O que é um ataque a Pharming?
O termo “pharming” vem de dois conceitos: phishing e agricultura. É um tipo de ataque cibernético de engenharia social que manipula o tráfego de um site para obter informações privadas de um usuário ou instalar malware em seus computadores. Para fazer isso, os pharmers criam um site falso que é uma réplica do site de destino e usam vários métodos para redirecionar os usuários para o site falso.
Os cibercriminosos normalmente criam réplicas falsas de bancos e sites de comércio eletrônico para coletar nomes de usuário, senhas, números de previdência social e detalhes de cartão de crédito / débito.
Como o Pharming é feito?
Pharming tira proveito da base da navegação na Internet - especificamente, que a série de letras que compõem um endereço de Internet (xyz.exemplo.com), precisa ser convertido em um endereço IP por um servidor DNS (sistema de nomes de domínio) para que a conexão continue.
Pharming é feito alterando as configurações do host no sistema da vítima ou manipulando um servidor DNS. Isto é realizado de duas maneiras:
Causando Mudanças no Arquivo de Hosts Locais
O arquivo hosts local se refere a um diretório de endereços IP e nomes de domínio que é mantido no computador local de um usuário. Por exemplo, em sistemas macOS e Linux, esse arquivo está localizado em / etc / hosts. Pharming acontece quando os cibercriminosos invadem o sistema da vítima e alteram o arquivo hosts para redirecionar os indivíduos para o site falso sempre que tentam acessar o site legítimo. Os cibercriminosos podem ser altamente qualificados em fazer um site falso parecer muito semelhante ao real. As vítimas, portanto, são apanhadas sem saber e divulgam suas credenciais de login ou informações financeiras aos golpistas.
Os ciberataques geralmente usam técnicas de phishing para enviar malware ao computador da vítima, causando alterações em seus arquivos hosts. O pharmer pode implantar um e-mail contendo código malicioso e, quando a vítima clica nele, o malware é baixado e instalado em seu computador.
Spoofing do Sistema de Nomes de Domínio (DNS)
O outro método importante que os pharmers usam para redirecionar o tráfego é por meio da exploração dos pontos fracos de um servidor DNS e falsificação de suas respostas às solicitações DNS. O efeito é que a vítima é desviada para um site falso controlado pelo farmacêutico, mesmo que o endereço correto esteja visível na barra de endereços do navegador. Os sites falsos são então usados para coletar detalhes financeiros e informações confidenciais da vítima e também podem instalar vírus no sistema da vítima.
O que torna o spoofing de DNS mais ameaçador do que alterações em arquivos de hosts é que ele não precisa depender das ações da vítima e tem consequências potencialmente piores porque os servidores DNS respondem às solicitações de muitos usuários e podem “envenenar” outros servidores DNS com as alterações do pharmer para um registro DNS. Além disso, com o spoofing de DNS, a vítima pode ter um computador livre de vírus, mas ainda pode ser atacado por pharmers. Mesmo que os hosts tomem precauções como digitar o endereço do site manualmente ou regularmente usando marcadores confiáveis, eles ainda não são suficientes para combater o spoofing de DNS, porque o redirecionamento malicioso ocorre depois que a solicitação de conexão é enviada pelo computador.
Quando os farmacêuticos roubam os dados financeiros e pessoais de suas vítimas, eles podem usá-los para fraudes ou vendê-los na dark web.
Qual a diferença entre o Pharming e o Phishing?
Apesar de haver resultados desejados semelhantes entre pharming e phishing, os métodos usados diferem. Pharming está mais voltado para o ataque ao sistema DNS, enquanto o phishing está mais voltado para a manipulação de usuários. Porém, como explicado anteriormente, o phishing pode ter uma função importante na execução de pharming.
Phishing
Como nós mencionado antes, phishing é um tipo de fraude cibernética em que os invasores implantam e-mails fingindo vir de organizações confiáveis, como bancos e empresas de cartão de crédito. Os e-mails carregam links maliciosos que, quando clicados, levam a vítima a um site falso. Como o site falso se parece enganosamente com o legítimo, as vítimas são induzidas a inserir suas credenciais de login, detalhes do cartão e outras informações confidenciais.
Pharming
Pharming pode ser considerado um tipo de phishing sem o fator de sedução. Isso significa que não é necessário que a vítima clique em um link malicioso para levá-la a um site falso. Em vez disso, a vítima é imediatamente enviada para lá por um registro DNS falso ou entrada de arquivo de hosts. Pharming pode, portanto, ser caracterizado como "phishing sem isca".
