Hva er Pharming?

Hva er et pharming -angrep?

Begrepet "pharming" kommer fra to begreper: phishing og oppdrett. Det er en type sosialteknisk cyberangrep som manipulerer trafikken til et nettsted for å ta besittelse av en brukers private informasjon eller installere skadelig programvare på datamaskinene. For å gjøre dette lager apotekere et falskt nettsted som er en kopi av målstedet, og bruker flere metoder for å omdirigere brukere til det falske nettstedet.

Nettkriminelle lager vanligvis falske kopier av banker og netthandelsnettsteder for å samle brukernavn, passord, personnummer og kreditt-/debetkortdetaljer.

 

Brukere kan signere kode med eSigners funksjon for utvidet valideringskodesignering. Klikk nedenfor for mer informasjon.

FINN UT MER

Hvordan foregår pharming?

Pharming drar fordel av grunnlaget for internett -surfing - spesielt at bokstavserien som utgjør en internettadresse (xyz.example.com), må konverteres til en IP -adresse av en DNS -server (domenenavnsystem) for at tilkoblingen skal fortsette.

Pharming gjøres ved å endre vertsinnstillingene på offerets system eller manipulere en DNS -server. Dette oppnås på to måter:

Forårsaker endringer i Local Hosts -filen

Den lokale vertsfilen refererer til en katalog med IP -adresser og domenenavn som lagres på en brukers lokale datamaskin. For eksempel, på macOS og Linux -systemer, ligger denne filen på /etc /hosts. Pharming skjer når nettkriminelle invaderer offerets system og endrer vertsfilen for å omdirigere enkeltpersoner til det falske nettstedet hver gang de prøver å få tilgang til den legitime. Nettkriminelle kan være svært dyktige til å få det falske nettstedet til å virke veldig likt det virkelige. Ofre blir derfor fanget uvitende og røper påloggingsinformasjon eller økonomisk informasjon til svindlere.

Cyberangrepere bruker vanligvis phishing -teknikker for å sende skadelig programvare til offerets datamaskin og forårsake endringer i vertsfilen. Pharmeren kan distribuere en e -post som inneholder skadelig kode, og når offeret klikker på den, lastes ned og installeres skadelig programvare på datamaskinen.    

Forfalskning av domenenavnsystem (DNS)

Den andre store metoden farmasøyter bruker for å omdirigere trafikk er gjennom utnyttelse av en DNS -servers svakheter og forfalskning av svarene på DNS ​​-forespørsler. Effekten er at offeret blir viderekoblet til et falsk nettsted kontrollert av farmasjen, selv om den riktige adressen er synlig i nettleserens adresselinje. De falske nettstedene brukes deretter til å hente økonomiske detaljer og konfidensiell informasjon fra offeret, og kan også installere virus på offerets system.

Det som gjør DNS -spoofing mer truende enn filendringer i verter er at det ikke trenger å avhenge av offerets handlinger og kan ha potensielt verre konsekvenser fordi DNS -servere reagerer på forespørsler fra mange brukere, og kan "forgifte" andre DNS -servere med pharmerens endringer til en DNS -post. Også med DNS -forfalskning kan offeret ha en datamaskin som er fri for virus, men fortsatt kan bli angrepet av apotekere. Selv om verter tar forholdsregler som å skrive nettadressen manuelt eller regelmessig ved å bruke pålitelige bokmerker, er disse fremdeles ikke nok til å bekjempe DNS -forfalskning, fordi den ondsinnede viderekoblingen skjer etter at tilkoblingsforespørselen er sendt av datamaskinen.

Når apotekere stjeler ofrenes økonomiske og personlige opplysninger, kan de bruke dem til bedrageri eller selge dem på det mørke nettet.

Hvordan er pharming forskjellig fra phishing?

Til tross for at det er lignende ønskede resultater mellom pharming og phishing, er metodene som brukes forskjellige. Pharming er mer engasjert i å angripe DNS -systemet, mens phishing er mer fokusert på manipulering av brukere. Selv om, som ble forklart tidligere, phishing kan ha en viktig funksjon i utførelsen av pharming.

Phishing

Som vi har nevnt før, phishing er en type cyberbedrageri der angriperne distribuerer e -post som later som om de kommer fra pålitelige organisasjoner som banker og kredittkortselskaper. E -postene inneholder ondsinnede lenker som, når de klikkes, tar offeret til et falskt nettsted. Fordi det falske nettstedet ser villedende ut som det legitime, blir ofrene lurt til å angi påloggingsinformasjon, kortinformasjon og annen sensitiv informasjon. 

pharming

Pharming kan betraktes som en type phishing minus forføringsfaktoren. Dette betyr at det ikke trenger offeret å klikke på en ondsinnet lenke for å ta ham/henne til et falsk nettsted. I stedet blir offeret umiddelbart sendt dit av en falsk DNS -post eller filoppføring. Pharming kan derfor karakteriseres som "phishing uten lokkemiddel".

