En pharming-attack är en sofistikerad mekanism som lurar användare (för det mesta) utan att behöva något ”fånigt misstag” från deras sida. Låt oss avkoda detta och se hur vi skyddar.
Föreställ dig att logga in på din nätbank med en legitim webbadress och få livbesparingarna försvunna kort därefter.
Det är ett av sätten som pharming-attacker ser ut.
Termen pharming är myntad från phishing (attack) och farming 🚜.
Enkelt uttryckt; nätfiske kräver att du klickar på en misstänkt länk (det fåniga misstaget), som laddar ner skadlig programvara som leder till ekonomiska förluster. Dessutom kan det vara ett e-postmeddelande från din ”VD” som ber att göra en ”brådskande” banköverföring till en ”försäljare”, en specialkategoris bedrägeri som kallas för valfångstfiske.
Kort sagt, nätfiske behöver ditt aktiva deltagande, medan pharming-attacker (i de flesta fall) inte gör det.
Innehållsförteckning
Vad är Pharming Attack?
Vi är vana vid domännamn (som adminvista.com.com), medan maskiner förstår IP-adresser (som 24.237.29.182).
När vi skriver in en webbadress (domännamn) går den (frågan) till DNS-servrarna (internets telefonbok), som matchar den med den associerade IP-adressen.
Följaktligen har domännamn lite att göra med de faktiska webbplatserna.
Till exempel, om DNS-servern har matchat ett domännamn med en icke-autentisk IP-adress som är värd för en falsk webbplats – det är allt du kommer att se, oavsett vilken ”rätt” URL du angav.
Därefter lämnar en användare utan ansträngning över detaljerna – kortnummer, ID-nummer, inloggningsuppgifter, etc. – till parodien och tror att det är legitimt.
Detta gör pharming-attacker farliga.
De är extremt välgjorda, fungerar smygande och slutanvändaren vet ingenting förrän de får meddelanden om ”debiterat belopp” från sina banker. Eller så får de sin personligt identifierbara information såld på den mörka webben.
Låt oss kontrollera deras arbetssätt i detalj.
Hur fungerar Pharming Attack?
Dessa är orkestrerade på två nivåer, med användaren eller en hel DNS-server.
#1. Pharming på användarnivå
Detta liknar nätfiske, och du klickar på en misstänkt länk som laddar ner skadlig programvara. Därefter ändras värdens fil (alias lokala DNS-poster) och en användare besöker en skadlig lookalike av en originalwebbplats.
En värdfil är en standardtextfil som sparar lokalt hanterade DNS-poster och banar väg för snabbare anslutningar med mindre latens.
Vanligtvis använder webbansvariga värdfilen för att testa webbplatser innan de ändrar de faktiska DNS-posterna hos domänregistratorn.
Däremot kan skadlig programvara skriva falska poster till din dators lokala värdfil. På så sätt löser sig även den korrekta webbadressen till en bedräglig webbplats.
#2. Pharming på servernivå
Det som hände en enskild användare kan också göras på en hel server.
Detta kallas DNS-förgiftning eller DNS-spoofing, eller DNS-kapning. Eftersom detta sker på servernivå kan offren vara hundratals eller tusentals, om inte fler.
Mål-DNS-servrarna är i allmänhet svårare att kontrollera och är en riskabel manöver. Men om det görs är belöningarna exponentiellt högre för cyberbrottslingar.
Pharming på servernivå görs genom att fysiskt kapa DNS-servrar eller MITM-attacker (man-in-the-middle).
Det senare är en mjukvarumanipulation mellan en användare och DNS-servern eller mellan DNS-servrar och auktoritativa DNS-namnservrar.
Dessutom kan en hackare ändra DNS-inställningarna för din WiFi-router, vilket är känt som lokal DNS-positionering.
Dokumenterade Pharming-attacker
En pharmingattack på användarnivå förblir ofta dold och rapporteras knappt. Även om den är registrerad kommer den knappast till nyhetsbyråerna.
Dessutom gör de sofistikerade attackerna på servernivå dem också svåra att lägga märke till om inte cyberbrottslingarna utplånar en betydande summa pengar, vilket påverkar många människor.
Låt oss kolla några för att se hur det fungerade i verkligheten.
#1. Curve Finance
Curve Finance är en utbytesplattform för kryptovaluta som drabbades av en DNS-förgiftningsattack den 9 augusti 2022.
Vi har en kort rapport från @iwantmyname om vad som har hänt. I korthet: DNS-cacheförgiftning, inte namnserverkompromiss.https://t.co/PI1zR96M1Z
Ingen på webben är 100 % säker från dessa attacker. Det som har hänt talar STARKT för att börja flytta till ENS istället för DNS
— Curve Finance (@CurveFinance) 10 augusti 2022
Bakom kulisserna var det iwantmyname, Curves DNS-leverantör, som komprometterades, vilket skickade sina användare till en parodi och orsakade förluster på över $550k.
#2. MyEtherWallet
Den 24 april 2018 var en svart dag för några av MyEtherWallet-användarna. Detta är en gratis och öppen källkod Ethereum (en kryptovaluta) plånbok med robusta säkerhetsprotokoll.
