Vad är Pharming?

Vad är en Pharming Attack?

Begreppet "pharming" kommer från två begrepp: phishing och jordbruk. Det är en typ av social engineering cyberattack som manipulerar en webbplats trafik för att ta besittning av en användares privata information eller installera skadlig kod på sina datorer. För att göra detta skapar apotekare en falsk webbplats som är en kopia av målwebbplatsen och använder flera metoder för att omdirigera användare till den falska webbplatsen.

Cyberkriminella skapar vanligtvis falska kopior av banker och e -handelswebbplatser för att samla in användarnamn, lösenord, personnummer och kredit-/betalkortsuppgifter.

 

Användare kan signera kod med eSigners funktion för utökad validering av kodsignering. Klicka nedan för mer info.

LÄS MER

Hur går Pharming till?

Pharming drar nytta av grunden för internetsurfning - specifikt att serien med bokstäver som utgör en internetadress (xyz.example.com), måste konverteras till en IP -adress av en DNS -server (domännamnssystem) för att anslutningen ska kunna fortsätta.

Pharming görs genom att ändra värdinställningarna på offrets system eller manipulera en DNS -server. Detta uppnås på två sätt:

Orsakar ändringar i filen Lokala värdar

Den lokala värdfilen refererar till en katalog med IP -adresser och domännamn som finns på en användares lokala dator. Till exempel på macOS- och Linux -system finns den här filen på /etc /hosts. Pharming händer när cyberbrottslingar invaderar offrets system och ändrar värdfilen för att omdirigera individer till den falska webbplatsen varje gång de försöker komma åt den legitima. Cyberkriminella kan vara mycket skickliga på att få den falska webbplatsen att likna den verkliga. Offer fångas därför omedvetna och lämnar ut sina inloggningsuppgifter eller ekonomisk information till bedragarna.

Cyberattackers använder vanligtvis phishing -tekniker för att skicka skadlig kod till offrets dator, vilket orsakar ändringar i deras värdfil. Farmaren kan distribuera ett e -postmeddelande som innehåller skadlig kod och när offret klickar på det laddas ned och installeras skadlig kod på sin dator.    

Spoofing av domännamnssystem (DNS)

Den andra stora metoden som apotekare använder för att omdirigera trafik är genom utnyttjande av en DNS -servers svagheter och förfalskning av dess svar på DNS ​​-begäranden. Effekten är att offret vidarebefordras till en falsk webbplats som kontrolleras av farmaren, även om rätt adress syns i webbläsarens adressfält. De falska webbplatserna används sedan för att skaffa ekonomiska detaljer och konfidentiell information från offret, och kan också installera virus på offrets system.

Det som gör DNS -spoofing mer hotfullt än värdens filändringar är att det inte behöver bero på offrets handlingar och har potentiellt värre konsekvenser eftersom DNS -servrar svarar på många användares förfrågningar och kan “förgifta” andra DNS -servrar med farmarens ändringar till en DNS -post. Med DNS -spoofing kan offret också ha en dator som är fri från virus men fortfarande kan bli attackerad av apotekare. Även om värdar vidtar försiktighetsåtgärder som att skriva webbadressen manuellt eller regelbundet med betrodda bokmärken, räcker dessa fortfarande inte för att bekämpa DNS -spoofing, eftersom den skadliga omdirigeringen sker efter att anslutningsbegäran skickats av datorn.

När apotekare stjäl sina offrens ekonomiska och personliga uppgifter kan de sedan använda dem för bedrägeri eller sälja dem på den mörka webben.

Hur skiljer sig pharming från phishing?

Trots att det finns liknande önskade resultat mellan pharming och phishing, skiljer sig metoderna åt. Pharming är mer inställd på att attackera DNS -systemet medan phishing är mer fokuserat på manipulation av användare. Även, som förklarades tidigare, kan nätfiske ha en viktig funktion vid genomförandet av pharming.

Nätfiske

Som vi har nämnts tidigare, nätfiske är en typ av cyberbedrägeri där angripare distribuerar e -postmeddelanden som låtsas komma från pålitliga organisationer som banker och kreditkortsföretag. E -postmeddelandena innehåller skadliga länkar som, när de klickas, tar offret till en falsk webbplats. Eftersom den falska webbplatsen ser bedrägligt lik den legitima ut, luras offren för att ange sina inloggningsuppgifter, kortuppgifter och annan känslig information. 

Pharming

Pharming kan betraktas som en typ av nätfiske minus förförelsesfaktorn. Det betyder att det inte behöver offret klicka på en skadlig länk för att ta honom/henne till en falsk webbplats. I stället skickas offret omedelbart dit av en falsk DNS -post eller värdfilpost. Pharming kan därför karakteriseras som "phishing utan lockbete".

