Czym jest pharming?
Pharming to rodzaj cyberataku polegający na przekierowaniu ruchu internetowego z legalnej witryny na fałszywą witrynę w celu kradzieży nazw użytkowników, haseł, danych finansowych i innych danych osobowych.
Gdy wpisujesz URL w pasku adresu przeglądarki, na przykład www.google.com, zanim zobaczysz znajome logo Google i pole wyszukiwania na ekranie komputera, musi dojść do kilku procesów w tle. Podczas ataku pharmingowego cyberprzestępcy dyskretnie manipulują tymi procesami, kierując Twój ruch na złośliwą stronę zamiast na tę, którą chciałeś odwiedzić. Na stronie docelowej może znaleźć się złośliwe oprogramowanie, które zostanie załadowane na Twój komputer. Częściej jednak jest to fałszywa strona phishingowa. To właśnie ta druga aktywność nadaje nazwę pharming, będącą mieszanką słów „phishing” i „farming”.
Typowa strona phishingowa jest podrobiona lub sfingowana, aby wyglądała jak strona, którą ofiara regularnie odwiedza, często mająca charakter finansowy lub e-commerce. Celem strony phishingowej jest zbieranie lub „uprawianie” nazw użytkowników i haseł, gdy niczego niepodejrzewająca ofiara próbuje się zalogować.
Pharming to wyrafinowany rodzaj ataku phishingowego, który może dotknąć każdego na dowolnej platformie. Windows i Mac a także użytkowników mobilnych na Android i iOS powinni uważać na potencjalne ataki typu pharming. Na szczęście istnieje kilka zdroworozsądkowych kroków, które można podjąć, aby chronić się przed pharmingiem, więc czytaj dalej, aby dowiedzieć się wszystkiego, co musisz wiedzieć o pharmingu.
Jak działa pharming?
Aby zrozumieć, jak działa pharming, musimy zacząć od krótkiego przypomnienia na temat nazw domen i adresów IP. Nazwy domen i adresy IP są dla stron internetowych tym, czym Twoje imię i lokalizacja dla tradycyjnej poczty.
Jeśli adresujesz list do „Nancy Thompson”, na przykład, i nie napiszesz nic na kopercie poza jej imieniem, Nancy nie dostanie Twojego listu. Poczcie potrzebne są zarówno jej imię, jak i lokalizacja; np. „Nancy Thompson, 1428 Elm Street, Springwood, Ohio”, aby skutecznie doręczyć Twój list.
Podobnie adres IP (skrót od adresu protokołu internetowego) działa jako podstawowa lokalizacja nazwy domeny, z którą chcesz się skontaktować. Po wpisaniu "www.facebook.com" w pasku adresu przeglądarki, żądanie jest wysyłane do serwera DNS. Serwer DNS to komputer, który ma jedno zadanie: tłumaczyć nazwy domen na adresy IP. W przypadku najpopularniejszego typu protokołu internetowego, IPv4, adres ten będzie składał się z czterech liczb oddzielonych kropkami: "0.0.0.0". W przypadku Facebook adres IP będzie wyglądał mniej więcej jak "66.220.159.255", choć rzeczywiste liczby mogą się różnić, ponieważ duże firmy, takie jak Facebook , posiadają duże bloki adresów IP.
Mając adres IP w ręku, serwer DNS przekazuje tę informację z powrotem do Twojego komputera, a Twój komputer przekierowuje Cię na stronę Facebooka. Ten proces rozwiązywania DNS, od momentu naciśnięcia klawisza Enter na pasku adresu, do chwili, gdy zaczyna się ładować strona, zazwyczaj trwa milisekundy.
Przechodząc z powrotem do tematu pharmingu, cyberprzestępcy mogą manipulować tym systemem adresów online, aby skierować Twoje żądanie dla „www.facebook.com” na inny adres kontrolowany przez przestępcę. Może się to zdarzyć na kilka sposobów.
Jakie są rodzaje pharmingu?
Istnieją dwa rodzaje pharmingu: pharming malware i DNS poisoning.
Złośliwe oprogramowanie typu pharming ( DNS changers/hijackers ) infekuje komputer ofiary i potajemnie wprowadza zmiany w pliku hosts ofiary. Pomaga to myśleć o pliku hosts komputera jak o Rolodexie stron internetowych. Jak wspomniano, proces wysyłania nazwy domeny do serwera DNS i tłumaczenia tej nazwy domeny na adres IP zwykle przebiega tak szybko, że większość z nas nawet tego nie zauważa. "Zazwyczaj" jest tutaj słowem kluczowym. Aby uniknąć zawieszania się podczas ładowania strony, komputer przechowuje tłumaczenia nazwy domeny na adres IP, skracając czas ładowania każdej witryny. W przypadku ataku typu pharming opartego na złośliwym oprogramowaniu, złośliwe oprogramowanie zakrada się do komputera (często za pośrednictwem trojana), a następnie zaczyna modyfikować plik hosts, tak aby nazwa domeny danej witryny wskazywała na złośliwą witrynę. Niektóre złośliwe oprogramowanie typu pharming, np. trojan Extenbro, blokuje również dostęp do witryn cyberbezpieczeństwa, uniemożliwiając ofiarom pobranie oprogramowania w celu usunięcia złośliwego oprogramowania zmieniającego DNS.
