Pharming - na czym polega? jak wykryć? i jak się przednim chronić?

            Ostatnio pisałem o smshingu, qrishingu oraz vishingu (o tutaj: https://projektbezpieczenstwo.blogspot.com/2019/07/smsing-vishing-i-qrishing-oszustwa-z.html), a także o wynikających z nich zagrożeniach i działaniach prewencyjnych w celu niedopuszczenia do tego aby paść ofiarą ludzi, którzy tylko czekają na Nasz błąd, na skutek czego stracimy pieniądze (bo głównie o nie chodzi), a także wszelkie poufne dane lub informacje dla Nas ważne. Jak wspominałem są to „odnóża”  Phishingu, o którym pisałem już wcześniej (tutaj: https://projektbezpieczenstwo.blogspot.com/2019/07/na-poczatku-zaczne-od-wyjasnienia.html). Kolejnym „odnóżem”, które zaprezentuje jest Parming.

Pharming to rodzaj oszustwa przypominający phishing, ale w tym przypadku odwiedzający prawdziwą stronę są przekierowani na podszywające się pod nią strony, które instalują na ich urządzeniach złośliwe oprogramowanie lub zbierają dane osobowe, np. hasła lub dane kont bankowych. Pharming jest szczególnie groźny, ponieważ w przypadku złamania zabezpieczeń serwera DNS nawet dobrze zabezpieczeni użytkownicy z komputerami wolnymi od wirusów i złośliwego oprogramowania mogą paść ofiarami tego procederu.

Pharming najlepiej przedstawić na przykładzie. „Jeśli zdarzyło Ci się zalogować na stronie banku i stwierdzić, że Twoje dane logowania zostały wykradzione, a konto – oczyszczone, prawdopodobnie padłeś ofiarą pharmingu”.

Metoda ta polega na tworzeniu fałszywych stron internetowych podszywających się pod inne, zaufane witryny, aby w ten sposób gromadzić poufne dane.

Pharming przybiera dwie formy.

Pierwsza polega na zainstalowaniu przez hakerów w jakikolwiek możliwy sposób (np. przez fałszywy e-mail z załącznikiem) wirusów lub innego złośliwego oprogramowania na Twoim komputerze. Wirus lub program następnie przekierowuje Cię ze strony, którą chcesz odwiedzić, np. witryny banku lub sklepu, na fałszywą stronę, która wygląda identycznie jak ta, którą planujesz otworzyć.

Druga forma pharmingu jest jednak znacznie bardziej niebezpieczna, ponieważ cyberprzestępcy infekują cały serwer DNS, a zatem każda osoba, która próbuje wejść na prawdziwą stronę, trafia na jej podrobioną wersję.

Tradycyjnie najlepiej będzie wyjaśnić na czym polega ten fraud korzystając z przykładu:

Aby przekierować internautę np. na sfałszowaną stronę logowania do konta bankowego, cyberprzestępcy nie muszą wysyłać mu żadnych wiadomości. Wystarczy, że zmienią adresy DNS na komputerze lub serwerze ofiary. Podstawowym zadaniem systemu nazw domenowych jest przekształcanie adresów stron znanych internautom na adresy zrozumiałe dla urządzeń tworzących sieć komputerową. Załóżmy, że użytkownik chce odwiedzić witrynę banku, z którego usług korzysta. W pasku adresu przeglądarki wpisze www.mojbank.pl. DNS zamieni tę nazwę na odpowiadający jej adres IP mający postać np. 147.89.37.122.

Aby przyspieszyć wymianę danych, wykorzystuje się pamięć podręczną (ang. cache). Są w niej zapisywane odpowiedzi DNS dla odwiedzonych wcześniej witryn. Jeżeli cyberprzestępca zmodyfikuje te zapisy (zamiast 147.89.37.122 wprowadzi adres IP podrobionej strony, np. 205.35.67.153), to po wpisaniu przez użytkownika adresu www.mojbank.pl system nazw domenowych przekieruje go na spreparowaną witrynę. Cyberprzestępca dołoży oczywiście starań, żeby na pierwszy rzut oka nie różniła się ona od oryginalnej strony banku. Użytkownik nie zorientuje się wówczas, że został oszukany. Jeżeli zaloguje się na takiej stronie, wprowadzone przez niego dane (przede wszystkim identyfikator i hasło) trafią w ręce oszusta.