Historiske tilfeller av pharming

Pharming har blitt brukt mange ganger over hele verden for å angripe individuelle ofre og organisasjoner:

I 2007, minst 50 finansielle organisasjoner i USA, Europa og Asia-Stillehavet ble angrepet av apotekere. Strategien deres var å lage et falsk nettsted for hvert mål, og deretter plasserte de ondsinnet kode på hver av dem. De falske nettstedene tvang ofrenes datamaskiner til å laste ned trojansk hesteprogramvare, som deretter lastet ned ytterligere fem filer fra en russisk server. Hver gang brukere, hvis datamaskiner ble angrepet av skadelig programvare, prøvde å få tilgang til noen av finansselskapene, ble de omdirigert til det falske nettstedet som hentet brukernavn og passord.

I 2015, i Brasil, apotekere distribuerte phishing -e -post til brukere av UTStarcom og TR-Link hjemrutere, og later som om de representerer Brasiliens største teleselskap. E -postene inneholdt ondsinnede lenker som, etter at de ble klikket, sendte offeret til en server som angrep ruteren deres.

Apotekerne utnyttet deretter forfalskning av forespørsler på tvers av nettsteder (CSRF) sårbarheter i ofrenes hjemrutere for å få tilgang til ruterenes administratorkonsoller.

Når apotekerne infiltrerte admin -kontrollpanelet til ofrenes ruter, la de inn standard brukernavn og passord. Hvis dette fungerte, fortsatte de med å endre ruterens innstilling til sin egen DNS -server.

I 2016 oppdaget leverandøren av nettstedstjenester Sucuri en pharming -sak hvor hackere omdirigerte ofre til nettsteder som brukte NameCheap's FreeDNS via endrede DNS -innstillinger.

I 2019 trengte Venezuela humanitær hjelp. President Juan Guadio spurte tusenvis av frivillige å sende sine personlige opplysninger til et nettsted slik at de vil motta instruksjoner om hvordan de kan hjelpe internasjonale organisasjoner med å levere bistand. Nettstedet krevde frivillige å oppgi informasjon, inkludert fullt navn, personlig ID, mobiltelefonnummer og adresse. 

Fem dager etter lanseringen av dette nettstedet dukket det opp et falsk nettsted med et veldig likt domene og en lignende struktur. De to domenene, med forskjellige eiere, var registrert i Venezuela til bare én IP -adresse som tilhørte hackerne. Derfor, enten de frivillige fikk tilgang til det legitime eller falske domenenavnet, endte personopplysningene deres fortsatt med å bli introdusert på det falske nettstedet.

Hvordan vet du om du er et offer for pharming?

Noen av følgende problemer kan indikere at du har vært utsatt for pharming:

  1. Passord til nettbanken din ble endret uten at du startet handlingen.
  2. Det er meldinger eller innlegg på Facebook -kontoen din som du ikke har opprettet.
  3. Det er gjort uforklarlige faktureringer på kredittkortet ditt.
  4. Merkelige applikasjoner er installert på datamaskinen din som du verken har lastet ned eller installert.
  5.  Dine sosiale medier -kontoer har sendt venneforespørsler som du ikke har sendt.

Hvordan Beskytt deg selv mot pharming

Strategiene som er skissert nedenfor, regnes som beste fremgangsmåter for å forhindre pharming -angrep:

Bruk en klarert DNS -server

Vurder å bytte til en spesialisert DNS -tjeneste fordi dette kan gi mer beskyttelse mot DNS -spoofing.

Dobbeltsjekk nettstedets URL for typografiske feil

Farmasøyter endrer navnet på det målrettede nettstedet ved å endre ett eller flere tegn. Så for eksempel vil www.Onebank.example.com bli www.0nebank.example.com. 

Bare klikk på koblinger som har et legitimt SSL -sertifikat

Et SSL -sertifikat gir sikkerhet for at nettstedet du besøker er sikkert. Du vil vite om nettstedet har et SSL -sertifikat hvis koblingen starter med HTTPS. Hvis du ser at nettstedet starter med bare HTTP, er det ingen sikkerhet for at det er trygt, og du bør ikke røpe privat informasjon til det.

Slå på flerfaktorautentisering for dine online-kontoer

Flerfaktorautentisering gir et ekstra lag med beskyttelse hvis påloggingsinformasjonen din blir kompromittert. Eksempler kan være SMS -sikkerhetskoder, Google Authenticator, stemmegjenkjenning og fingeravtrykkssensering.

Signer e -post med S/MIME sertifikater

S/MIME (Sikker / flerbruks internettpostutvidelse) E -post bruker digital signering som forsikrer mottakerne om at e -posten virkelig kom fra deg.

Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk på chat-koblingen nederst til høyre på denne siden.

SSL-støtteteam

Alle innlegg

Relaterte blogginnlegg

Vis alle blogginnlegg
Facebook Linkedin Twitter Youtube Github

Hva er SSL /TLS?

Spill av video

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.

Ta undersøkelsen