Qu'est-ce qu'une attaque de pharming ?
Le terme « pharming » vient de deux concepts : le phishing et le farming. Il s'agit d'un type de cyberattaque d'ingénierie sociale qui manipule le trafic d'un site Web afin de prendre possession des informations privées d'un utilisateur ou d'installer des logiciels malveillants sur ses ordinateurs. Pour ce faire, les pharmaciens créent un faux site Web qui est une réplique du site cible et utilisent plusieurs méthodes pour rediriger les utilisateurs vers le faux site.
Les cybercriminels créent généralement de fausses répliques de banques et de sites Web de commerce électronique pour collecter des noms d'utilisateur, des mots de passe, des numéros de sécurité sociale et des détails de carte de crédit/débit.
Comment se fait le pharming ?
Le pharming tire parti du fondement de la navigation sur Internet, en particulier du fait que la série de lettres qui composent une adresse Internet (xyz.exemple.com), doit être convertie en adresse IP par un serveur DNS (système de noms de domaine) pour que la connexion se poursuive.
Le pharming se fait en modifiant les paramètres de l'hôte sur le système de la victime ou en manipulant un serveur DNS. Cela se fait de deux façons:
Provoquer des modifications dans le fichier des hôtes locaux
Le fichier des hôtes locaux fait référence à un répertoire d'adresses IP et de noms de domaine conservé sur l'ordinateur local d'un utilisateur. Par exemple, sur les systèmes macOS et Linux, ce fichier se trouve dans /etc/hosts. Le pharming se produit lorsque des cybercriminels envahissent le système de la victime et modifient le fichier hosts pour rediriger les individus vers le faux site Web chaque fois qu'ils tentent d'accéder au site légitime. Les cybercriminels peuvent être hautement qualifiés pour faire en sorte que le faux site Web ressemble beaucoup au vrai. Les victimes sont donc prises au dépourvu et divulguent leurs identifiants de connexion ou leurs informations financières aux escrocs.
Les cyberattaquants utilisent généralement des techniques de phishing pour envoyer des logiciels malveillants à l'ordinateur de la victime, provoquant des modifications dans leur fichier hôte. Le pharmer peut déployer un e-mail contenant un code malveillant et lorsque la victime clique dessus, un logiciel malveillant est téléchargé et installé sur son ordinateur.
Usurpation du système de noms de domaine (DNS)
L'autre méthode majeure utilisée par les pharmaciens pour rediriger le trafic consiste à exploiter les faiblesses d'un serveur DNS et à usurper ses réponses aux requêtes DNS. L'effet est que la victime est détournée vers un faux site Web contrôlé par le pharmer, même si l'adresse correcte est visible dans la barre d'adresse du navigateur. Les faux sites Web sont ensuite utilisés pour récolter des détails financiers et des informations confidentielles de la victime, et peuvent également installer des virus sur le système de la victime.
Ce qui rend l'usurpation DNS plus menaçante que les modifications de fichiers hôtes, c'est qu'elle ne dépend pas des actions de la victime et a des conséquences potentiellement pires car les serveurs DNS répondent aux demandes de nombreux utilisateurs et peuvent « empoisonner » d'autres serveurs DNS avec les modifications du pharmer à un enregistrement DNS. De plus, avec l'usurpation DNS, la victime peut avoir un ordinateur exempt de virus mais qui pourrait quand même être attaqué par des pharmaciens. Même si les hébergeurs prennent des précautions comme saisir manuellement l'adresse du site Web ou utiliser régulièrement des signets de confiance, ceux-ci ne suffisent toujours pas pour lutter contre l'usurpation DNS, car la redirection malveillante se produit après l'envoi de la demande de connexion par l'ordinateur.
Lorsque les pharmaciens volent les informations financières et personnelles de leurs victimes, ils peuvent alors les utiliser à des fins frauduleuses ou les vendre sur le dark web.
En quoi le pharming est-il différent du phishing ?
Bien qu'il y ait des résultats souhaités similaires entre le pharming et le phishing, les méthodes utilisées diffèrent. Le pharming est plus enclin à attaquer le système DNS alors que le phishing est plus axé sur la manipulation des utilisateurs. Bien que, comme cela a été expliqué précédemment, le phishing puisse jouer un rôle important dans l'exécution du pharming.
Phishing
Comme nous l'avons mentionné précédemment, l'hameçonnage est un type de cyberfraude dans lequel les attaquants déploient des e-mails prétendant provenir d'organisations dignes de confiance telles que des banques et des sociétés émettrices de cartes de crédit. Les e-mails contiennent des liens malveillants qui, lorsqu'ils sont cliqués, dirigent la victime vers un faux site Web. Parce que le faux site Web ressemble de manière trompeuse au site légitime, les victimes sont amenées à saisir leurs identifiants de connexion, les détails de leur carte et d'autres informations sensibles.
Pharming
Le pharming peut être considéré comme un type de phishing moins le facteur de séduction. Cela signifie qu'il n'est pas nécessaire que la victime clique sur un lien malveillant pour l'amener vers un faux site Web. Au lieu de cela, la victime y est immédiatement envoyée par un faux enregistrement DNS ou une entrée de fichier hosts. Le pharming peut donc être qualifié de « phishing sans leurre ».