Casos históricos de Pharming
Pharming tem sido usado muitas vezes em todo o mundo para atacar vítimas individuais e organizações:
Em 2007, pelo menos 50 organizações financeiras nos Estados Unidos, Europa e Ásia-Pacífico foram atacados por farmacêuticos. A estratégia deles era fazer um site falso para cada alvo e então colocar um código malicioso em cada um deles. Os sites falsos forçaram os computadores das vítimas a baixar o malware cavalo de Tróia, que posteriormente baixou cinco arquivos adicionais de um servidor russo. Sempre que os usuários, cujos computadores foram atacados pelo malware, tentavam acessar qualquer uma das empresas financeiras, eram redirecionados para o site falso que coletava seus nomes de usuário e senhas.
Em 2015, no Brasil, pharmers implantou e-mails de phishing a usuários de roteadores domésticos UTStarcom e TR-Link, que pretendem representar a maior empresa de telecomunicações do Brasil. Os e-mails continham links maliciosos que, ao serem clicados, encaminhavam a vítima para um servidor que atacou seu roteador.
Os farmacêuticos, então, aproveitaram a falsificação de solicitação entre sites (CSRF) vulnerabilidades nos roteadores domésticos das vítimas para acessar os consoles do administrador dos roteadores.
Depois que os pharmers se infiltraram no painel de controle do administrador do roteador das vítimas, eles inseriram o nome de usuário e a senha padrão. Se funcionasse, eles mudaram a configuração do roteador para seu próprio servidor DNS.
Em 2016, a fornecedora de serviços de segurança de sites Sucuri, descobriu um caso pharming onde os hackers redirecionavam as vítimas para sites que empregavam o FreeDNS do NameCheap por meio de configurações de DNS alteradas.
Em 2019, a Venezuela precisava de ajuda humanitária. Presidente Juan Guadio perguntou a milhares de voluntários enviar seus dados pessoais a um site da Web para que recebam instruções sobre como ajudar organizações internacionais a prestar assistência. O site exigia que os voluntários declarassem informações como nome completo, identidade pessoal, número de telefone celular e endereço.
Cinco dias após o lançamento deste site, um site falso apareceu com um domínio e estrutura muito semelhantes. Os dois domínios, com proprietários diferentes, foram registrados na Venezuela em apenas um endereço IP que pertencia aos hackers. Portanto, quer os voluntários acessassem o nome de domínio legítimo ou falso, suas informações pessoais ainda acabavam sendo introduzidas no site falso.
Como você sabe se é uma vítima de Pharming?
Qualquer um dos seguintes problemas pode indicar que você foi vítima de pharming:
- As senhas do seu banco on-line mudaram sem que você iniciasse a ação.
- Existem mensagens ou postagens em sua conta do Facebook que você não criou.
- Faturas inexplicáveis foram feitas em seu cartão de crédito.
- Aplicativos estranhos estão instalados em seu computador e você não baixou nem instalou.
- Suas contas de mídia social enviaram solicitações de amizade que você não fez.
Como Negociar Proteja-se de Pharming
As estratégias descritas abaixo são consideradas as melhores práticas na prevenção de um ataque de pharming:
Use um servidor DNS confiável
Considere mudar para um serviço DNS especializado porque isso pode fornecer mais proteção contra falsificação de DNS.
Verifique novamente se há erros tipográficos no URL do site
Os farmacêuticos modificam o nome do site de destino alterando um ou mais caracteres. Assim, por exemplo www.Onebank.example.com se tornará www.0nebank.example.com.
Clique apenas em links que tenham um certificado SSL legítimo
Um certificado SSL fornece garantia de que o site que você está visitando é seguro. Você saberá se o site tem um certificado SSL se o link começar com HTTPS. Se você vir que o site começa apenas com HTTP, não há garantia de que ele é seguro e você não deve divulgar nenhuma informação privada a ele.
Ative a autenticação multifator para suas contas online
A autenticação multifator fornece uma camada extra de proteção caso seus detalhes de login sejam comprometidos. Os exemplos incluem códigos de segurança SMS, Google Authenticator, reconhecimento de voz e detecção de impressão digital.
Assinar Emails com S/MIME Profissionais
S/MIME (Extensão de correio da Internet segura / multiuso) Os e-mails usam assinatura digital que garante aos destinatários que o e-mail realmente veio de você.
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou clique no link de bate-papo no canto inferior direito desta página.