Co to jest pharming?

Co to jest atak pharmingowy?

Termin „pharming” pochodzi z dwóch pojęć: phishing i farming. Jest to rodzaj cyberataku socjotechnicznego, który manipuluje ruchem w witrynie w celu przejęcia prywatnych informacji użytkownika lub zainstalowania złośliwego oprogramowania na jego komputerach. W tym celu pharmers tworzą fałszywą stronę internetową, która jest repliką strony docelowej, i używają wielu metod, aby przekierować użytkowników na fałszywą stronę.

Cyberprzestępcy zazwyczaj tworzą fałszywe repliki banków i witryn e-commerce, aby zbierać nazwy użytkowników, hasła, numery ubezpieczenia społecznego i dane kart kredytowych/debetowych.

 

Użytkownicy mogą podpisywać kod za pomocą funkcji eSigner Extended Validation Code Signing. Kliknij poniżej, aby uzyskać więcej informacji.

DOWIEDZ SIĘ WIĘCEJ

Jak odbywa się pharming?

Pharming wykorzystuje fundament przeglądania Internetu — w szczególności ciąg liter składający się na adres internetowy (xyz.przyklad.com), musi zostać przekonwertowany na adres IP przez serwer DNS (system nazw domen), aby połączenie było kontynuowane.

Pharming odbywa się poprzez zmianę ustawień hosta w systemie ofiary lub manipulowanie serwerem DNS. Odbywa się to na dwa sposoby:

Wywoływanie zmian w lokalnym pliku Hosts

Plik hostów lokalnych odnosi się do katalogu adresów IP i nazw domen, który jest przechowywany na lokalnym komputerze użytkownika. Na przykład w systemach macOS i Linux ten plik znajduje się w /etc/hosts. Pharming ma miejsce, gdy cyberprzestępcy atakują system ofiary i zmieniają plik hosts, aby przekierowywać osoby na fałszywą witrynę za każdym razem, gdy próbują uzyskać dostęp do legalnej. Cyberprzestępcy mogą być bardzo wykwalifikowani w sprawieniu, by fałszywa strona internetowa wyglądała bardzo podobnie do rzeczywistej. Ofiary są zatem przyłapane na nieświadomości i ujawniają oszustom swoje dane logowania lub informacje finansowe.

Cyberprzestępcy zazwyczaj wykorzystują techniki phishingowe, aby wysłać złośliwe oprogramowanie na komputer ofiary, powodując zmiany w pliku hosta. Pharmer może wdrożyć wiadomość e-mail zawierającą szkodliwy kod, a gdy ofiara ją kliknie, złośliwe oprogramowanie zostanie pobrane i zainstalowane na ich komputerze.    

Podszywanie się pod system nazw domen (DNS)

Inną główną metodą stosowaną przez farmerów do przekierowywania ruchu jest wykorzystywanie słabości serwera DNS i fałszowanie jego odpowiedzi na żądania DNS. W efekcie ofiara jest przekierowywana na fałszywą stronę internetową kontrolowaną przez pharmera, nawet jeśli prawidłowy adres jest widoczny w pasku adresu przeglądarki. Fałszywe strony internetowe są następnie wykorzystywane do zbierania danych finansowych i poufnych informacji od ofiary, a także mogą instalować wirusy w systemie ofiary.

To, co sprawia, że ​​spoofing DNS jest bardziej niebezpieczny niż zmiany w plikach hostów, to fakt, że nie musi ono zależeć od działań ofiary i ma potencjalnie gorsze konsekwencje, ponieważ serwery DNS odpowiadają na żądania wielu użytkowników i mogą „zatruwać” inne serwery DNS zmianami wprowadzonymi przez pharmera do rekordu DNS. Ponadto, w przypadku spoofingu DNS, ofiara może mieć komputer wolny od wirusów, ale nadal może zostać zaatakowany przez pharmerów. Nawet jeśli gospodarze podejmą środki ostrożności, takie jak ręczne wpisywanie adresu strony internetowej lub regularne korzystanie z zaufanych zakładek, to i tak nie wystarczą one do zwalczania fałszowania DNS, ponieważ złośliwe przekierowanie następuje po wysłaniu żądania połączenia przez komputer.

