil nu numai pentru viteze, ci și pentru securitatea generală.
#4. Utilizați un server DNS personalizat
Trecerea la un alt server DNS nu este dificilă sau neobișnuită. Puteți utiliza DNS public gratuit de la OpenDNS, Cloudflare, Google etc. Cu toate acestea, important este că furnizorul de DNS vă poate vedea activitatea web. Așadar, ar trebui să fiți vigilenți cui acordați acces la activitatea dvs. web.
#5. Utilizați VPN cu DNS privat
Utilizarea VPN pune multe straturi de securitate, inclusiv DNS personalizat. Acest lucru nu numai că vă protejează de infractorii cibernetici, ci și de ISP-ul sau supravegherea guvernamentală. Totuși, ar trebui să verificați că VPN-ul ar trebui să aibă servere DNS criptate pentru cea mai bună protecție posibilă.
#6. Menține o bună igienă cibernetică
Făcând clic pe linkuri necinstite sau pe reclame prea bune pentru a fi adevărate este una dintre modalitățile principale de a fi înșelat. În timp ce un antivirus bun își face treaba de a vă alerta, niciun instrument de securitate cibernetică nu garantează o rată de succes de 100%. În cele din urmă, responsabilitatea cade pe umerii tăi să te protejezi.
De exemplu, ar trebui să lipiți orice link suspect în motoarele de căutare pentru a vedea sursa. În plus, ar trebui să ne asigurăm HTTPS (indicat printr-un lacăt în bara de adrese URL) înainte de a avea încredere în orice site web.
În plus, ștergerea periodică a DNS-ului vă va ajuta cu siguranță.
Ai grijă!
Atacurile Pharming sunt vechi, dar modul în care funcționează este prea subtil pentru a fi identificat. Cauza principală a unor astfel de atacuri sunt insecuritățile DNS native, care nu sunt abordate în totalitate.
În consecință, acest lucru nu depinde întotdeauna de tine. Cu toate acestea, protecțiile enumerate vor ajuta, în special folosind un VPN cu DNS criptat, cum ar fi ProtonVPN.
În timp ce pharmingul se bazează pe DNS, știți că înșelătoriile pot fi bazate și pe Bluetooth? Treceți la acest bluesnarfing 101 pentru a verifica cum se face și cum să vă protejați.