Podobna sytuacja może pojawić się w przypadku wykradzenia danych do logowania na Facebook, a później wykorzystania danych do wysyłania wiadomości do znajomych oraz dostęp do danych i tworzenia fałszywych profili (o tym niedługo)

Inną metodą, nazywaną driveby pharming, jest zagnieżdżanie w kodzie tworzonych przez cyberprzestępców stron skryptów pisanych w języku JavaScript. Odnośniki do tych witryn są publikowane w serwisach społecznościowych, takich jak Facebook czy Twitter. Oszuści starają się też wypozycjonować je w wynikach wyszukiwania, używając do tego celu aktualnych, wzbudzających zainteresowanie tematów. Jeżeli internauta nabierze się i odwiedzi którąś z nich, zaimplementowany na stronie skrypt zmieni ustawienia DNS na jego routerze lub w punkcie dostępu bezprzewodowego. Może do tego dojść, jeśli router nie będzie chroniony hasłem albo hasło okaże się łatwe do odgadnięcia

Istnieje kilka sposobów zatruwania pamięci DNS. Najbardziej rozpowszechniony polega na zarażeniu systemu ofiary odpowiednim koniem trojańskim. Kreatywność twórców szkodliwego oprogramowania zdaje się nie mieć granic – specjaliści z firmy McAfee obliczyli, że codziennie pojawia się około 55 tys. nowych złośliwych aplikacji (zob. „McAfee: Ilość spamu ustabilizowała się, szkodniki nadal się mnożą” – http://di.com.pl/news/33151.html). Nie brakuje wśród nich szkodników stworzonych w celu modyfikowania ustawień DNS na zainfekowanym komputerze użytkownika. W wyniku ich działania zmianie ulega mapowanie nazw domen do konkretnych adresów IP. Użytkownik, jak w zaprezentowanym wyżej przykładzie, po wpisaniu adresu swojego banku może znaleźć się na stronie, która będzie wierną kopią oryginalnej witryny. Zalogowanie się na niej będzie skutkować kradzieżą realnych środków zgromadzonych na jego koncie.

Stosunkowo najtrudniej jest zatruć pamięć podręczną na serwerze dostawcy internetu. Podobnie jak komputery użytkowników indywidualnych zapisuje on w niej żądania DNS. Jeżeli cyberprzestępcy uda się je sfałszować, to przez pewien czas (nieprzekraczający zwykle kilku godzin) użytkownicy, którzy wpiszą w przeglądarce adres obranego za cel banku, będą przekierowywani na podrobioną stronę. Umożliwi to pozyskanie dużej ilości poufnych danych za jednym zamachem. Na tego typu ataki narażeni są usługodawcy, którzy niesystematycznie aktualizują oprogramowanie zainstalowane na używanych urządzeniach. Przykładowo w 2008 roku odkryto poważną lukę w protokole DNS. Według ekspertów, sfałszowanie jednego cache’a z jej wykorzystaniem zajmuje tylko 10 sekund.

Sposoby zapobiegania pharmingowi:

Należy sprawdzić adres strony URL (to ten pasek do wpisywania stron www) pod kątem poprawności adresu na którym się znajdujemy, po drugie coraz więcej stron posiada skrót „https”, gdzie litera „s” oznacza zabezpieczenie połączenia i bezpieczeństwo strony. Oczywiści hakerzy o tym wiedzą i mają sposoby, żeby adres wyglądał jak najbardziej wiarygodnie.

Korzystaj z usług wiarygodnego dostawcy Internetu i zachowaj ostrożność wobec odwiedzanych storn.

Korzystaj z programu zabezpieczającego komputer, który będzie monitorował, czy strony są godne zaufania.

Korzystaj z zaufanych sieci Wi-Fi

Nie klikaj w linki, których nie znasz

W przypadku pharmingu najskuteczniejszą obroną jest zapobieganie! Dlatego przede wszystkim trzeba zadbać o to, aby komputer nie został zainfekowany.

Jednakże można dodatkowo:

Nie zaniedbywać regularnego aktualizowania programu antywirusowego i zapory ogniowej (firewalla), które utrudnią koniom trojańskim przeniknięcie do komputera.

Kolejnym krokiem jest włączenie automatycznych aktualizacji systemu Windows, niezałatane dziury są bowiem często wykorzystywaną drogą infekcji. Nie należy również zapominać o uaktualnianiu przeglądarki i zainstalowanych w niej wtyczek (w szczególności Flasha i Javy – ich przestarzałe wersje są szczególnie podatne na ataki).

Nie mniej ważne jest upewnienie się, czy nasz router jest chroniony unikalnym, silnym hasłem. Większość routerów jest dostarczana z domyślnym hasłem administratora łatwym do odgadnięcia dla cyberprzestępcy.

Do ochrony można również wykorzystać Yubikey to „klucz” do skutecznej ochrony konta (opiszę go szerzej niebawem). Pomaga on zabezpieczyć hasła na przykład do bankowości.

(zob. „Jak tworzyć silne hasła” – http://di.com.pl/news/28165.html)

(zob. „Dwa exploity na lukę w DNS gotowe” – http://di.com.pl/news/22508.html).

(zob. „Bezpieczniejsza e-bankowość z Linuksem na LiveCD” – http://di.com.pl/ news/29119.html).

(zob. „Uwaga na nowy rodzaj ataku: driveby pharming” – http://di.com.pl/news/15883.html).