Et pharming-angrep representerer en avansert metode for bedrageri som i hovedsak rammer brukere uten at de selv begår store feil. La oss se nærmere på denne typen angrep og hvordan man kan beskytte seg.
Tenk deg at du logger deg inn på nettbanken din ved hjelp av den korrekte nettadressen, og like etterpå oppdager at sparepengene dine er borte.
Dette er et typisk eksempel på et pharming-angrep i praksis.
Begrepet pharming er en sammensmelting av ordene phishing (angrep) og farming 🚜.
Enkelt forklart; phishing krever at du trykker på en tvilsom lenke (som er den «dumme» feilen), som installerer skadelig programvare og medfører økonomiske tap. Det kan også være en e-post fra din angivelige «sjef» som ber deg om en «haster» bankoverføring til en «leverandør». Dette er en spesialform for svindel som kalles hvalfangst-phishing.
Kort sagt, phishing avhenger av at du aktivt deltar, mens pharming-angrep (i de fleste situasjoner) ikke gjør det.
Hva er et Pharming-angrep?
Vi er vant til å bruke domenenavn (som f.eks. eksempel.no), mens datamaskiner forstår IP-adresser (som f.eks. 192.168.1.1).
Når vi skriver en nettadresse (domenenavn), sendes denne forespørselen til DNS-serverne (internettets «telefonbok»), som knytter den til den tilhørende IP-adressen.
Domenenavn har derfor lite med selve nettsiden å gjøre.
Hvis en DNS-server for eksempel har knyttet et domenenavn til en falsk IP-adresse som huser en forfalsket nettside, vil det være dette du ser uansett den korrekte URL-en du skrev inn.
Deretter gir brukeren enkelt ut personlig informasjon – kortnummer, ID-numre, påloggingsdetaljer, osv. – til den falske nettsiden, i troen på at den er legitim.
Dette gjør pharming-angrep svært farlige.
De er ofte svært avanserte, utføres i skjul, og brukeren merker ingenting før de får varsler fra banken om uautoriserte trekk eller ser at deres personlige informasjon dukker opp på det mørke nettet.
La oss undersøke hvordan disse angrepene fungerer mer detaljert.
Hvordan fungerer et Pharming-angrep?
Disse angrepene organiseres på to nivåer: enten via brukerens maskin eller ved å manipulere en hel DNS-server.
#1. Pharming på brukernivå
Dette ligner på phishing. Du trykker på en mistenkelig lenke som laster ned skadelig programvare. Programvaren endrer deretter vertens fil (også kalt lokale DNS-poster) slik at du besøker en falsk utgave av en legitim nettside.
En vertsfil er en tekstfil som lagrer lokalt administrerte DNS-poster. Den gir raskere tilkoblinger med mindre ventetid.
Vanligvis bruker webansvarlige vertfilen til å teste nettsider før de endrer de faktiske DNS-postene hos domeneregistratoren.
Skadelig programvare kan skrive falske oppføringer i datamaskinens lokale vertsfil. Selv med den korrekte nettadressen vil du dermed bli ledet til en falsk nettside.
#2. Pharming på servernivå
Det som skjedde med en enkelt bruker, kan også skje med en hel server.
Dette kalles DNS-forgiftning eller DNS-spoofing, eller DNS-kapring. Siden dette skjer på servernivå, kan ofrene være hundrevis, tusenvis, eller enda flere.
Mål-DNS-serverne er generelt vanskeligere å kontrollere, og det er en risikabel operasjon. Men lykkes den, er gevinsten eksponensielt høyere for nettkriminelle.
Pharming på servernivå gjennomføres ved fysisk å ta kontroll over DNS-servere eller ved hjelp av MITM-angrep (man-in-the-middle).
Sistnevnte er en manipulasjon av programvare som foregår mellom brukeren og DNS-serveren, eller mellom DNS-servere og autoritative DNS-navneservere.
En hacker kan også endre DNS-innstillingene til WiFi-ruteren din. Dette er kjent som lokal DNS-posisjonering.
Dokumenterte Pharming-angrep
Pharming-angrep på brukernivå går ofte under radaren og blir sjelden rapportert. Selv om de registreres, når det sjelden nyhetskanaler.
De sofistikerte angrepene på servernivå er også vanskelige å oppdage, med mindre de nettkriminelle stjeler betydelige summer som påvirker mange mennesker.
La oss se på noen eksempler for å forstå hvordan de fungerer i praksis.
#1. Curve Finance
Curve Finance, en plattform for utveksling av kryptovaluta, ble rammet av et DNS-forgiftningsangrep den 9. august 2022.
Vi har en kort rapport fra @iwantmyname om hva som har skjedd. Kort fortalt: DNS-bufferforgiftning, ikke navneserverkompromittering. https://t.co/PI1zR96M1Z
Ingen på nettet er 100 % trygge mot slike angrep. Det som har skjedd understreker behovet for å flytte til ENS i stedet for DNS
— Curve Finance (@CurveFinance) 10. august 2022
I kulissene ble iwantmyname, Curves DNS-leverandør, kompromittert. Dette ledet brukerne til en falsk nettside, og forårsaket et tap på over $550 000.
#2. MyEtherWallet
Den 24. april 2018 var en mørk dag for mange av MyEtherWallet-brukerne. Dette er en gratis, åpen kildekode Ethereum (en kryptovaluta) lommebok med sterke sikkerhetsprotokoller.