Kiedy farmaceuci kradną dane finansowe i osobiste swoich ofiar, mogą je wykorzystać do oszustwa lub sprzedać w ciemnej sieci.

Czym różni się pharming od phishingu?

Pomimo podobnych pożądanych rezultatów w przypadku pharmingu i phishingu stosowane metody różnią się. Pharming jest bardziej nastawiony na atakowanie systemu DNS, podczas gdy phishing jest bardziej skoncentrowany na manipulacji użytkownikami. Chociaż, jak wyjaśniono wcześniej, phishing może pełnić ważną funkcję w realizacji pharmingu.

phishing

Tak jak my wspomniane wcześniej, phishing to rodzaj oszustwa cybernetycznego, w ramach którego osoby atakujące rozsyłają wiadomości e-mail, które udają, że pochodzą od wiarygodnych organizacji, takich jak banki i firmy obsługujące karty kredytowe. Wiadomości e-mail zawierają złośliwe linki, które po kliknięciu przenoszą ofiarę na fałszywą stronę internetową. Ponieważ fałszywa strona internetowa wygląda łudząco podobnie do legalnej, ofiary są nakłaniane do wprowadzenia swoich danych logowania, danych karty i innych poufnych informacji. 

Pharming

Pharming można uznać za rodzaj phishingu bez czynnika uwodzenia. Oznacza to, że ofiara nie musi klikać złośliwego linku, aby przenieść ją na fałszywą stronę internetową. Zamiast tego ofiara jest tam natychmiast wysyłana przez fałszywy rekord DNS lub wpis w pliku hostów. Pharming można zatem scharakteryzować jako „phishing bez przynęty”.

Historyczne przypadki Pharming

Pharming był wielokrotnie używany na całym świecie do atakowania indywidualnych ofiar i organizacji:

W 2007, co najmniej 50 organizacji finansowych w Stanach Zjednoczonych, Europie i regionie Azji i Pacyfiku zostały zaatakowane przez farmaceutów. Ich strategia polegała na stworzeniu fałszywej strony internetowej dla każdego celu, a następnie umieszczeniu na każdym z nich złośliwego kodu. Fałszywe strony internetowe zmusiły komputery ofiar do pobrania szkodliwego oprogramowania typu koń trojański, które następnie pobrało pięć dodatkowych plików z rosyjskiego serwera. Za każdym razem, gdy użytkownicy, których komputery zostały zaatakowane przez szkodliwe oprogramowanie, próbowali uzyskać dostęp do którejkolwiek z firm finansowych, byli przekierowywani na fałszywą stronę internetową, która zbierała ich nazwy użytkownika i hasła.

W 2015 roku w Brazylii pharmerzy wdrożyli wiadomości phishingowe do użytkowników domowych routerów UTStarcom i TR-Link, podszywających się pod największą brazylijską firmę telekomunikacyjną. Wiadomości e-mail zawierały złośliwe odsyłacze, które po kliknięciu wysyłały ofiarę na serwer, który zaatakował jej router.

Farmerzy wykorzystali następnie fałszowanie żądań między witrynami (CSRF) luki w domowych routerach ofiar w celu uzyskania dostępu do konsoli administracyjnych routerów.

Gdy pharmerzy przeniknęli do panelu administracyjnego routera ofiary, wstawili domyślną nazwę użytkownika i hasło. Jeśli to zadziałało, przystąpili do zmiany ustawień routera na własny serwer DNS.

W 2016 r. firma Sucuri, dostawca usług w zakresie bezpieczeństwa witryn internetowych, odkrył przypadek pharming gdzie hakerzy przekierowywali ofiary na strony, które wykorzystywały FreeDNS NameCheap poprzez zmienione ustawienia DNS.

