Czym jest pharming?
Pharming to rodzaj cyberataku polegającego na przekierowywaniu ruchu internetowego z prawdziwych stron na fałszywe strony w celu kradzieży nazw użytkowników, haseł, danych finansowych i innych informacji osobistych.
Gdy wpisujesz URL w pasku adresu przeglądarki, na przykład www.google.com, zanim zobaczysz znajome logo Google i pole wyszukiwania na ekranie komputera, musi dojść do kilku procesów w tle. Podczas ataku pharmingowego cyberprzestępcy dyskretnie manipulują tymi procesami, kierując Twój ruch na złośliwą stronę zamiast na tę, którą chciałeś odwiedzić. Na stronie docelowej może znaleźć się złośliwe oprogramowanie, które zostanie załadowane na Twój komputer. Częściej jednak jest to fałszywa strona phishingowa. To właśnie ta druga aktywność nadaje nazwę pharming, będącą mieszanką słów „phishing” i „farming”.
Typowa strona phishingowa jest podrobiona lub sfingowana, aby wyglądała jak strona, którą ofiara regularnie odwiedza, często mająca charakter finansowy lub e-commerce. Celem strony phishingowej jest zbieranie lub „uprawianie” nazw użytkowników i haseł, gdy niczego niepodejrzewająca ofiara próbuje się zalogować.
Pharming to zaawansowany rodzaj ataku phishingowego i może dotknąć każdego na dowolnej platformie. Użytkownicy Windowsa i Mac, a także użytkownicy mobilni na Androidzie i iOS powinni być ostrożni wobec potencjalnych ataków pharmingowych. Na szczęście istnieje kilka zdroworozsądkowych kroków, które możesz podjąć, aby chronić się przed pharmingiem, więc czytaj dalej, aby dowiedzieć się wszystkiego, co musisz wiedzieć o pharmingu.
Jak działa pharming?
Aby zrozumieć, jak działa pharming, musimy zacząć od krótkiego przypomnienia na temat nazw domen i adresów IP. Nazwy domen i adresy IP są dla stron internetowych tym, czym Twoje imię i lokalizacja dla tradycyjnej poczty.
Jeśli adresujesz list do „Nancy Thompson”, na przykład, i nie napiszesz nic na kopercie poza jej imieniem, Nancy nie dostanie Twojego listu. Poczcie potrzebne są zarówno jej imię, jak i lokalizacja; np. „Nancy Thompson, 1428 Elm Street, Springwood, Ohio”, aby skutecznie doręczyć Twój list.
Podobnie, adres IP (skrót od adresu protokołu internetowego) pełni funkcję podstawowej lokalizacji dla nazwy domeny, którą chcesz się skontaktować. Kiedy wpisujesz „www.facebook.com” w pasku adresu przeglądarki, Twoje żądanie trafia na serwer DNS. Serwer DNS to komputer o jednym zadaniu: przekształcać nazwy domen na adres IP. Dla najbardziej powszechnego protokołu internetowego, IPv4, ten adres będzie składał się z czterech liczb oddzielonych kropkami: „0.0.0.0”. W przypadku Facebooka, adres IP będzie wyglądał jak „66.220.159.255”, choć rzeczywiste liczby mogą się różnić, ponieważ duże firmy, takie jak Facebook, posiadają duże bloki adresów IP.
Mając adres IP w ręku, serwer DNS przekazuje tę informację z powrotem do Twojego komputera, a Twój komputer przekierowuje Cię na stronę Facebooka. Ten proces rozwiązywania DNS, od momentu naciśnięcia klawisza Enter na pasku adresu, do chwili, gdy zaczyna się ładować strona, zazwyczaj trwa milisekundy.
Przechodząc z powrotem do tematu pharmingu, cyberprzestępcy mogą manipulować tym systemem adresów online, aby skierować Twoje żądanie dla „www.facebook.com” na inny adres kontrolowany przez przestępcę. Może się to zdarzyć na kilka sposobów.
Jakie są rodzaje pharmingu?
Wyróżniamy dwa rodzaje pharmingu: malware pharming i trucie DNS.
Pharming malware, znany również jako zmieniacze/porwania DNS, infekuje komputer ofiary i w sposób ukryty zmienia plik hosts ofiary. Pomaga myśleć o pliku hosts na Twoim komputerze jak o Rolodexie stron internetowych. Jak wspomniano, proces wysyłania nazwy domeny na serwer DNS i tłumaczenia tej nazwy domeny na adres IP zwykle dzieje się tak szybko, że większość z nas nawet tego nie zauważa. „Zwykle” jest tu kluczowym słowem. Aby uniknąć jakichkolwiek przestojów przy ładowaniu strony, komputer przechowuje tłumaczenia nazwy domeny na adres IP, skracając czas ładowania każdej strony. W przypadku ataku pharming opartego na malware, złośliwe oprogramowanie wkrada się na Twój komputer (często za pośrednictwem Trojan), a następnie zaczyna modyfikować plik hosts, aby nazwa domeny danego serwisu wskazywała na złośliwą stronę. Niektóre malware pharming, np. Trojan Extenbro, blokują także dostęp do stron z cyberbezpieczeństwem, uniemożliwiając ofiarom pobranie oprogramowania do usunięcia zmieniacza DNS.