Historiska fall av Pharming

Pharming har använts många gånger över hela världen för att attackera enskilda offer och organisationer:

2007, minst 50 finansiella organisationer i USA, Europa och Asien-Stillahavsområdet attackerades av apotekare. Deras strategi var att skapa en falsk webbplats för varje mål och sedan placerade de skadlig kod på var och en av dem. De falska webbplatserna tvingade offrens datorer att ladda ner trojansk hästskada, som sedan laddade ner ytterligare fem filer från en rysk server. Varje gång användare, vars datorer attackerades av skadlig programvara, försökte komma åt något av de finansiella företagen, omdirigerades de till den falska webbplatsen som skördade deras användarnamn och lösenord.

2015, i Brasilien, apotekare distribuerade phishing -e -postmeddelanden för användare av UTStarcom och TR-Link hemrouter, låtsas representera Brasiliens största telekomföretag. E -postmeddelandena innehöll skadliga länkar som, när de klickades, skickade offret till en server som attackerade deras router.

Apotekarna utnyttjade sedan förfalskning på flera webbplatser (CSRF) sårbarheter i offrens hemroutrar för att komma åt routerns administratörskonsoler.

När apotekarna infiltrerat administratörspanelen för offrens router lägger de in standardnamnet och lösenordet. Om detta fungerade fortsatte de med att ändra routerns inställning till sin egen DNS -server.

2016 upptäckte webbplatsleverantören Sucuri en pharming -fall där hackare omdirigerade offer till webbplatser som använde NameCheap's FreeDNS via ändrade DNS -inställningar.

År 2019 var Venezuela i behov av humanitärt bistånd. President Juan Guadio frågade tusentals volontärer att lämna in sina personuppgifter till en webbplats så att de skulle få instruktioner om hur de kan hjälpa internationella organisationer att ge bistånd. Webbplatsen krävde volontärer att uppge information inklusive deras fullständiga namn, personliga ID, mobiltelefonnummer och adress. 

Fem dagar efter lanseringen av denna webbplats dök en falsk webbplats upp med en mycket liknande domän och struktur. De två domänerna, med olika ägare, registrerades i Venezuela till bara en IP -adress som tillhörde hackarna. Därför, oavsett om volontärerna fick tillgång till det legitima eller falska domännamnet, slutade deras personliga information fortfarande att introduceras på den falska webbplatsen.

Hur vet du om du är ett offer för pharming?

Något av följande problem kan tyda på att du har utsatts för pharming:

  1. Lösenord till din nätbank ändrades utan att du inledde åtgärden.
  2. Det finns meddelanden eller inlägg på ditt Facebook -konto som du inte skapade.
  3. Oförklarade faktureringar har gjorts till ditt kreditkort.
  4. Konstiga program installeras på din dator som du varken har laddat ner eller installerat.
  5.  Dina sociala medier -konton har skickat vänförfrågningar som du inte gjorde.

How To Skydda dig själv från Pharming

Strategierna som beskrivs nedan anses vara bästa praxis för att förhindra ett pharming -angrepp:

Använd en pålitlig DNS -server

Överväg att byta till en specialiserad DNS -tjänst eftersom det kan ge mer skydd mot DNS -spoofing.

Dubbelkontrollera webbplatsens URL för typografiska fel

Apotekare ändrar namnet på den riktade webbplatsen genom att ändra ett eller flera tecken. Så till exempel kommer www.Onebank.example.com att bli www.0nebank.example.com. 

Klicka bara på länkar som har ett legitimt SSL -certifikat

Ett SSL -certifikat garanterar att webbplatsen du besöker är säker. Du kommer att veta om webbplatsen har ett SSL -certifikat om länken börjar med HTTPS. Om du ser att webbplatsen börjar med bara HTTP finns det ingen garanti för att den är säker och att du inte ska lämna ut någon privat information till den.

Aktivera multifaktorautentisering för dina onlinekonton

Multifaktorautentisering ger ett extra lager av skydd om dina inloggningsuppgifter äventyras. Exempel är SMS -säkerhetskoder, Google Authenticator, röstigenkänning och fingeravtrycksavkänning.

Signera mejl med S/MIME Certifikat

S/MIME (Säker / mångfaldig Internet-förlängning) E -postmeddelanden använder digital signering som försäkrar mottagarna att e -postmeddelandet verkligen kom från dig.

Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.

SSL-supportteam

Alla inlägg

Relaterade blogginlägg

Visa alla blogginlägg
Facebook LinkedIn Twitter youtube Github

Vad är SSL /TLS?

Spela filmen

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.

Ta undersökning