Atak pharming to wyrafinowany mechanizm, który oszukuje użytkowników (przeważnie) bez konieczności popełnienia „głupiego błędu” z ich strony. Rozszyfrujmy to i zobaczmy, jak zabezpieczyć.
Wyobraź sobie, że logujesz się do swojej bankowości internetowej przy użyciu legalnego adresu internetowego i wkrótce po tym znikają oszczędności życia.
Tak wyglądają ataki typu pharming.
Termin pharming pochodzi od phishingu (ataku) i farmienia 🚜.
Mówiąc prościej; phishing wymaga kliknięcia w podejrzany link (głupi błąd), który pobiera szkodliwe oprogramowanie powodujące straty finansowe. Poza tym może to być wiadomość e-mail od „dyrektora generalnego” z prośbą o wykonanie „pilnego” przelewu bankowego na rzecz „dostawcy”.
Krótko mówiąc, phishing wymaga Twojego aktywnego udziału, podczas gdy ataki typu pharming (w większości przypadków) nie.
Spis treści:
Co to jest atak pharmingowy?
Jesteśmy przyzwyczajeni do nazw domen (jak newsblog.pl.com), podczas gdy maszyny rozumieją adresy IP (jak 24.237.29.182).
Kiedy wpisujemy adres internetowy (nazwę domeny), to (zapytanie) trafia do serwerów DNS (książki telefonicznej internetu), które dopasowują go do powiązanego adresu IP.
W związku z tym nazwy domen mają niewiele wspólnego z rzeczywistymi witrynami internetowymi.
Na przykład, jeśli serwer DNS dopasował nazwę domeny do nieautentycznego adresu IP hostującego sfałszowaną witrynę — to wszystko, co zobaczysz, niezależnie od wprowadzonego „właściwego” adresu URL.
Następnie użytkownik bez wysiłku przekazuje szczegóły — numery kart, numery identyfikacyjne, dane logowania itp. — parodii, myśląc, że jest to zgodne z prawem.
To sprawia, że ataki pharming są niebezpieczne.
Są bardzo dobrze wykonane, działają potajemnie, a użytkownik końcowy nic nie wie, dopóki nie otrzyma komunikatu „obciążona kwota” ze swoich banków. Lub uzyskują informacje umożliwiające identyfikację, które są sprzedawane w ciemnej sieci.
Sprawdźmy szczegółowo ich modus operandi.
Jak działa atak pharming?
Są one zorganizowane na dwóch poziomach, z użytkownikiem lub całym serwerem DNS.
# 1. Pharming na poziomie użytkownika
Jest to podobne do phishingu i polega na kliknięciu podejrzanego łącza, które pobiera złośliwe oprogramowanie. Następnie plik hosta (inaczej lokalne rekordy DNS) zostaje zmieniony, a użytkownik odwiedza złośliwą kopię oryginalnej witryny.
Plik hosta to standardowy plik tekstowy, który zapisuje lokalnie zarządzane rekordy DNS i toruje drogę do szybszych połączeń z mniejszymi opóźnieniami.
Zazwyczaj webmasterzy używają pliku hosta do testowania witryn internetowych przed modyfikacją rzeczywistych rekordów DNS u rejestratora domen.
Złośliwe oprogramowanie może jednak zapisywać fałszywe wpisy w lokalnym pliku hosta komputera. W ten sposób nawet poprawny adres strony okazuje się fałszywą witryną.
#2. Pharming na poziomie serwera
To, co stało się pojedynczemu użytkownikowi, może dotyczyć całego serwera.
Nazywa się to zatruciem DNS lub fałszowaniem DNS lub przejęciem DNS. Ponieważ dzieje się to na poziomie serwera, ofiar może być setki lub tysiące, jeśli nie więcej.
Docelowe serwery DNS są generalnie trudniejsze do kontrolowania i stanowią ryzykowny manewr. Ale jeśli to zrobisz, nagrody dla cyberprzestępców będą wykładniczo wyższe.
