Pharming to zaawansowana technika oszustwa, która w większości przypadków nie wymaga od użytkownika popełnienia błędu. Zgłębmy ten temat i dowiedzmy się, jak się przed nim chronić.
Wyobraź sobie, że logujesz się do swojego konta bankowego online, używając poprawnego adresu internetowego, a chwilę później twoje oszczędności znikają. To jest właśnie istota ataku pharmingowego.
Termin „pharming” stanowi połączenie słów „phishing” (atak) i „farmienie”.
Upraszczając, phishing polega na kliknięciu w podejrzany odnośnik (czyli błąd użytkownika), który skutkuje pobraniem złośliwego oprogramowania, co prowadzi do strat finansowych. Może to być również e-mail od fałszywego „dyrektora generalnego” z prośbą o pilny przelew na rzecz „dostawcy”.
Podsumowując, phishing wymaga twojego aktywnego udziału, podczas gdy pharming (w większości przypadków) działa bez niego.
Na czym polega atak pharmingowy?
Jesteśmy przyzwyczajeni do korzystania z nazw domen (np. przykladowyblog.com), natomiast komputery posługują się adresami IP (np. 192.168.1.1). Gdy wpisujemy adres internetowy (nazwę domeny), wysyłane jest zapytanie do serwerów DNS (rodzaj książki telefonicznej internetu), które przypisują nazwę domeny do powiązanego adresu IP.
W rzeczywistości nazwy domen nie mają bezpośredniego związku z faktycznymi witrynami internetowymi.
Przykładowo, jeśli serwer DNS powiąże daną nazwę domeny z nieprawdziwym adresem IP, na którym znajduje się fałszywa strona, to właśnie tę stronę zobaczysz, niezależnie od tego, jaki prawidłowy adres URL wpiszesz.
W takiej sytuacji użytkownik, nieświadomy zagrożenia, wprowadza swoje dane osobowe – numery kart, identyfikatory, loginy – na fałszywej stronie, myśląc, że korzysta z autentycznej witryny.
To właśnie sprawia, że ataki pharmingowe są tak niebezpieczne. Działają w ukryciu, są dobrze wykonane i często użytkownik orientuje się, że został oszukany dopiero po otrzymaniu powiadomienia o obciążeniu konta. Dane użytkowników mogą być też sprzedawane w dark webie.
Przyjrzyjmy się bliżej mechanizmowi ich działania.
Jak przebiega atak pharmingowy?
Ataki pharmingowe realizowane są na dwóch poziomach: na poziomie użytkownika lub serwera DNS.
#1. Pharming na poziomie użytkownika
Ten rodzaj ataku przypomina phishing, polega na kliknięciu w podejrzany odnośnik, który prowadzi do pobrania złośliwego oprogramowania. W konsekwencji plik hosta (czyli lokalne rekordy DNS) zostaje zmodyfikowany, a użytkownik trafia na fałszywą kopię oryginalnej strony.
Plik hosta to standardowy plik tekstowy, który służy do przechowywania lokalnych rekordów DNS i przyspiesza łączenie się ze stronami. Zazwyczaj webmasterzy wykorzystują ten plik do testowania stron przed wprowadzeniem zmian w rzeczywistych rekordach DNS u rejestratora domen.
Złośliwe oprogramowanie może jednak wprowadzić fałszywe wpisy do pliku hosta, co skutkuje przekierowaniem użytkownika na fałszywą stronę, nawet jeśli wpisze on poprawny adres.
#2. Pharming na poziomie serwera
To, co dotyka pojedynczego użytkownika, może mieć miejsce na całym serwerze. Tego typu atak określa się mianem zatrucia DNS, fałszowania DNS lub przejęcia DNS. Ponieważ atak odbywa się na poziomie serwera, liczba ofiar może sięgać setek, tysięcy, a nawet więcej.
