Et pharming-angrep er en sofistikert mekanisme som svindler brukere (for det meste) uten å trenge noen «tullete feil» fra deres side. La oss dekode dette og se hvordan vi sikrer.
Tenk deg at du logger inn på nettbanken din ved å bruke en legitim nettadresse og at sparepengene forsvant kort tid etter.
Det er en av måtene pharming-angrep ser ut.
Begrepet pharming er laget av phishing (angrep) og farming 🚜.
Enkelt sagt; phishing krever at du klikker på en mistenkelig lenke (den dumme feilen), som laster ned skadelig programvare som resulterer i økonomiske tap. Dessuten kan det være en e-post fra din «administrerende direktør» som ber om å gjøre en «hastende» bankoverføring til en «leverandør», en spesialkategorisvindel kjent som hvalfangst-phishing-svindel.
I et nøtteskall, phishing trenger din aktive deltakelse, mens pharming-angrep (i de fleste tilfeller) ikke gjør det.
Innholdsfortegnelse
Hva er Pharming Attack?
Vi er vant til domenenavn (som tipsbilk.net.com), mens maskiner forstår IP-adresser (som 24.237.29.182).
Når vi skriver inn en nettadresse (domenenavn), går den (spørringen) til DNS-serverne (telefonboken til internett), som matcher den med den tilhørende IP-adressen.
Følgelig har domenenavn lite å gjøre med de faktiske nettsidene.
For eksempel, hvis DNS-serveren har matchet et domenenavn med en ikke-autentisk IP-adresse som er vert for et forfalsket nettsted – det er alt du vil se, uavhengig av den «riktige» URLen du skrev inn.
Deretter overlater en bruker enkelt detaljene – kortnumre, ID-numre, påloggingsinformasjon osv. – til parodien, og tror det er legitimt.
Dette gjør pharming-angrep farlige.
De er ekstremt godt laget, fungerer snikende, og sluttbrukeren vet ingenting før de får «debitert beløp»-meldinger fra bankene sine. Eller de får sin personlig identifiserbare informasjon solgt på det mørke nettet.
La oss sjekke deres modus operandi i detalj.
Hvordan fungerer Pharming Attack?
Disse er orkestrert på to nivåer, med brukeren eller en hel DNS-server.
#1. Pharming på brukernivå
Dette ligner på phishing, og du klikker på en mistenkelig lenke som laster ned skadelig programvare. Deretter endres vertens fil (også kalt lokale DNS-poster) og en bruker besøker en ondsinnet lookalike av et originalt nettsted.
En vertsfil er en standard tekstfil som lagrer lokalt administrerte DNS-poster og baner vei for raskere tilkoblinger med mindre ventetid.
Vanligvis bruker webmastere vertsfilen til å teste nettsteder før de endrer de faktiske DNS-postene hos domeneregistratoren.
Imidlertid kan skadelig programvare skrive falske oppføringer til datamaskinens lokale vertsfil. På denne måten løser selv den riktige nettadressen seg til et uredelig nettsted.
#2. Pharming på servernivå
Det som skjedde med en enkelt bruker kan også gjøres med en hel server.
Dette kalles DNS-forgiftning eller DNS-spoofing, eller DNS-kapring. Siden dette skjer på servernivå, kan ofrene være hundrevis eller tusenvis, om ikke flere.
Mål-DNS-serverne er generelt vanskeligere å kontrollere og er en risikabel manøver. Men hvis det gjøres, er belønningen eksponentielt høyere for nettkriminelle.
Pharming på servernivå gjøres ved fysisk å kapre DNS-servere eller MITM-angrep (man-in-the-middle).
Sistnevnte er en programvaremanipulasjon mellom en bruker og DNS-serveren eller mellom DNS-servere og autoritative DNS-navneservere.
I tillegg kan en hacker endre DNS-innstillingene til WiFi-ruteren din, som er kjent som lokal DNS-posisjonering.
Dokumenterte Pharming-angrep
Et pharming-angrep på brukernivå forblir ofte skjult og rapporteres knapt. Selv om det er registrert, kommer dette neppe ut i nyhetskanalene.
Dessuten gjør det sofistikerte angrepene på servernivå dem også vanskelige å legge merke til med mindre cyberkriminelle utsletter en betydelig sum penger, noe som påvirker mange mennesker.
La oss sjekke noen for å se hvordan det fungerte i det virkelige liv.
#1. Curve Finance
Curve Finance er en utvekslingsplattform for kryptovaluta som ble utsatt for et DNS-forgiftningsangrep 9. august 2022.
Vi har en kort rapport fra @iwantmyname om hva som har skjedd. Kort fortalt: DNS-bufferforgiftning, ikke navneserverkompromittering.https://t.co/PI1zR96M1Z
Ingen på nettet er 100 % trygge mot slike angrep. Det som har skjedd tilsier STERKT å begynne å flytte til ENS i stedet for DNS
— Curve Finance (@CurveFinance) 10. august 2022
Bak kulissene var det iwantmyname, Curves DNS-leverandør, som ble kompromittert, og sendte brukerne til en parodi og forårsaket tap på over $550k.
#2. MyEtherWallet
24. april 2018 var en svart dag for noen av MyEtherWallet-brukerne. Dette er en gratis og åpen kildekode Ethereum (en kryptovaluta) lommebok med robuste sikkerhetsprotokoller.
