Wat is een Pharming-aanval?
De term 'pharming' komt van twee concepten: phishing en landbouw. Het is een soort social engineering-cyberaanval die het verkeer van een website manipuleert om bezit te nemen van de privégegevens van een gebruiker of om malware op hun computers te installeren. Om dit te doen, maken apothekers een nepwebsite die een replica is van de doelsite en gebruiken ze meerdere methoden om gebruikers om te leiden naar de nepsite.
Cybercriminelen maken doorgaans nepreplica's van banken en e-commercewebsites om gebruikersnamen, wachtwoorden, burgerservicenummers en creditcard-/betaalkaartgegevens te verzamelen.
Hoe wordt pharming gedaan?
Pharming maakt gebruik van de basis van surfen op internet, met name dat de reeks letters waaruit een internetadres bestaat (xyz.voorbeeld.com), moet door een DNS-server (domeinnaamsysteem) worden omgezet in een IP-adres om de verbinding tot stand te brengen.
Pharming wordt gedaan door de hostinstellingen op het systeem van het slachtoffer te wijzigen of een DNS-server te manipuleren. Dit wordt op twee manieren bereikt:
Wijzigingen in het lokale hosts-bestand veroorzaken
Het lokale hosts-bestand verwijst naar een map met IP-adressen en domeinnamen die op de lokale computer van een gebruiker wordt bewaard. Op macOS- en Linux-systemen bevindt dit bestand zich bijvoorbeeld in /etc/hosts. Pharming vindt plaats wanneer cybercriminelen het systeem van het slachtoffer binnendringen en het hosts-bestand wijzigen om individuen om te leiden naar de nepwebsite telkens wanneer ze proberen toegang te krijgen tot de legitieme. Cybercriminelen kunnen zeer bedreven zijn in het laten lijken van de nep-website op de echte. Slachtoffers worden daarom niet op de hoogte gehouden en geven hun inloggegevens of financiële informatie door aan de oplichters.
Cyberaanvallers gebruiken meestal phishing-technieken om malware naar de computer van het slachtoffer te sturen, waardoor wijzigingen in hun hosts-bestand worden aangebracht. De apotheker kan een e-mail met kwaadaardige code plaatsen en wanneer het slachtoffer erop klikt, wordt malware gedownload en op zijn computer geïnstalleerd.
Domeinnaamsysteem (DNS)-spoofing
De andere belangrijke methode die pharmers gebruiken om verkeer om te leiden, is door misbruik te maken van de zwakheden van een DNS-server en de reacties op DNS-verzoeken te vervalsen. Het effect is dat het slachtoffer wordt omgeleid naar een valse website die wordt beheerd door de apotheker, zelfs als het juiste adres zichtbaar is in de adresbalk van de browser. De valse websites worden vervolgens gebruikt om financiële details en vertrouwelijke informatie van het slachtoffer te verzamelen en kunnen ook virussen op het systeem van het slachtoffer installeren.
Wat DNS-spoofing gevaarlijker maakt dan wijzigingen in hosts-bestanden, is dat het niet afhankelijk is van de acties van het slachtoffer en mogelijk ergere gevolgen heeft omdat DNS-servers reageren op de verzoeken van veel gebruikers en andere DNS-servers kunnen "vergiftigen" met de wijzigingen van de apotheker naar een DNS-record. Met DNS-spoofing kan het slachtoffer ook een computer hebben die vrij is van virussen, maar toch kan worden aangevallen door farmaceutica. Zelfs als hosts voorzorgsmaatregelen nemen, zoals het handmatig typen van het website-adres of het regelmatig gebruiken van vertrouwde bladwijzers, zijn deze nog steeds niet voldoende om DNS-spoofing te bestrijden, omdat de kwaadaardige omleiding plaatsvindt nadat het verbindingsverzoek door de computer is verzonden.
Wanneer apothekers de financiële en persoonlijke gegevens van hun slachtoffers stelen, kunnen ze deze gebruiken voor fraude of ze op het dark web verkopen.
Waarin verschilt pharming van phishing?
Ondanks dat er vergelijkbare gewenste resultaten zijn tussen pharming en phishing, verschillen de gebruikte methoden. Pharming is meer gericht op het aanvallen van het DNS-systeem, terwijl phishing meer gericht is op het manipuleren van gebruikers. Hoewel, zoals eerder uitgelegd, phishing een belangrijke functie kan hebben bij de uitvoering van pharming.
Phishing
Zoals we hebben eerder genoemd, is phishing een vorm van cyberfraude waarbij aanvallers e-mails gebruiken die doen alsof ze afkomstig zijn van betrouwbare organisaties zoals banken en creditcardmaatschappijen. De e-mails bevatten kwaadaardige links die, wanneer erop wordt geklikt, het slachtoffer naar een valse website leiden. Omdat de nepwebsite bedrieglijk veel lijkt op de legitieme, worden de slachtoffers misleid om hun inloggegevens, kaartgegevens en andere gevoelige informatie in te voeren.
Pharming
Pharming kan worden beschouwd als een vorm van phishing minus de verleidingsfactor. Dit betekent dat het slachtoffer niet op een kwaadaardige link hoeft te klikken om hem/haar naar een nepwebsite te leiden. In plaats daarvan wordt het slachtoffer daar onmiddellijk naartoe gestuurd door een nep-DNS-record of een hostbestandsinvoer. Pharming kan daarom worden gekarakteriseerd als 'phishing zonder lokmiddel'.