Pharming na poziomie serwera odbywa się poprzez fizyczne przejmowanie serwerów DNS lub ataki typu man-in-the-middle (MITM).
Ta ostatnia jest manipulacją programową między użytkownikiem a serwerem DNS lub między serwerami DNS a autorytatywnymi serwerami nazw DNS.
Ponadto haker może zmienić ustawienia DNS routera WiFi, co jest znane jako lokalne pozycjonowanie DNS.
Udokumentowane ataki typu pharming
Atak typu pharming na poziomie użytkownika często pozostaje ukryty i rzadko jest zgłaszany. Nawet jeśli jest zarejestrowany, to prawie nie trafia do serwisów informacyjnych.
Co więcej, wyrafinowanie ataków na poziomie serwera sprawia, że są one trudne do zauważenia, chyba że cyberprzestępcy zlikwidują znaczną ilość pieniędzy, co ma wpływ na wiele osób.
Sprawdźmy kilka, aby zobaczyć, jak to działa w prawdziwym życiu.
# 1. Krzywa Finansów
Curve Finance to platforma wymiany kryptowalut, która 9 sierpnia 2022 roku padła ofiarą ataku zatruwania DNS.
Mamy krótki raport od @iwantmyname o tym, co się stało. W skrócie: zatruwanie pamięci podręcznej DNS, a nie kompromitacja serwera nazw.https://t.co/PI1zR96M1Z
Nikt w sieci nie jest w 100% bezpieczny przed tymi atakami. To, co się stało, MOCNIE sugeruje, aby zacząć przechodzić na ENS zamiast DNS
— Curve Finance (@CurveFinance) 10 sierpnia 2022 r
Za kulisami doszło do ataku iwantmyname, dostawcy DNS firmy Curve, wysyłając użytkowników na parodię i powodując straty w wysokości ponad 550 000 USD.
#2. Mój portfel eterowy
24 kwietnia 2018 r. był czarnym dniem dla niektórych użytkowników MyEtherWallet. Jest to darmowy i otwarty portfel Ethereum (kryptowaluty) z solidnymi protokołami bezpieczeństwa.
Pomimo całej dobroci, doświadczenie pozostawiło gorzki smak w ustach użytkowników z kradzieżą netto 17 milionów dolarów.
Technicznie rzecz biorąc, przejęcie BGP zostało przeprowadzone w usłudze Amazon Route 53 DNS — używanej przez MyEtherWallet — która przekierowywała niektórych użytkowników do repliki phishingowej. Wprowadzili swoje dane logowania, co dało przestępcom dostęp do ich portfeli kryptowalutowych, powodując nagły drenaż finansowy.
Jednak rażącym błędem po stronie użytkownika było zignorowanie ostrzeżenia SSL przeglądarki.
Oficjalne oświadczenie MyEtherWallet dotyczące oszustwa.
#3. Główne banki
W 2007 roku użytkownicy prawie 50 banków byli celem ataków typu pharming, które przyniosły nieznane straty.
Ten klasyczny kompromis DNS wysyłał użytkowników do złośliwych stron internetowych, nawet jeśli wprowadzili oficjalne adresy URL.
Jednak wszystko zaczęło się od odwiedzenia przez ofiary złośliwej strony internetowej, która pobierała trojana z powodu luki w systemie Windows (teraz załatanej).
Następnie wirus prosił użytkowników o wyłączenie programu antywirusowego, zapór itp.
Następnie użytkownicy byli odsyłani do parodystycznych stron internetowych wiodących instytucji finansowych w USA, Europie i regionie Azji i Pacyfiku. Takich wydarzeń jest więcej, ale działają one w podobny sposób.
Oznaki pharmingu
Pharming zasadniczo daje pełną kontrolę nad zainfekowanymi kontami internetowymi aktorowi zagrażającemu. Może to być Twój profil na Facebooku, konto w bankowości internetowej itp.
Jeśli jesteś ofiarą, zobaczysz nierozliczoną aktywność. Może to być post, transakcja lub choćby zabawna zmiana w Twoim zdjęciu profilowym.