Przejęcie serwerów DNS jest trudniejsze do przeprowadzenia i bardziej ryzykowne, ale potencjalne zyski dla cyberprzestępców są znacznie wyższe. Pharming na poziomie serwera polega na fizycznym przejęciu kontroli nad serwerami DNS lub wykorzystaniu ataków typu „man-in-the-middle” (MITM).
Atak MITM to manipulacja programowa między użytkownikiem a serwerem DNS lub między serwerami DNS a autorytatywnymi serwerami nazw DNS. Haker może również zmienić ustawienia DNS routera WiFi, co określa się jako lokalne pozycjonowanie DNS.
Udokumentowane przypadki ataków pharmingowych
Ataki pharmingowe na poziomie użytkownika często pozostają niezauważone i rzadko są zgłaszane. Nawet jeśli zostaną odnotowane, rzadko trafiają do mediów.
Natomiast zaawansowanie ataków na poziomie serwera sprawia, że trudno je wykryć, chyba że cyberprzestępcy dokonają znacznej kradzieży pieniędzy, która dotknie wielu osób. Zobaczmy kilka przykładów z życia.
#1. Curve Finance
Curve Finance, platforma wymiany kryptowalut, padła ofiarą ataku zatruwania DNS 9 sierpnia 2022 roku.
Mamy krótki raport od @iwantmyname o tym, co się stało. W skrócie: zatruwanie pamięci podręcznej DNS, a nie kompromitacja serwera nazw.https://t.co/PI1zR96M1Z
Nikt w sieci nie jest w 100% bezpieczny przed tymi atakami. To, co się stało, MOCNIE sugeruje, aby zacząć przechodzić na ENS zamiast DNS
— Curve Finance (@CurveFinance) 10 sierpnia 2022 r
W wyniku ataku na dostawcę DNS firmy Curve, iwantmyname, użytkownicy zostali przekierowani na fałszywą stronę, co spowodowało straty w wysokości ponad 550 000 USD.
#2. MyEtherWallet
24 kwietnia 2018 roku okazał się pechowy dla użytkowników MyEtherWallet, darmowego portfela Ethereum o otwartym kodzie źródłowym, który miał solidne zabezpieczenia.
Pomimo tych zabezpieczeń, użytkownicy doświadczyli kradzieży o wartości 17 milionów dolarów.
W tym przypadku przejęcie BGP przeprowadzono w usłudze Amazon Route 53 DNS, z której korzystał MyEtherWallet, co doprowadziło do przekierowania niektórych użytkowników na fałszywą stronę phishingową. Użytkownicy wprowadzili swoje dane logowania, co dało cyberprzestępcom dostęp do ich portfeli kryptowalutowych i spowodowało utratę środków.
Dodatkowym czynnikiem, który ułatwił atak, było zignorowanie przez użytkowników ostrzeżenia SSL przeglądarki.
Oficjalne oświadczenie MyEtherWallet w sprawie oszustwa.
#3. Duże banki
W 2007 roku ataki pharmingowe skierowano przeciwko użytkownikom około 50 banków, co spowodowało straty o nieznanej wartości.
Ten klasyczny atak na serwer DNS przekierowywał użytkowników na złośliwe strony internetowe, nawet jeśli wprowadzili oni poprawne adresy URL.
Atak rozpoczął się od wejścia ofiar na zainfekowaną stronę, która pobrała trojana z powodu luki w systemie Windows. Następnie wirus zachęcał użytkowników do wyłączenia programów antywirusowych i zapór.
W dalszej kolejności użytkownicy byli przekierowywani na fałszywe strony internetowe czołowych instytucji finansowych w USA, Europie i Azji. Podobnych ataków było znacznie więcej, ale przebiegają one według tego samego schematu.
Sygnały ostrzegawcze pharmingu
Atak pharmingowy daje przestępcy pełną kontrolę nad zainfekowanymi kontami internetowymi, czy to profilem na Facebooku, czy kontem bankowym. Jeśli padłeś ofiarą takiego ataku, zauważysz podejrzaną aktywność, której nie jesteś autorem. Może to być nowy post, transakcja finansowa lub nawet nieoczekiwana zmiana zdjęcia profilowego.
