Pharming představuje promyšlený způsob podvodu, který oklamává uživatele, aniž by museli udělat nějakou zjevnou chybu. Pojďme si tento mechanismus rozebrat a podívat se, jak se proti němu můžeme bránit.
Představte si situaci, kdy se přihlašujete do svého internetového bankovnictví přes legitimní webovou adresu a vzápětí zjistíte, že vaše úspory zmizely. Právě takové jsou typické dopady pharmingových útoků.
Slovo „pharming“ vzniklo spojením slov „phishing“ (útok) a „farmaření“ 🚜.
Jednoduše řečeno, phishing vyžaduje vaši akci, například kliknutí na podezřelý odkaz, který vede ke stažení škodlivého softwaru. Ten následně může způsobit finanční ztráty. Dalším příkladem je e-mail od vašeho „šéfa“ s požadavkem na urgentní bankovní převod „dodavateli“. Jedná se o specifický typ podvodu známý jako „velrybářský phishing“.
Stručně řečeno, phishing vyžaduje vaši aktivní účast, zatímco pharmingové útoky (ve většině případů) ne.
Co je to pharmingový útok?
Běžně používáme názvy domén, jako je například etechblog.cz.com. Počítače však rozumí IP adresám, například 24.237.29.182.
Když zadáme webovou adresu (název domény), systém ji posílá na DNS servery (jakýsi internetový telefonní seznam), které ji přiřadí ke konkrétní IP adrese.
Zjednodušeně řečeno, doménová jména mají jen málo společného s fyzickým umístěním webových stránek.
Pokud například DNS server přiřadí danému doménovému jménu falešnou IP adresu, která hostuje podvrženou webovou stránku, zobrazí se vám tato stránka bez ohledu na to, jakou „správnou“ URL adresu jste zadali.
Následně uživatel nevědomky zadá své osobní údaje – čísla karet, identifikační čísla, přihlašovací údaje atd. – podvodné stránce v domnění, že jde o legitimní web.
To je důvod, proč jsou pharmingové útoky tak nebezpečné. Jsou provedeny velmi profesionálně, probíhají nenápadně a uživatel nic netuší, dokud nedostane od banky zprávu o „neoprávněné transakci“ nebo se jeho osobní údaje neobjeví na dark webu.
Pojďme se blíže podívat na to, jak takové útoky fungují.
Jak probíhá pharmingový útok?
Útoky se odehrávají na dvou úrovních – buď se zaměřují na jednotlivé uživatele, nebo na celé DNS servery.
#1. Pharming na úrovni uživatele
Funguje podobně jako phishing: kliknete na podezřelý odkaz, který do vašeho zařízení nainstaluje malware. Ten následně změní soubor hostitele (místní DNS záznamy), takže uživatel je přesměrován na falešnou verzi původní webové stránky.
Soubor hostitele je obyčejný textový soubor, který obsahuje lokálně spravované DNS záznamy a umožňuje rychlejší a spolehlivější připojení.
Webmasteři ho často používají k testování webových stránek před provedením změn v reálných DNS záznamech u registrátora domény.
Malware však může do souboru hostitele vašeho počítače vložit falešné záznamy. Takto se i správná webová adresa může přesměrovat na podvodnou stránku.
#2. Pharming na úrovni serveru
To, co se stalo jednomu uživateli, lze provést i s celým serverem. Tento jev se nazývá DNS otrava, DNS spoofing nebo DNS hijacking. Protože k útoku dochází na úrovni serveru, oběťmi se mohou stát stovky, tisíce nebo i více uživatelů.
Cílové DNS servery jsou obvykle hůře kontrolovatelné, což je riskantní manévr. Nicméně, pokud se útočníkovi podaří, dosáhne exponenciálně vyšších zisků.
Pharming na úrovni serveru se provádí buď fyzickým napadením DNS serverů, nebo pomocí útoků typu „man-in-the-middle“ (MITM).
Útoky MITM spočívají v softwarové manipulaci s komunikací mezi uživatelem a DNS serverem nebo mezi DNS servery a autoritativními jmennými servery DNS.
Hacker může také změnit nastavení DNS vašeho Wi-Fi routeru, což se označuje jako lokální DNS positioning.
Zdokumentované pharmingové útoky
Pharmingové útoky na uživatelské úrovni zůstávají často skryté a téměř se nehlásí. I když jsou zaznamenány, obvykle se nedostanou do médií.
Navíc, vzhledem k propracovanosti útoků na úrovni serveru, je obtížné si jich všimnout, dokud kyberzločinci nezpůsobí značné finanční ztráty a nepoškodí velký počet lidí.
Pojďme se podívat na několik případů, jak to fungovalo v reálném životě.
#1. Curve Finance
Curve Finance, platforma pro výměnu kryptoměn, se 9. srpna 2022 stala obětí útoku typu DNS otrava.
Máme krátkou zprávu od @iwantmyname o tom, co se stalo. Stručně: otrava mezipaměti DNS, nikoli kompromitace jmenného serveru. https://t.co/PI1zR96M1Z
Nikdo na webu není před těmito útoky 100% v bezpečí. To, co se stalo, DŮRAZNĚ navrhuje začít přecházet na ENS místo DNS
— Curve Finance (@CurveFinance) 10. srpna 2022
V pozadí se ukázalo, že poskytovatel DNS společnosti Curve, iwantmyname, byl kompromitován. Uživatelé byli přesměrováni na falešnou webovou stránku, což vedlo ke ztrátám přes 550 000 dolarů.