Til tross for alt det gode, etterlot opplevelsen en bitter smak i munnen til brukerne med et nettotyveri på 17 millioner dollar.
Teknisk sett ble BGP Hijacking trukket av på Amazon Route 53 DNS-tjeneste – brukt av MyEtherWallet – som omdirigerte noen av brukerne til en phishing-replika. De skrev inn påloggingsopplysningene sine, noe som ga de kriminelle tilgang til kryptovaluta-lommebøkene deres, noe som forårsaket den brå økonomiske dreneringen.
En åpenbar feil hos brukeren var imidlertid å ignorere nettleserens SSL-advarsel.
MyEtherWallet offisielle uttalelse angående svindelen.
#3. Store banker
Tilbake i 2007 ble brukere av nesten 50 banker utsatt for pharming-angrep som resulterte i et ukjent antall tap.
Dette klassiske DNS-kompromisset sendte brukere til ondsinnede nettsteder selv når de skrev inn de offisielle nettadressene.
Det hele startet imidlertid med at ofrene besøkte et ondsinnet nettsted som lastet ned en trojaner på grunn av en Windows-sårbarhet (nå lappet).
Deretter ba viruset brukerne om å slå av antivirus, brannmurer osv.
Etterpå ble brukerne sendt til parodinettsteder til ledende finansinstitusjoner over hele USA, Europa og Asia-Stillehavet. Det er flere slike arrangementer, men de fungerer på samme måte.
Tegn på Pharming
Pharming gir i hovedsak full kontroll over dine infiserte nettkontoer til trusselaktøren. Det kan være din Facebook-profil, nettbankkonto osv.
Hvis du er et offer, vil du se urapportert aktivitet. Det kan være et innlegg, en transaksjon eller så lite som en morsom endring i profilbildet ditt.
Til syvende og sist bør du begynne med midlet hvis det er noe du ikke husker å ha gjort.
Beskyttelse mot Pharming
Basert på angrepstypen (bruker- eller servernivå) du er utsatt for, er det noen måter å beskytte.
Siden implementeringen på servernivå ikke er omfanget av denne artikkelen, vil vi fokusere på hva du kan gjøre som sluttbruker.
#1. Bruk et Premium Antivirus
Et godt antivirus er halve arbeidet gjort. Dette hjelper deg å holde deg beskyttet mot de fleste useriøse lenker, ondsinnede nedlastinger og svindelnettsteder. Selv om det finnes et gratis antivirus for PC-en din, yter de betalte generelt bedre.
#2. Angi et sterkt ruterpassord
WiFi-rutere kan også fungere som en mini DNS-server. Følgelig er sikkerheten deres avgjørende, og det begynner med å fjerne passordene fra selskapet.
#3. Velg en anerkjent Internett-leverandør
For de fleste av oss fungerer internettleverandører også som DNS-servere. Og basert på min erfaring gir ISPs DNS en liten hastighetsøkning sammenlignet med gratis offentlige DNS-tjenester som Google Public DNS. Det er imidlertid viktig å velge den beste tilgjengelige Internett-leverandøren for ikke bare hastighetene, men den generelle sikkerheten.
#4. Bruk en tilpasset DNS-server
Å bytte til en annen DNS-server er ikke vanskelig eller uvanlig. Du kan bruke gratis offentlig DNS fra OpenDNS, Cloudflare, Google osv. Det viktige er imidlertid at DNS-leverandøren kan se nettaktiviteten din. Så du bør være årvåken til hvem du gir tilgang til nettaktiviteten din.
#5. Bruk VPN med privat DNS
Bruk av VPN legger mange sikkerhetslag, inkludert deres egendefinerte DNS. Dette beskytter deg ikke bare mot nettkriminelle, men også mot ISP eller myndighetsovervåking. Likevel bør du bekrefte at VPN-en skal ha krypterte DNS-servere for best mulig beskyttelse.
#6. Oppretthold god cyberhygiene
Å klikke på useriøse lenker eller reklamer som er for gode til å være sanne er en av de viktigste måtene å bli svindlet på. Selv om godt antivirus gjør jobben sin med å varsle deg, garanterer ingen cybersikkerhetsverktøy en 100 % suksessrate. Til slutt ligger ansvaret på dine skuldre for å beskytte deg selv.
For eksempel bør man lime inn en mistenkelig kobling i søkemotorer for å se kilden. I tillegg bør vi sikre HTTPS (indikert med en hengelås i URL-linjen) før vi stoler på et nettsted.
I tillegg vil periodisk spyling av DNS-en din helt sikkert hjelpe.
Pass på!
Pharming-angrep er eldgamle, men hvordan det fungerer er for subtilt til å fastslå. Grunnårsaken til slike angrep er de innfødte DNS-usikkerhetene som ikke er adressert i sin helhet.
Dette er derfor ikke alltid opp til deg. Likevel vil de oppførte beskyttelsene hjelpe, spesielt ved å bruke en VPN med kryptert DNS som ProtonVPN.
Mens pharming er DNS-basert, vet du at svindel også kan være basert på Bluetooth? Hopp videre til denne bluesnarfing 101 for å sjekke hvordan det gjøres og hvordan du kan beskytte deg selv.