Cas historiques de pharming
Le pharming a été utilisé à de nombreuses reprises dans le monde pour attaquer des victimes individuelles et des organisations :
En 2007, au moins 50 organismes financiers aux États-Unis, en Europe et en Asie-Pacifique ont été attaqués par des pharmaciens. Leur stratégie consistait à créer un faux site Web pour chaque cible, puis à placer un code malveillant sur chacune d'entre elles. Les faux sites Web ont forcé les ordinateurs des victimes à télécharger un logiciel malveillant cheval de Troie, qui a ensuite téléchargé cinq fichiers supplémentaires à partir d'un serveur russe. Chaque fois que les utilisateurs, dont les ordinateurs étaient attaqués par le malware, tentaient d'accéder à l'une des sociétés financières, ils étaient redirigés vers le faux site Web qui récoltait leurs noms d'utilisateur et mots de passe.
En 2015, au Brésil, pharmers a déployé des e-mails de phishing aux utilisateurs des routeurs domestiques UTStarcom et TR-Link, prétendant représenter la plus grande entreprise de télécommunications du Brésil. Les e-mails contenaient des liens malveillants qui, une fois cliqués, renvoyaient la victime vers un serveur qui attaquait son routeur.
Les pharmers ont alors profité de la falsification des requêtes intersites (CSRF) des vulnérabilités dans les routeurs domestiques des victimes pour accéder aux consoles d'administration des routeurs.
Une fois que les pharmers ont infiltré le panneau de contrôle d'administration du routeur des victimes, ils ont ensuite saisi le nom d'utilisateur et le mot de passe par défaut. Si cela fonctionnait, ils ont procédé à la modification des paramètres du routeur pour leur propre serveur DNS.
En 2016, le fournisseur de services de sécurité de sites Web Sucuri a découvert un cas de pharming où les pirates redirigeaient les victimes vers des sites Web qui utilisaient FreeDNS de NameCheap via des paramètres DNS modifiés.
En 2019, le Venezuela avait besoin d'aide humanitaire. Président Juan Guadio demandé à des milliers de bénévoles soumettre leurs données personnelles à un site Web afin qu'ils reçoivent des instructions sur la façon d'aider les organisations internationales à fournir une assistance. Le site Web demandait aux volontaires de fournir des informations, notamment leur nom complet, leur pièce d'identité, leur numéro de téléphone portable et leur adresse.
Cinq jours après le lancement de ce site Web, un faux site Web est apparu avec un domaine et une structure très similaires. Les deux domaines, avec des propriétaires différents, ont été enregistrés au Venezuela sous une seule adresse IP qui appartenait aux pirates. Par conséquent, que les volontaires aient accédé au nom de domaine légitime ou faux, leurs informations personnelles finissaient toujours par être introduites dans le faux site Web.
Comment savoir si vous êtes victime de pharming ?
L'un des problèmes suivants peut indiquer que vous avez été victime de pharming :
- Les mots de passe de vos services bancaires en ligne ont changé sans que vous ayez initié l'action.
- Il y a des messages ou des publications sur votre compte Facebook que vous n'avez pas créés.
- Des facturations inexpliquées ont été effectuées sur votre carte de crédit.
- Des applications étranges sont installées sur votre ordinateur que vous n'avez ni téléchargées ni installées.
- Vos comptes de réseaux sociaux ont envoyé des demandes d'amis que vous n'avez pas faites.
Comment l'utiliser Protégez-vous du pharming
Les stratégies décrites ci-dessous sont considérées comme les meilleures pratiques pour prévenir une attaque de pharming :
Utiliser un serveur DNS de confiance
Envisagez de passer à un service DNS spécialisé, car cela peut offrir une meilleure protection contre l'usurpation DNS.
Vérifiez l'URL du site Web pour les erreurs typographiques
Pharmers modifie le nom du site Web ciblé en changeant un ou plusieurs caractères. Ainsi, par exemple, www.Onebank.example.com deviendra www.0nebank.example.com.
Cliquez uniquement sur les liens qui ont un certificat SSL légitime
Un certificat SSL garantit que le site Web que vous visitez est sécurisé. Vous saurez si le site Web possède un certificat SSL si son lien commence par HTTPS. Si vous voyez que le site Web commence uniquement par HTTP, rien ne garantit qu'il est sûr et vous ne devez lui divulguer aucune information privée.
Activez l'authentification multifacteur pour vos comptes en ligne
L'authentification multifacteur offre une couche de protection supplémentaire au cas où vos informations de connexion seraient compromises. Les exemples incluent les codes de sécurité SMS, Google Authenticator, la reconnaissance vocale et la détection d'empreintes digitales.
Signer des e-mails avec S/MIME Professionnelles
S/MIME (Extension de messagerie Internet sécurisée / polyvalente) Les e-mails utilisent la signature numérique qui garantit aux destinataires que l'e-mail provient réellement de vous.
Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECUREou cliquez simplement sur le lien de discussion en bas à droite de cette page.