Trots allt gott lämnade upplevelsen en bitter smak i munnen på sina användare med en nettostöld på 17 miljoner dollar.
Tekniskt sett drogs BGP Hijacking av på Amazon Route 53 DNS-tjänst – som används av MyEtherWallet – som omdirigerade några av sina användare till en nätfiske-replik. De angav sina inloggningsuppgifter vilket gav brottslingarna tillgång till deras kryptovaluta plånböcker som orsakade den abrupta ekonomiska dräneringen.
Men ett uppenbart misstag från användarens sida var att ignorera webbläsarens SSL-varning.
MyEtherWallet officiella uttalande angående bluffen.
#3. Stora banker
Redan 2007 var användare av nästan 50 banker måltavla av pharming-attacker som resulterade i en okänd mängd förluster.
Denna klassiska DNS-kompromiss skickade användare till skadliga webbplatser även när de angav de officiella webbadresserna.
Allt började dock med att offren besökte en skadlig webbplats som laddade ner en trojan på grund av en Windows-sårbarhet (nu korrigerad).
Därefter bad viruset användarna att stänga av antivirus, brandväggar etc.
Efteråt skickades användarna till parodiwebbplatser för ledande finansinstitutioner i USA, Europa och Asien-Stillahavsområdet. Det finns fler sådana evenemang, men de fungerar på ett liknande sätt.
Tecken på Pharming
Pharming ger i huvudsak full kontroll över dina infekterade onlinekonton till hotaktören. Det kan vara din Facebook-profil, nätbankskonto, etc.
Om du är ett offer, kommer du att se aktivitet som inte har redovisats. Det kan vara ett inlägg, en transaktion eller så lite som en rolig förändring i din profilbild.
I slutändan bör du börja med botemedlet om det är något du inte kommer ihåg att du gjorde.
Skydd mot Pharming
Baserat på attacktypen (användar- eller servernivå) du utsätts för finns det några sätt att skydda.
Eftersom implementeringen på servernivå inte är omfattningen av den här artikeln kommer vi att fokusera på vad du kan göra som slutanvändare.
#1. Använd ett Premium Antivirus
Ett bra antivirus är halva arbetet. Detta hjälper dig att hålla dig skyddad från de flesta oseriösa länkar, skadliga nedladdningar och bluffwebbplatser. Även om det finns ett gratis antivirus för din PC, presterar de betalda generellt bättre.
#2. Ställ in ett starkt routerlösenord
WiFi-routrar kan också fungera som en mini DNS-servrar. Följaktligen är deras säkerhet avgörande, och det börjar med att avskaffa lösenorden från företaget.
#3. Välj en ansedd ISP
För de flesta av oss fungerar internetleverantörer också som DNS-servrar. Och baserat på min erfarenhet ger ISP:s DNS en liten hastighetshöjning jämfört med gratis offentliga DNS-tjänster som Google Public DNS. Det är dock viktigt att välja den bästa tillgängliga internetleverantören för inte bara hastigheterna utan den övergripande säkerheten.
#4. Använd en anpassad DNS-server
Att byta till en annan DNS-server är inte svårt eller ovanligt. Du kan använda gratis offentlig DNS från OpenDNS, Cloudflare, Google etc. Det viktiga är dock att DNS-leverantören kan se din webbaktivitet. Så du bör vara vaksam till vem du ger åtkomst till din webbaktivitet.
#5. Använd VPN med privat DNS
Att använda VPN lägger många säkerhetslager, inklusive deras anpassade DNS. Detta skyddar dig inte bara från cyberkriminella utan också från ISP eller statlig övervakning. Ändå bör du verifiera att VPN bör ha krypterade DNS-servrar för bästa möjliga skydd.
#6. Upprätthåll god cyberhygien
Att klicka på oseriösa länkar eller annonser som är för bra för att vara sanna är ett av de primära sätten att bli lurad. Även om bra antivirus gör sitt jobb med att varna dig, garanterar inget cybersäkerhetsverktyg 100 % framgång. Slutligen ligger ansvaret på dina axlar att skydda dig själv.
Till exempel bör man klistra in alla misstänkta länkar i sökmotorer för att se källan. Dessutom bör vi säkerställa HTTPS (indikerat med ett hänglås i URL-fältet) innan vi litar på någon webbplats.
Dessutom kommer det säkert att hjälpa att regelbundet spola din DNS.
Akta sig!
Pharming-attacker är urgamla, men hur det fungerar är för subtilt för att fastställa. Grundorsaken till sådana attacker är de infödda DNS-osäkerheterna som inte åtgärdas i sin helhet.
Följaktligen är detta inte alltid upp till dig. Ändå kommer de angivna skydden att hjälpa, speciellt med en VPN med krypterad DNS som ProtonVPN.
Även om pharming är DNS-baserad, vet du att bedrägerier också kan baseras på Bluetooth? Hoppa vidare till denna bluesnarfing 101 för att kontrollera hur det går till och hur du skyddar dig själv.