Mikä on Pharming?

Mikä on Pharming -hyökkäys?

Termi "pharming" tulee kahdesta käsitteestä: tietojenkalastelu ja viljely. Se on eräänlainen sosiaalisen suunnittelun kyberhyökkäys, joka manipuloi verkkosivuston liikennettä saadakseen haltuunsa käyttäjän yksityiset tiedot tai asentaakseen haittaohjelman heidän tietokoneilleen. Tätä varten farmaattorit luovat valheellisen verkkosivuston, joka on kopio kohdesivustosta, ja käyttävät useita menetelmiä ohjatakseen käyttäjät väärennettyyn sivustoon.

Verkkorikolliset luovat yleensä väärennettyjä jäljennöksiä pankeista ja verkkokauppasivustoista kerätäkseen käyttäjätunnuksia, salasanoja, sosiaaliturvatunnuksia ja luotto-/maksukorttitietoja.

 

Käyttäjät voivat allekirjoittaa koodin eSignerin Extended Validation Code Signing -ominaisuuden avulla. Napsauta alla saadaksesi lisätietoja.

LUE LISÄÄ

Miten Pharming tehdään?

Pharming hyödyntää Internet -selaamisen perusta - erityisesti, että Internet -osoitteen muodostavat kirjaimet (xyz.esimerkki.com), DNS -palvelimen (verkkotunnusjärjestelmä) on muunnettava IP -osoitteeksi yhteyden jatkamiseksi.

Pharming tehdään muuttamalla isäntäasetuksia uhrin järjestelmässä tai manipuloimalla DNS -palvelinta. Tämä toteutetaan kahdella tavalla:

Muutosten tekeminen paikallisten isäntien tiedostoon

Paikallinen isäntätiedosto viittaa IP -osoitteiden ja verkkotunnusten hakemistoon, joka säilytetään käyttäjän paikallisessa tietokoneessa. Esimerkiksi macOS- ja Linux -järjestelmissä tämä tiedosto sijaitsee /etc /hosts. Pharming tapahtuu, kun tietoverkkorikolliset hyökkäävät uhrin järjestelmään ja muuttavat isäntätiedostoa ohjaamaan yksilöt väärennetylle verkkosivustolle aina, kun he yrittävät käyttää laillista sivustoa. Verkkorikolliset voivat olla erittäin taitavia saamaan valheellisen verkkosivuston näyttämään hyvin samankaltaiselta kuin todellinen. Uhrit jäävät siksi tietämättömiksi ja paljastavat kirjautumistietonsa tai taloudelliset tiedot huijareille.

Kyberhyökkääjät käyttävät yleensä tietojenkalastelutekniikoita lähettääkseen haittaohjelmia uhrin tietokoneelle aiheuttaen muutoksia isäntätiedostoonsa. Pharmer voi lähettää sähköpostin, joka sisältää haitallista koodia, ja kun uhri napsauttaa sitä, haittaohjelma ladataan ja asennetaan heidän tietokoneelleen.    

Domain Name System (DNS) -huijaus

Toinen merkittävä menetelmä, jota palveluntarjoajat käyttävät liikenteen uudelleenohjaamiseen, on DNS -palvelimen heikkouksien hyödyntäminen ja sen vastausten väärentäminen DNS -pyyntöihin. Vaikutus on, että uhri ohjataan pharmerin hallitsemalle väärennetylle verkkosivustolle, vaikka oikea osoite näkyy selaimen osoiterivillä. Vääriä verkkosivustoja käytetään sitten taloudellisten tietojen ja luottamuksellisten tietojen keräämiseen uhrilta, ja ne voivat myös asentaa viruksia uhrin järjestelmään.

Mikä tekee DNS -huijauksesta uhkaavamman kuin isäntätiedoston muutokset, on se, että sen ei tarvitse riippua uhrin toiminnasta ja sillä voi olla pahempia seurauksia, koska DNS -palvelimet vastaavat monien käyttäjien pyyntöihin ja voivat myrkyttää muita DNS -palvelimia farmaattorin muutoksilla DNS -tietueeseen. Lisäksi DNS -huijauksella uhrilla voi olla tietokone, joka ei sisällä viruksia, mutta joka voi silti hyökätä pharmereiden kimppuun. Vaikka isännät ryhtyvät varotoimiin, kuten kirjoittavat verkkosivuston osoitteen manuaalisesti tai käyttävät säännöllisesti luotettavia kirjanmerkkejä, nämä eivät silti riitä DNS -huijauksen torjumiseen, koska haitallinen uudelleenohjaus tapahtuu sen jälkeen, kun tietokone on lähettänyt yhteyspyynnön.