DNS poisoning aka DNS spoofing wykorzystuje exploity w oprogramowaniu kontrolującym serwery DNS w celu przejęcia serwerów i przekierowania ruchu internetowego. Zazwyczaj zatruwanie DNS dotyczy firm, które prowadzą i utrzymują serwery DNS, które tłumaczą przyjazne dla człowieka nazwy domen na gotowe do użycia adresy IP. W związku z tym zatruwanie DNS ma znacznie szerszą bazę potencjalnych ofiar, liczoną w dziesiątkach tysięcy. To powiedziawszy, domowy router internetowy ma pamięć podręczną DNS, która przechowuje poprzednie wyszukiwania DNS. Każde urządzenie podłączone do sieci domowej może odwoływać się do tej pamięci podręcznej, gdy próbuje połączyć się z witryną odwiedzaną wcześniej przez użytkownika lub inną osobę w sieci. Router działa w pewnym sensie jako niewielki serwer DNS i on również może zostać zatruty.
Jak się chronić przed pharmingiem
Utwórz silne hasło do swojego domowego Internetu. I zdecydowanie nie używaj domyślnego hasła zapisanego na spodzie routera. W ten sposób można chronić sieć domową przed lokalnym zatruwaniem DNS. Jeśli masz problemy z zapamiętaniem hasła, rozważ użycie hasła. Hasło to ciąg nonsensownych słów, które są łatwe do zapamiętania przez człowieka, ale prawie niemożliwe do złamania przy użyciu aplikacji do łamania haseł. W przeciwieństwie do konwencjonalnego długiego i silnego hasła, nie ma mieszania wielkich i małych liter ani symboli specjalnych. Na przykład (nie używaj tego jako hasła) "pensivepurplecathighheelshoes" byłoby doskonałym hasłem. Wystarczy wyobrazić sobie fioletowego kota na wysokich obcasach z zamyśloną miną.
Użyj menedżera haseł. W szczególności potrzebujesz menedżera haseł, który oferuje automatyczne wypełnianie pól nazwy użytkownika i hasła, gdy wykryje stronę logowania, którą odwiedziłeś wcześniej. Sfałszowana strona phishingowa może po pobieżnym sprawdzeniu wyglądać jak prawdziwa, ale menedżera haseł nie da się tak łatwo oszukać. Jeśli trafisz na złą stronę, menedżer haseł jej nie rozpozna i nie zaoferuje automatycznego uzupełnienia danych logowania.
Użyj dobrego programu antymalware. Phishing nie jest rodzajem wirusa komputerowego i tradycyjne formy antywirusa nie mogą przed nim chronić. Zaawansowane programy antymalware, z drugiej strony, mogą aktywnie blokować złośliwe oprogramowanie próbujące modyfikować plik hosts na Twoim komputerze. Malwarebytes, na przykład, ma programy dla Windows, Mac, Chromebook, Android i iOS, które blokują adware, spyware i Trojany przed manipulacją przy pliku hosts. Malwarebytes również blokuje podejrzane strony internetowe, na które możesz trafić z powodu zatrutego DNS.
Rozważ skorzystanie z innej usługi DNS. Choć konsumenci mogą użyć programu do bezpieczeństwa cybernetycznego, aby blokować pharming oparty na złośliwym oprogramowaniu i złośliwe strony z zatrutych DNS, nie mogą naprawdę nic zrobić, aby zapobiec ich zatruciu w pierwszej kolejności. To do firm, które oferują usługi DNS, należy zapewnienie bezpieczeństwa ich serwerów. Dla większości ludzi domyślna usługa DNS to ta oferowana przez Twojego dostawcę usług internetowych (ISP), co prawdopodobnie jest w porządku, ale są też inne popularne alternatywy, mianowicie Google DNS, OpenDNS i Cloudflare. Wszystkie trzy firmy twierdzą, że ich usługi DNS oferują lepsze bezpieczeństwo i prywatność w porównaniu do tradycyjnego DNS. OpenDNS oferuje również specjalne serwery przeznaczone dla rodzin, które chcą blokować treści dla dorosłych.