#2. MyEtherWallet
24. duben 2018 byl pro některé uživatele MyEtherWallet temný den. MyEtherWallet je bezplatná peněženka pro kryptoměnu Ethereum s robustními bezpečnostními protokoly.
I přes veškerá bezpečnostní opatření však tato zkušenost zanechala u uživatelů hořkou chuť v ústech. Došlo ke krádeži v celkové výši 17 milionů dolarů.
Technicky šlo o útok BGP Hijacking na službu Amazon Route 53 DNS, kterou MyEtherWallet využívala. Někteří uživatelé byli přesměrováni na phishingovou repliku webové stránky. Zadali své přihlašovací údaje, které umožnily zločincům přístup k jejich kryptoměnovým peněženkám a způsobily tak náhlý odliv finančních prostředků.
Závažnou chybou na straně uživatele však bylo ignorování varování prohlížeče o neplatném SSL certifikátu.
Zde je oficiální prohlášení MyEtherWallet ohledně tohoto podvodu.
#3. Velké banky
V roce 2007 byly pharmingovými útoky zasaženy téměř 50 bank. Výše ztrát nebyla nikdy zveřejněna.
Tento klasický kompromis DNS přesměrovával uživatele na škodlivé webové stránky i při zadání oficiálních URL adres.
Vše začalo tím, že oběti navštívily škodlivou stránku, která stáhla trojského koně. Využívaly se přitom zranitelnosti systému Windows (které byly již opraveny).
Následně virus požádal uživatele, aby vypnuli antivirový program, firewall atd.
Poté byli uživatelé přesměrováni na falešné webové stránky předních finančních institucí v USA, Evropě a Asii. Existuje více takových případů, ale fungují na stejném principu.
Jak poznat pharmingový útok?
Pharming v podstatě dává útočníkovi plnou kontrolu nad vašimi online účty. Může jít o váš profil na Facebooku, účet internetového bankovnictví atd.
Pokud se stanete obětí, všimnete si nevysvětlitelných aktivit. Může se jednat o příspěvky, transakce nebo jen o změnu profilové fotky, kterou jste neudělali.
V podstatě byste měli začít jednat, pokud zaznamenáte něco, co si nepamatujete, že byste dělali.
Jak se chránit před pharmingem?
V závislosti na typu útoku (na úrovni uživatele nebo serveru), kterému jste vystaveni, existuje několik způsobů, jak se chránit.
Protože implementace ochrany na úrovni serveru není předmětem tohoto článku, zaměříme se na to, co můžete udělat jako koncový uživatel.
#1. Používejte kvalitní antivirový program
Dobrý antivirus je polovina úspěchu. Pomůže vám ochránit se před většinou nebezpečných odkazů, škodlivými stahováními a podvodnými webovými stránkami. I když pro váš počítač existují bezplatné antiviry, placené antiviry obvykle fungují lépe.
#2. Nastavte si silné heslo pro router
Wi-Fi routery mohou také fungovat jako malé DNS servery. Proto je jejich zabezpečení klíčové a začíná odstraněním továrního hesla.
#3. Vyberte si renomovaného poskytovatele internetu (ISP)
Pro většinu z nás fungují poskytovatelé internetových služeb (ISP) také jako DNS servery. Z mých zkušeností, DNS od ISP poskytuje jen mírné zvýšení rychlosti ve srovnání s bezplatnými veřejnými službami DNS, jako je například Google Public DNS. Je však důležité vybrat si nejlepšího poskytovatele nejen pro rychlost, ale i pro celkovou bezpečnost.
#4. Používejte vlastní DNS server
Přepnutí na jiný DNS server není obtížné ani neobvyklé. Můžete použít bezplatné veřejné DNS od OpenDNS, Cloudflare, Google atd. Důležité však je, že poskytovatel DNS vidí vaši webovou aktivitu. Měli byste si tedy dávat pozor na to, komu dáváte přístup ke své webové aktivitě.
#5. Používejte VPN s privátním DNS
Použití VPN přidává více úrovní zabezpečení, včetně jejich vlastních DNS. Chrání vás nejen před kyberzločinci, ale i před dohledem ISP nebo vládních institucí. Nicméně je důležité, aby VPN používala šifrované DNS servery pro co nejlepší ochranu.
#6. Dodržujte základy kybernetické hygieny
Klikání na podezřelé odkazy nebo nabídky, které zní příliš dobře na to, aby byly pravdivé, je jedním z hlavních způsobů, jak se nechat podvést. I když dobrý antivirus dělá svou práci a varuje vás, žádný nástroj kybernetické bezpečnosti nezaručuje 100% úspěšnost. Zodpovědnost za vaši ochranu je nakonec na vás.
Například, měli byste vložit jakýkoli podezřelý odkaz do vyhledávače, abyste viděli jeho zdroj. Kromě toho je třeba se ujistit, že webová stránka používá HTTPS (označené ikonou zámku v adresním řádku), než jí začnete důvěřovat.
Pravidelné proplachování DNS také může pomoci.
Důležité upozornění!
Pharmingové útoky nejsou nic nového, ale jejich fungování je obtížně odhalitelné. Hlavní příčinou takových útoků je nativní zabezpečení DNS, které není obecně dostatečně řešeno.
V důsledku toho, ne vždy máte plnou kontrolu nad tím, abyste se před takovými útoky ochránili. Přesto výše uvedené ochrany pomohou, zejména používání VPN se šifrovaným DNS, jako je ProtonVPN.
Pharming je založen na DNS, ale věděli jste, že podvody mohou být založeny i na Bluetooth? Přečtěte si o technikách bluesnarfingu a zjistěte, jak se ochránit.