Kun farmerit varastavat uhrinsa taloudelliset ja henkilökohtaiset tiedot, he voivat sitten käyttää niitä petoksiin tai myydä ne pimeässä verkossa.

Miten Pharming eroaa tietojenkalastelusta?

Huolimatta siitä, että pharmingin ja tietojenkalastelun välillä on samanlaisia ​​toivottuja tuloksia, käytetyt menetelmät eroavat toisistaan. Pharming pyrkii enemmän hyökkäämään DNS -järjestelmään, kun taas tietojenkalastelu keskittyy enemmän käyttäjien manipulointiin. Vaikka, kuten aiemmin selitettiin, tietojenkalastelulla voi olla tärkeä tehtävä pharmingin toteuttamisessa.

Phishing

Kuten olemme aiemmin mainittu, phishing on eräänlainen tietoverkkorikollisuus, jossa hyökkääjät lähettävät sähköpostiviestejä, jotka esittävät itsensä luotettavilta organisaatioilta, kuten pankeilta ja luottokorttiyhtiöiltä. Sähköpostit sisältävät haitallisia linkkejä, joita napsautettaessa uhri ohjataan valheelliselle verkkosivustolle. Koska väärennetty verkkosivusto näyttää petolliselta samankaltaiselta kuin laillinen, uhreja huijataan antamaan kirjautumistietonsa, korttitietonsa ja muut arkaluonteiset tiedot. 

pharming

Pharmingia voidaan pitää tietojenkalastelutyypinä vähennettynä viettelytekijällä. Tämä tarkoittaa, että uhrin ei tarvitse napsauttaa haitallista linkkiä viedäkseen hänet väärennettyyn verkkosivustoon. Sen sijaan uhri lähetetään välittömästi sinne väärän DNS -tietueen tai isäntätiedoston avulla. Pharmingia voidaan siksi luonnehtia "tietojenkalasteluksi ilman viehettä".

Pharmingin historialliset tapaukset

Pharmingia on käytetty monta kertaa ympäri maailmaa yksittäisten uhrien ja järjestöjen hyökkäykseen:

Vuonna 2007, vähintään 50 rahoitusorganisaatiota Yhdysvalloissa, Euroopassa ja Aasian ja Tyynenmeren alueella pharmerit hyökkäsivät. Heidän strategiansa oli tehdä väärennetty verkkosivusto kullekin kohteelle ja sitten he asettivat haittakoodin jokaiseen kohteeseen. Väärennetyt verkkosivustot pakottivat uhrien tietokoneet lataamaan Troijan hevosen haittaohjelman, joka myöhemmin ladasi viisi uutta tiedostoa venäläiseltä palvelimelta. Aina kun käyttäjät, joiden tietokoneisiin haittaohjelma hyökkäsi, yrittivät päästä johonkin rahoitusyhtiöön, heidät ohjattiin väärennetylle verkkosivustolle, joka keräsi heidän käyttäjätunnuksensa ja salasanansa.

Vuonna 2015 Brasiliassa Pharmers käytti tietojenkalasteluviestejä UTStarcom- ja TR-Link-kotireitittimien käyttäjille, jotka esittävät edustavansa Brasilian suurinta teleyritystä. Sähköpostit sisälsivät haitallisia linkkejä, jotka napsautettuaan lähettivät uhrin palvelimelle, joka hyökkäsi reitittimen kimppuun.

Pharmers käytti sitten sivustojen välistä pyyntöväärennöstä (CSRF) uhrien kotireitittimien haavoittuvuudet pääsemään reitittimien ylläpitäjäkonsoliin.

Kun pharmers tunkeutui uhrin reitittimen järjestelmänvalvojan ohjauspaneeliin, he kirjoittivat oletuskäyttäjätunnuksen ja salasanan. Jos tämä toimi, he jatkoivat muuttaa reitittimen asetusta omaan DNS -palvelimeen.