Til tross for gode sikkerhetstiltak, fikk brukere en bitter opplevelse, med et samlet tap på 17 millioner dollar.
Teknisk sett ble BGP Hijacking brukt på Amazon Route 53 DNS-tjeneste – som ble brukt av MyEtherWallet. Dette førte til at noen brukere ble omdirigert til en phishing-kopi. De tastet inn sine påloggingsdetaljer, og nettkriminelle fikk dermed tilgang til kryptovaluta-lommebøkene, noe som resulterte i et betydelig økonomisk tap.
En klar feil fra brukerens side var imidlertid å ignorere nettleserens SSL-advarsel.
Her er MyEtherWallets offisielle uttalelse angående svindelen.
#3. Store banker
Tilbake i 2007 ble brukere av nesten 50 banker rammet av pharming-angrep som førte til et ukjent antall tap.
Dette klassiske DNS-kompromisset sendte brukere til ondsinnede nettsider, selv om de hadde tastet inn de korrekte nettadressene.
Det hele startet med at ofrene besøkte en skadelig nettside som lastet ned en trojaner på grunn av en sårbarhet i Windows (som nå er fikset).
Deretter ba viruset brukerne om å slå av antivirus, brannmurer, osv.
Etter dette ble brukerne omdirigert til falske nettsider for ledende finansinstitusjoner i USA, Europa og Asia-Stillehavet. Det har vært flere lignende hendelser som fungerer etter samme prinsipp.
Tegn på Pharming
Pharming gir angriperne full kontroll over dine infiserte nettkontoer. Det kan være Facebook-profilen din, nettbankkontoen din, osv.
Hvis du er et offer, vil du se uforklarlig aktivitet. Det kan være et innlegg, en transaksjon, eller så lite som en endring i profilbildet ditt.
Hvis du ser noe du ikke husker å ha gjort, bør du umiddelbart ta grep.
Beskyttelse mot Pharming
Avhengig av hvilken type angrep du er utsatt for (bruker- eller servernivå), finnes det flere tiltak du kan ta for å beskytte deg.
Siden tiltak på servernivå ikke er fokus for denne artikkelen, skal vi konsentrere oss om hva du kan gjøre som sluttbruker.
#1. Bruk et premium antivirus
Et bra antivirusprogram er halve jobben gjort. Det hjelper deg å beskytte deg mot de fleste tvilsomme lenker, skadelige nedlastinger og falske nettsider. Selv om det finnes gratis antivirus for PC-en din, er de betalte versjonene som regel mer effektive.
#2. Bruk et sterkt passord på ruteren din
WiFi-rutere kan også fungere som en liten DNS-server. Derfor er sikkerheten deres avgjørende, og det begynner med å bytte ut standardpassordet fra produsenten.
#3. Velg en anerkjent internettleverandør
For de fleste fungerer internettleverandøren også som DNS-server. Min erfaring er at internettleverandørens DNS gir en liten hastighetsøkning sammenlignet med gratis offentlige DNS-tjenester som Google Public DNS. Det er viktig å velge den beste internettleverandøren som er tilgjengelig, ikke bare med tanke på hastighet, men også med tanke på generell sikkerhet.
#4. Bruk en tilpasset DNS-server
Det er ikke vanskelig eller uvanlig å bytte til en annen DNS-server. Du kan bruke gratis offentlig DNS fra OpenDNS, Cloudflare, Google, osv. Det viktige er imidlertid at DNS-leverandøren kan se nettaktiviteten din, så vær forsiktig med hvem du gir tilgang til den.
#5. Bruk VPN med privat DNS
Bruk av VPN legger til flere sikkerhetslag, inkludert en egen DNS-server. Dette beskytter deg ikke bare mot nettkriminelle, men også mot overvåking fra internettleverandøren eller myndighetene. Du bør likevel sjekke at VPN-en din bruker krypterte DNS-servere for best mulig beskyttelse.
#6. Oppretthold god netthygiene
Det å trykke på tvilsomme lenker eller reklamer som virker for gode til å være sanne, er en vanlig måte å bli svindlet på. Selv om et godt antivirus gjør jobben sin med å varsle deg, er det ingen sikkerhetsverktøy som garanterer 100 % suksess. Til syvende og sist er det du som må ta ansvar for å beskytte deg selv.
Du bør for eksempel lime inn mistenkelige lenker i en søkemotor for å sjekke kilden. I tillegg bør du sjekke at et nettsted har HTTPS (indikert med en hengelås i URL-feltet) før du stoler på det.
Det kan også være lurt å tømme DNS-en din med jevne mellomrom.
Vær forsiktig!
Pharming-angrep er gamle, men de er vanskelige å oppdage på grunn av hvordan de fungerer. Den grunnleggende årsaken til slike angrep er den iboende usikkerheten i DNS-systemet som ikke er fullstendig løst.
Dette betyr at det ikke alltid er du som har kontroll. Likevel vil de nevnte sikkerhetstiltakene hjelpe, spesielt bruk av VPN med kryptert DNS som ProtonVPN.
Pharming er basert på DNS, men visste du at svindel også kan baseres på Bluetooth? Les mer om bluesnarfing for å se hvordan det gjøres og hvordan du kan beskytte deg selv.