Trucizna DNS, znana również jako fałszowanie DNS, wykorzystuje luki w oprogramowaniu kontrolującym serwery DNS, aby przejąć je i przekierowywać ruch sieciowy. Zazwyczaj trucizna DNS atakuje firmy, które prowadzą i utrzymują serwery DNS, tłumaczące przyjazne dla ludzi nazwy domen na adresy IP gotowe dla komputerów. W związku z tym trucizna DNS ma znacznie szerszą bazę potencjalnych ofiar, liczącą dziesiątki tysięcy. Powiedzmy, że Twój domowy router internetowy ma pamięć podręczną DNS, która przechowuje wcześniejsze wyszukiwania DNS. Każde urządzenie połączone z Twoją domową siecią może odwoływać się do tej pamięci przy próbie połączenia się z witryną, którą Ty lub ktoś inny w Twojej sieci odwiedził wcześniej. Twój router działa, po części, jak mały serwer DNS i on też może zostać zainfekowany.
Jak się chronić przed pharmingiem
Stwórz silne hasło do swojego Internetu domowego. I zdecydowanie nie używaj domyślnego hasła napisanego na spodzie routera. W ten sposób możesz chronić swoją sieć domową przed lokalnym truciem DNS. Jeśli masz problem z zapamiętaniem hasła, rozważ użycie frazy hasłowej. Fraza hasłowa to ciąg bezsensownych słów, które łatwo zapamiętać człowiekowi, ale prawie niemożliwe do złamania siłowego przez aplikację do łamania haseł. W przeciwieństwie do konwencjonalnego długiego i silnego hasła, nie ma tu mieszania to liter dużych/małych ani specjalnych symboli. Na przykład (proszę nie używać tego jako swojej frazy hasłowej) „zamyślonyfioletowykotnaszpilkach” byłby doskonałą frazą hasłową. Wszystko, co musisz zrobić, to wyobrazić sobie fioletowego kota noszącego szpilki z zamyśloną miną.
Użyj menedżera haseł. Zwłaszcza potrzebujesz menedżera haseł, który oferuje automatyczne wypełnianie pól nazwy użytkownika i hasła, gdy wykryje stronę logowania, którą już odwiedziłeś wcześniej. Strona phishingowa może uchodzić za prawdziwą przy pobieżnej inspekcji, ale menedżer haseł nie da się tak łatwo oszukać. Jeśli trafisz na złą stronę, menedżer haseł nie rozpozna jej i nie zaoferuje automatycznego uzupełnienia danych logowania.
Użyj dobrego programu antymalware. Phishing nie jest rodzajem wirusa komputerowego i tradycyjne formy antywirusa nie mogą przed nim chronić. Zaawansowane programy antymalware, z drugiej strony, mogą aktywnie blokować złośliwe oprogramowanie próbujące modyfikować plik hosts na Twoim komputerze. Malwarebytes, na przykład, ma programy dla Windows, Mac, Chromebook, Android i iOS, które blokują adware, spyware i Trojany przed manipulacją przy pliku hosts. Malwarebytes również blokuje podejrzane strony internetowe, na które możesz trafić z powodu zatrutego DNS.
Rozważ skorzystanie z innej usługi DNS. Choć konsumenci mogą użyć programu do bezpieczeństwa cybernetycznego, aby blokować pharming oparty na złośliwym oprogramowaniu i złośliwe strony z zatrutych DNS, nie mogą naprawdę nic zrobić, aby zapobiec ich zatruciu w pierwszej kolejności. To do firm, które oferują usługi DNS, należy zapewnienie bezpieczeństwa ich serwerów. Dla większości ludzi domyślna usługa DNS to ta oferowana przez Twojego dostawcę usług internetowych (ISP), co prawdopodobnie jest w porządku, ale są też inne popularne alternatywy, mianowicie Google DNS, OpenDNS i Cloudflare. Wszystkie trzy firmy twierdzą, że ich usługi DNS oferują lepsze bezpieczeństwo i prywatność w porównaniu do tradycyjnego DNS. OpenDNS oferuje również specjalne serwery przeznaczone dla rodzin, które chcą blokować treści dla dorosłych.