Historische gevallen van pharming
Pharming is wereldwijd vele malen gebruikt om individuele slachtoffers en organisaties aan te vallen:
In 2007, ten minste 50 financiële organisaties in de Verenigde Staten, Europa en Azië-Pacific werden aangevallen door apothekers. Hun strategie was om voor elk doelwit een nepwebsite te maken en vervolgens plaatsten ze kwaadaardige code op elk van hen. De nepwebsites dwongen de computers van de slachtoffers om Trojaanse paardenmalware te downloaden, die vervolgens vijf extra bestanden van een Russische server downloadde. Elke keer dat gebruikers, wiens computers werden aangevallen door de malware, probeerden toegang te krijgen tot een van de financiële bedrijven, werden ze doorgestuurd naar de nepwebsite die hun gebruikersnamen en wachtwoorden verzamelde.
In 2015 in Brazilië, Pharmers hebben phishing-e-mails ingezet aan gebruikers van UTStarcom- en TR-Link-thuisrouters, die doen alsof ze het grootste telecombedrijf van Brazilië vertegenwoordigen. De e-mails bevatten kwaadaardige links die het slachtoffer, nadat erop werd geklikt, naar een server stuurden die hun router aanviel.
De apothekers maakten vervolgens gebruik van cross-site verzoekvervalsing (CSRF) kwetsbaarheden in de thuisrouters van de slachtoffers om toegang te krijgen tot de beheerdersconsoles van de routers.
Zodra de apothekers het beheerdersdashboard van de router van de slachtoffers hadden geïnfiltreerd, voerden ze de standaard gebruikersnaam en het wachtwoord in. Als dit werkte, gingen ze verder met het wijzigen van de instellingen van de router naar hun eigen DNS-server.
In 2016 ontdekte Sucuri, leverancier van websitebeveiligingsdiensten, een pharming-zaak waar hackers slachtoffers omleidden naar websites die FreeDNS van NameCheap gebruikten via gewijzigde DNS-instellingen.
In 2019 had Venezuela humanitaire hulp nodig. President Juan Guadio vroeg duizenden vrijwilligers om hun persoonlijke gegevens op een website te plaatsen, zodat ze instructies zouden krijgen over hoe ze internationale organisaties kunnen helpen bij het verlenen van hulp. De website vereiste vrijwilligers om informatie te vermelden, waaronder hun volledige naam, persoonlijke ID, mobiel nummer en adres.
Vijf dagen na de lancering van deze website verscheen er een nepwebsite met een zeer gelijkaardig domein en structuur. De twee domeinen, met verschillende eigenaren, waren geregistreerd in Venezuela op slechts één IP-adres dat toebehoorde aan de hackers. Daarom, of de vrijwilligers nu toegang hadden tot de legitieme of nep-domeinnaam, hun persoonlijke informatie werd uiteindelijk toch op de nepwebsite geïntroduceerd.
Hoe weet u of u het slachtoffer bent van pharming?
Een van de volgende problemen kan erop wijzen dat u het slachtoffer bent geworden van pharming:
- Wachtwoorden voor uw internetbankieren zijn gewijzigd zonder dat u de actie start.
- Er zijn berichten of berichten op uw Facebook-account die u niet hebt gemaakt.
- Er zijn onverklaarbare facturen naar uw creditcard verzonden.
- Er zijn vreemde toepassingen op uw computer geïnstalleerd die u niet hebt gedownload of geïnstalleerd.
- Je sociale media-accounts hebben vriendschapsverzoeken gestuurd die je niet hebt gedaan.
How To Bescherm uzelf tegen pharming
De onderstaande strategieën worden beschouwd als best practices om een pharming-aanval te voorkomen:
Gebruik een vertrouwde DNS-server
Overweeg om over te stappen naar een gespecialiseerde DNS-service, omdat deze meer bescherming kan bieden tegen DNS-spoofing.
Controleer de website-URL nogmaals op typfouten
Pharmers wijzigen de naam van de getargete website door een of meer tekens te wijzigen. Dus bijvoorbeeld www.Onebank.example.com wordt www.0nebank.example.com.
Klik alleen op links met een legitiem SSL-certificaat
Een SSL-certificaat geeft de zekerheid dat de website die u bezoekt veilig is. U weet of de website een SSL-certificaat heeft als de link begint met HTTPS. Als u ziet dat de website begint met alleen HTTP, is er geen garantie dat deze veilig is en moet u er geen privé-informatie aan doorgeven.
Schakel Multi-Factor Authenticatie in voor uw online accounts
Multi-factor authenticatie biedt een extra beschermingslaag voor het geval uw inloggegevens worden gecompromitteerd. Voorbeelden zijn onder meer sms-beveiligingscodes, Google Authenticator, spraakherkenning en vingerafdrukdetectie.
Onderteken e-mails met S/MIME Certificaten
S/MIME (Secure / Multipurpose Internet Mail Extension) E-mails maken gebruik van digitale ondertekening die de ontvangers verzekert dat de e-mail echt van jou afkomstig is.
Bedankt voor het kiezen van SSL.com! Als u vragen heeft, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.