Powinieneś podjąć działanie, gdy tylko zauważysz coś, czego nie pamiętasz.
Jak chronić się przed pharmingiem
Istnieje kilka metod ochrony przed atakami pharmingowymi, w zależności od tego, czy jesteś narażony na atak na poziomie użytkownika, czy serwera. Ponieważ ten artykuł nie koncentruje się na implementacji zabezpieczeń na poziomie serwera, skupimy się na tym, co możesz zrobić jako użytkownik.
#1. Zainstaluj wysokiej jakości program antywirusowy
Solidny program antywirusowy to połowa sukcesu. Pomaga on chronić przed niebezpiecznymi linkami, złośliwymi plikami do pobrania i fałszywymi stronami. Chociaż dostępne są darmowe programy antywirusowe, te płatne zazwyczaj oferują lepszą ochronę.
#2. Ustaw silne hasło routera
Routery WiFi mogą pełnić funkcję małych serwerów DNS. Z tego względu ich bezpieczeństwo ma kluczowe znaczenie i warto zacząć od zmiany domyślnego hasła routera.
#3. Wybierz sprawdzonego dostawcę usług internetowych
Dostawcy usług internetowych (ISP) często pełnią rolę serwerów DNS. Z doświadczenia wynika, że DNS dostarczane przez ISP oferują nieznacznie wyższą prędkość w porównaniu z bezpłatnymi publicznymi usługami DNS, takimi jak Google Public DNS. Kluczowe jest jednak, aby wybrać dostawcę, który oferuje zarówno szybkość, jak i bezpieczeństwo.
#4. Użyj niestandardowego serwera DNS
Zmiana serwera DNS nie jest trudna ani rzadka. Możesz korzystać z bezpłatnych publicznych DNS od OpenDNS, Cloudflare czy Google. Należy jednak pamiętać, że dostawca serwera DNS będzie widział twoją aktywność w sieci, więc wybieraj go rozważnie.
#5. Użyj VPN z prywatnym DNS
VPN zapewnia wiele warstw bezpieczeństwa, w tym prywatny DNS. Chroni to nie tylko przed cyberprzestępcami, ale też przed dostawcą usług internetowych czy inwigilacją rządową. Upewnij się, że twój VPN ma zaszyfrowane serwery DNS, aby uzyskać najlepszą ochronę.
#6. Dbaj o higienę cybernetyczną
Klikanie w podejrzane linki lub reklamy, które wydają się zbyt piękne, by były prawdziwe, to główna droga do oszustwa. Chociaż dobry program antywirusowy cię ostrzeże, żadne narzędzie nie gwarantuje 100% bezpieczeństwa. W ostatecznym rozrachunku odpowiedzialność za twoje bezpieczeństwo spoczywa na tobie.
Możesz na przykład wkleić podejrzany link do wyszukiwarki, aby sprawdzić jego źródło. Dodatkowo, zawsze upewniaj się, czy strona internetowa, której ufasz, ma HTTPS (symbol kłódki w pasku adresu).
Okresowe czyszczenie DNS również może pomóc.
Miej się na baczności!
Ataki pharmingowe są znane od dawna, ale ich mechanizm działania jest na tyle wyrafinowany, że trudno je zwalczyć w 100%. Główną przyczyną tego stanu rzeczy są wrodzone luki w zabezpieczeniach DNS, których nie da się całkowicie wyeliminować.
Zatem, nie zawsze masz pełną kontrolę nad sytuacją. Niemniej jednak, zastosowanie wymienionych środków ostrożności, zwłaszcza korzystanie z VPN z zaszyfrowanym DNS, takim jak ProtonVPN, może znacznie zwiększyć twoje bezpieczeństwo.
Chociaż pharming opiera się na DNS, czy wiesz, że oszustwa mogą również bazować na Bluetooth? Zachęcamy do zapoznania się z tematem bluesnarfing, aby dowiedzieć się, jak działają tego rodzaju ataki i jak się przed nimi chronić.