Vuonna 2016 verkkosivujen suojauspalvelujen tarjoaja Sucuri löysi pharming -tapaus jossa hakkerit ohjasivat uhrit sivustoille, jotka käyttivät NameCheapin FreeDNS -protokollaa muuttuneiden DNS -asetusten kautta.

Vuonna 2019 Venezuela tarvitsi humanitaarista apua. Presidentti Juan Guadio kysyivät tuhannet vapaaehtoiset toimittamaan henkilötietonsa verkkosivustolle, jotta he saisivat ohjeita siitä, miten auttaa kansainvälisiä järjestöjä toimittamaan apua. Sivustolla vaadittiin vapaaehtoisia ilmoittamaan tiedot, mukaan lukien koko nimi, henkilötunnus, matkapuhelinnumero ja osoite. 

Viisi päivää tämän verkkosivuston käynnistämisen jälkeen ilmestyi väärennetty verkkosivusto, jolla oli hyvin samanlainen verkkotunnus ja rakenne. Kaksi verkkotunnusta, joilla on eri omistajat, rekisteröitiin Venezuelassa vain yhteen hakkereiden IP -osoitteeseen. Näin ollen riippumatta siitä, pääsivätkö vapaaehtoiset käyttämään laillista tai tekaistua verkkotunnusta, heidän henkilötietonsa päätyivät silti väärennettyyn verkkosivustoon.

Mistä tiedät, oletko Pharmingin uhri?

Mikä tahansa seuraavista ongelmista voi osoittaa, että olet joutunut pharmingin uhriksi:

  1. Verkkopankkisi salasanat vaihdettiin ilman, että aloitit toimenpiteen.
  2. Facebook -tililläsi on viestejä tai viestejä, joita et ole luonut.
  3. Luottokortillesi on tehty selittämättömiä laskutuksia.
  4. Tietokoneellesi on asennettu outoja sovelluksia, joita et ole ladannut tai asentanut.
  5.  Sosiaalisen median tilisi ovat lähettäneet kaveripyyntöjä, joita et ole tehnyt.

Miten Suojaa itsesi Pharmingilta

Alla kuvattuja strategioita pidetään parhaina käytäntöinä pharming -hyökkäyksen estämisessä:

Käytä luotettua DNS -palvelinta

Harkitse siirtymistä erikoistuneeseen DNS -palveluun, koska se voi tarjota paremman suojan DNS -huijausta vastaan.

Tarkista sivuston URL-osoitteesta kirjoitusvirheet

Pharmers muuttaa kohdistetun verkkosivuston nimeä vaihtamalla yhden tai useamman merkin. Joten esimerkiksi osoitteesta www.Onebank.example.com tulee www.0nebank.example.com. 

Napsauta vain linkkejä, joilla on laillinen SSL -varmenne

SSL -varmenne takaa, että vierailemasi verkkosivusto on suojattu. Tiedät, onko sivustolla SSL -varmenne, jos sen linkki alkaa HTTPS: llä. Jos näet, että verkkosivusto alkaa vain HTTP: llä, ei ole varmuutta siitä, että se on turvallinen, eikä sinun pitäisi paljastaa sille mitään yksityisiä tietoja.

Ota monivaiheinen todennus käyttöön online-tileillesi

Monivaiheinen todennus tarjoaa ylimääräisen suojan, jos kirjautumistietosi vaarantuvat. Esimerkkejä ovat SMS -turvakoodit, Google Authenticator, puheentunnistus ja sormenjälkitunnistus.

Allekirjoita sähköpostit S/MIME Sertifikaatit

S/MIME (Suojattu / monikäyttöinen Internet Mail -laajennus) Sähköpostit käyttävät digitaalista allekirjoitusta, joka varmistaa vastaanottajille, että sähköposti on todella tullut sinulta.

Kiitos, että valitsit SSL.com! Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostitse osoitteeseen Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain keskustelulinkkiä tämän sivun oikeassa alakulmassa.

SSL-tukitiimi

Kaikki viestit

Aiheeseen liittyvät blogiviestit

Näytä kaikki blogiviestit
Facebook Linkedin Twitter Youtube Github

Mikä on SSL /TLS?

Toista video

Tilaa SSL.com -uutiskirje

Älä missaa uusia artikkeleita ja päivityksiä SSL.com-sivustolta

Otamme mielellämme palautetta vastaan

Vastaa kyselyymme ja kerro meille mielipiteesi viimeaikaisesta ostoksestasi.

Ota kysely