Ostatecznie powinieneś zacząć od lekarstwa, jeśli jest coś, czego nie pamiętasz.
Ochrona przed pharmingiem
W zależności od rodzaju ataku (na poziomie użytkownika lub serwera), na który jesteś narażony, istnieje kilka sposobów ochrony.
Ponieważ implementacja na poziomie serwera nie jest przedmiotem tego artykułu, skupimy się na tym, co możesz zrobić jako użytkownik końcowy.
# 1. Użyj antywirusa premium
Dobry program antywirusowy to połowa sukcesu. Pomaga to chronić się przed większością nieuczciwych linków, złośliwymi plikami do pobrania i oszukańczymi witrynami. Chociaż istnieje darmowy program antywirusowy dla twojego komputera, płatne programy generalnie działają lepiej.
#2. Ustaw silne hasło routera
Routery WiFi mogą również służyć jako mini serwery DNS. W związku z tym ich bezpieczeństwo ma kluczowe znaczenie i zaczyna się od pozbycia się haseł wysyłanych przez firmę.
#3. Wybierz renomowanego dostawcę usług internetowych
Dla większości z nas dostawcy usług internetowych działają również jako serwery DNS. Z mojego doświadczenia wynika, że DNS dostawcy usług internetowych zapewnia niewielki wzrost prędkości w porównaniu z bezpłatnymi publicznymi usługami DNS, takimi jak Google Public DNS. Jednak ważne jest, aby wybrać najlepszego dostępnego dostawcę usług internetowych nie tylko ze względu na prędkość, ale także ogólne bezpieczeństwo.
#4. Użyj niestandardowego serwera DNS
Przejście na inny serwer DNS nie jest trudne ani rzadkie. Możesz korzystać z bezpłatnego publicznego DNS z OpenDNS, Cloudflare, Google itp. Jednak ważne jest, aby dostawca DNS mógł zobaczyć Twoją aktywność w sieci. Dlatego powinieneś być czujny, komu dajesz dostęp do swojej aktywności w sieci.
#5. Użyj VPN z prywatnym DNS
Korzystanie z VPN zapewnia wiele warstw bezpieczeństwa, w tym niestandardowy DNS. To nie tylko chroni Cię przed cyberprzestępcami, ale także przed ISP lub inwigilacją rządu. Mimo to powinieneś sprawdzić, czy VPN powinien mieć zaszyfrowane serwery DNS dla najlepszej możliwej ochrony.
#6. Zachowaj dobrą cyberhigienę
Kliknięcie nieuczciwych linków lub reklam zbyt dobrych, by były prawdziwe, to jeden z głównych sposobów na oszustwo. Podczas gdy dobry program antywirusowy ostrzega Cię, żadne narzędzie do cyberbezpieczeństwa nie gwarantuje 100% skuteczności. Wreszcie, odpowiedzialność spoczywa na twoich barkach, aby się zabezpieczyć.
Na przykład należy wkleić podejrzany link do wyszukiwarek, aby zobaczyć źródło. Ponadto powinniśmy upewnić się, że HTTPS (oznaczony kłódką w pasku adresu URL) przed zaufaniem jakiejkolwiek stronie internetowej.
Co więcej, okresowe czyszczenie DNS z pewnością pomoże.
Strzec się!
Ataki typu pharming są znane od wieków, ale sposób ich działania jest zbyt subtelny, aby można go było dokładnie określić. Podstawową przyczyną takich ataków są natywne braki w zabezpieczeniach DNS, które nie są w całości usuwane.
W związku z tym nie zawsze zależy to od Ciebie. Mimo to wymienione zabezpieczenia pomogą, zwłaszcza przy użyciu VPN z zaszyfrowanym DNS, takim jak ProtonVPN.
Chociaż pharming jest oparty na DNS, czy wiesz, że oszustwa mogą również opierać się na Bluetooth? Wskocz na ten bluesnarfing 101, aby sprawdzić, jak to się robi i jak się chronić.