W 2019 roku Wenezuela potrzebowała pomocy humanitarnej. Prezydent Juan Guadio zapytał tysiące wolontariuszy udostępnienia swoich danych osobowych na stronie internetowej, aby otrzymać instrukcje, jak pomóc organizacjom międzynarodowym w udzielaniu pomocy. Strona internetowa wymagała od wolontariuszy podania informacji, w tym pełnego imienia i nazwiska, dowodu osobistego, numeru telefonu komórkowego i adresu. 

Pięć dni po uruchomieniu tej strony pojawiła się fałszywa strona internetowa o bardzo podobnej domenie i strukturze. Dwie domeny, mające różnych właścicieli, zostały zarejestrowane w Wenezueli tylko pod jednym adresem IP, który należał do hakerów. W związku z tym, niezależnie od tego, czy wolontariusze uzyskali dostęp do legalnej, czy fałszywej nazwy domeny, ich dane osobowe nadal trafiały na fałszywą stronę internetową.

Skąd wiesz, czy jesteś ofiarą pharmingu?

Każdy z poniższych problemów może wskazywać, że padłeś ofiarą pharmingu:

  1. Hasła do Twojej bankowości internetowej zmieniły się bez inicjowania akcji.
  2. Na Twoim koncie na Facebooku znajdują się wiadomości lub posty, których nie utworzyłeś.
  3. Twoja karta kredytowa została obciążona niewyjaśnionymi płatnościami.
  4. Na Twoim komputerze zainstalowane są dziwne aplikacje, których ani nie pobierałeś, ani nie instalowałeś.
  5.  Twoje konta w mediach społecznościowych wysłały zaproszenia do znajomych, których nie zrobiłeś.

How To Chroń się przed pharmingiem

Opisane poniżej strategie są uważane za najlepsze praktyki w zapobieganiu atakom typu pharming:

Użyj zaufanego serwera DNS

Rozważ przejście na wyspecjalizowaną usługę DNS, ponieważ może to zapewnić lepszą ochronę przed fałszowaniem DNS.

Dokładnie sprawdź adres URL witryny pod kątem błędów typograficznych

Farmerzy modyfikują nazwę docelowej strony internetowej, zmieniając jeden lub więcej znaków. Na przykład www.Onebank.example.com stanie się www.0nebank.example.com. 

Klikaj tylko linki, które mają legalny certyfikat SSL

Certyfikat SSL daje pewność, że odwiedzana witryna jest bezpieczna. Dowiesz się, czy strona ma certyfikat SSL, jeśli jej link zaczyna się od HTTPS. Jeśli zauważysz, że strona zaczyna się od samego HTTP, nie ma pewności, że jest bezpieczna i nie powinieneś ujawniać jej żadnych prywatnych informacji.

Włącz uwierzytelnianie wieloskładnikowe dla swoich kont internetowych

Uwierzytelnianie wieloskładnikowe zapewnia dodatkową warstwę ochrony w przypadku naruszenia danych logowania. Przykładami mogą być kody zabezpieczające SMS, Google Authenticator, rozpoznawanie głosu i wykrywanie odcisków palców.

Podpisz e-maile za pomocą S/MIME certyfikaty

S/MIME (Bezpieczne / uniwersalne rozszerzenie poczty internetowej) Wiadomości e-mail korzystają z podpisu cyfrowego, który zapewnia odbiorcom, że wiadomość naprawdę pochodzi od Ciebie.

Dziękujemy za wybranie SSL.com! W razie jakichkolwiek pytań prosimy o kontakt mailowy pod adresem Support@SSL.com, połączenie 1-877-SSL-SECURElub po prostu kliknij link czatu w prawym dolnym rogu tej strony.

Zespół wsparcia SSL

Wszystkie Posty

Powiązane posty na blogu

Zobacz wszystkie posty na blogu
Facebook LinkedIn Twitter youtube Github

Co to jest SSL /TLS?

Odtwórz wideo

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę