Vad är en Pharmingattack?
En pharmingattack är en sofistikerad metod där användare luras, oftast utan att de själva begår något uppenbart misstag. Låt oss utforska vad detta innebär och hur vi kan skydda oss.
Tänk dig att du loggar in på din internetbank med en korrekt webbadress, bara för att upptäcka att dina besparingar försvinner kort därefter. Detta är ett exempel på hur en pharmingattack kan se ut.
Termen ”pharming” är en kombination av ”phishing” (nätfiske) och ”farming” (jordbruk). Till skillnad från nätfiske, som kräver att du klickar på en misstänkt länk, fungerar pharming på ett mer dolt sätt.
Vid nätfiske luras du ofta att klicka på en skadlig länk, vilket leder till nedladdning av skadlig programvara och ekonomiska förluster. Det kan också handla om ett falskt e-postmeddelande från en påstådd chef som ber om en brådskande banköverföring, en variant av nätfiske som kallas valfångstfiske.
Kort sagt, nätfiske kräver din aktiva inblandning, medan pharming i de flesta fall inte gör det.
Hur fungerar en Pharmingattack?
Vi är vana vid att använda domännamn (som exempelvis adminvista.com), men datorer kommunicerar med IP-adresser (som 24.237.29.182). När vi anger en webbadress skickas denna förfrågan till DNS-servrar, som fungerar som internetets telefonbok och översätter domännamnet till den tillhörande IP-adressen.
Domännamnet i sig har alltså inte direkt koppling till den faktiska webbplatsen. Om en DNS-server kopplar ett domännamn till en falsk IP-adress som leder till en falsk webbplats, är det den falska webbplatsen du kommer att se, oavsett vilken korrekt URL du har skrivit in.
Därefter lämnar användaren omedvetet ut information som kortnummer, ID-nummer och inloggningsuppgifter till bedragarna, i tron att det är en legitim webbplats.
Detta gör pharmingattacker mycket farliga. De är välorganiserade, sker i det dolda och slutanvändaren märker ingenting förrän de får meddelanden om obehöriga transaktioner från sin bank eller upptäcker att deras personliga uppgifter har sålts på darknet.
Låt oss undersöka hur de fungerar mer i detalj.
Metoder för Pharmingattacker
Pharmingattacker kan genomföras på två nivåer: antingen mot enskilda användare eller mot hela DNS-servrar.
#1. Pharming på användarnivå
Denna typ av attack liknar nätfiske. Du klickar på en suspekt länk som leder till att skadlig programvara laddas ner. Denna programvara ändrar sedan värdfilen (en lokal DNS-mappning) på din dator, vilket gör att du hamnar på en falsk kopia av en legitim webbplats.
Värdfilen är en textfil där lokalt hanterade DNS-poster lagras för att ge snabbare anslutningar med mindre fördröjning. Webbansvariga använder ofta denna fil för att testa webbplatser innan de ändrar de faktiska DNS-posterna hos domänregistratorn. Skadlig programvara kan dock lägga in falska poster i din lokala värdfil, vilket gör att även korrekta webbadresser leder till bedrägliga webbplatser.
#2. Pharming på servernivå
En pharmingattack kan också riktas mot en hel server, vilket kallas DNS-förgiftning, DNS-spoofing eller DNS-kapning. Eftersom detta sker på servernivå kan hundratals eller tusentals användare drabbas samtidigt.
Att kompromettera en DNS-server är svårare och mer riskfyllt, men om det lyckas kan cyberbrottslingarna få mycket större utdelning. Pharming på servernivå kan genomföras genom att fysiskt ta över DNS-servrar eller genom MITM-attacker (man-in-the-middle). MITM-attacker innebär att manipulera kommunikationen mellan användaren och DNS-servern, eller mellan DNS-servrar och auktoritativa DNS-namnservrar.
En hackare kan också ändra DNS-inställningarna på din WiFi-router, vilket kallas för lokal DNS-positionering.
Exempel på Pharmingattacker
Pharmingattacker på användarnivå är ofta svåra att upptäcka och rapporteras sällan. Även om en sådan attack registreras, når den sällan nyhetsmedia. De mer sofistikerade attackerna på servernivå är också svåra att upptäcka, om inte cyberbrottslingarna stjäl stora summor pengar och drabbar många människor. Låt oss se på några exempel på hur dessa attacker har genomförts.
#1. Curve Finance
Curve Finance, en kryptovalutabörs, drabbades av en DNS-förgiftningsattack den 9 augusti 2022.
We have a short report from @iwantmyname on what has happened. In short: DNS cache poisoning, not nameserver compromise.https://t.co/PI1zR96M1Z
No one on the web is 100% safe from these attacks. What has happened speaks VERY STRONGLY for starting to move to ENS instead of DNS
— Curve Finance (@CurveFinance) August 10, 2022
Det visade sig att iwantmyname, Curves DNS-leverantör, hade blivit komprometterad, vilket ledde till att användarna dirigerades till en falsk webbplats och orsakade förluster på över 550 000 dollar.
#2. MyEtherWallet
Den 24 april 2018 drabbades MyEtherWallet-användare av en allvarlig attack. MyEtherWallet är en gratis och öppen källkod Ethereum-plånbok med starka säkerhetsprotokoll. Trots detta stals det kryptovaluta för 17 miljoner dollar.
Tekniskt sett utnyttjades BGP Hijacking på Amazon Route 53 DNS-tjänst, som används av MyEtherWallet. Detta ledde till att vissa användare omdirigerades till en nätfiskekopia av webbplatsen. Användarna angav sina inloggningsuppgifter, vilket gav cyberbrottslingarna tillgång till deras kryptovalutaplånböcker och orsakade stora ekonomiska förluster. Ett misstag från användarnas sida var dock att de ignorerade webbläsarens SSL-varning.
Ett uttalande från MyEtherWallet finns att läsa här.
#3. Stora banker
Redan 2007 drabbades användare av nästan 50 banker av pharmingattacker som resulterade i okända förluster. Denna klassiska DNS-kompromettering ledde användare till skadliga webbplatser även när de angav de officiella webbadresserna.
Attacken började med att offren besökte en skadlig webbplats som laddade ner en trojan på grund av en Windows-säkerhetsbrist (som nu är åtgärdad). Trojanen bad användarna att stänga av antivirusprogram och brandväggar. Därefter dirigerades användarna till falska kopior av webbplatser tillhörande stora finansinstitut i USA, Europa och Asien. Det finns fler liknande händelser, men de fungerar på liknande sätt.
Tecken på Pharming
Pharming ger angriparen full kontroll över dina infekterade onlinekonton, vare sig det är ditt Facebook-konto, din internetbank eller andra tjänster. Om du har drabbats kan du märka aktivitet som du inte känner igen. Det kan vara ett inlägg, en transaktion eller till och med en liten förändring i din profilbild. Om du ser något som du inte minns att du har gjort, bör du omedelbart vidta åtgärder.
Skydd mot Pharming
Det finns flera åtgärder du kan vidta för att skydda dig, beroende på om attacken sker på användarnivå eller servernivå. Eftersom åtgärder på servernivå ligger utanför ramen för denna artikel, kommer vi att fokusera på vad du som slutanvändare kan göra.
#1. Använd ett Premium Antivirus
Ett bra antivirusprogram är ett viktigt skydd. Det hjälper dig att skydda dig mot de flesta skadliga länkar, nedladdningar och bluffwebbplatser. Även om det finns gratis antivirusprogram, brukar de betalda programmen ge ett bättre skydd.
#2. Använd ett starkt lösenord för din router
WiFi-routrar fungerar som mini-DNS-servrar, så deras säkerhet är avgörande. Det första steget är att byta ut det standardlösenord som levererades med routern.
#3. Välj en ansedd internetleverantör
Internetleverantörer fungerar ofta också som DNS-servrar. Enligt erfarenhet ger internetleverantörers DNS ofta en liten hastighetsökning jämfört med gratis offentliga DNS-tjänster som Google Public DNS. Det är viktigt att välja den bästa internetleverantören, inte bara för hastigheten, utan även för den övergripande säkerheten.
#4. Använd en anpassad DNS-server
Att byta till en annan DNS-server är varken svårt eller ovanligt. Du kan använda gratis offentliga DNS-servrar från exempelvis OpenDNS, Cloudflare eller Google. Det är dock viktigt att veta att DNS-leverantören kan se din webbaktivitet. Var noga med vem du ger tillgång till din webbhistorik.
#5. Använd VPN med privat DNS
VPN ger flera lager av säkerhet, inklusive en anpassad DNS. Det skyddar dig inte bara mot cyberbrottslingar, utan också mot övervakning från internetleverantörer och myndigheter. Se dock till att din VPN-tjänst använder krypterade DNS-servrar för bästa möjliga skydd.
#6. Upprätthåll god cyberhygien
Att klicka på misstänkta länkar eller erbjudanden som verkar för bra för att vara sanna är ett vanligt sätt att bli lurad. Även om ett bra antivirusprogram hjälper dig, finns det inga garantier för 100 % framgång. Slutligen är det ditt ansvar att skydda dig själv.
Ett bra tips är att klistra in misstänkta länkar i sökmotorer för att kontrollera deras ursprung. Se också till att webbplatsen har HTTPS (indikeras av ett hänglås i webbläsarens adressfält) innan du delar med dig av känslig information. Det kan också hjälpa att regelbundet rensa din DNS-cache.
Var uppmärksam!
Pharmingattacker är gamla men fortfarande svåra att upptäcka. Grundproblemet ligger i de inbyggda säkerhetsbristerna i DNS-systemet. Även om du inte alltid kan kontrollera allt, kommer de skyddsåtgärder som nämns här hjälpa, särskilt en VPN med krypterad DNS som ProtonVPN.
Visste du att bedrägerier också kan ske via Bluetooth? Läs mer om bluesnarfing för att lära dig mer om hur det fungerar och hur du skyddar dig.