Pharmingový útok je sofistikovaný mechanismus, který podvádí uživatele (většinou), aniž by z jejich strany potřeboval nějakou „hloupou chybu“. Pojďme to dekódovat a uvidíme, jak to zabezpečit.
Představte si, že se přihlásíte do svého online bankovnictví pomocí legitimní webové adresy a životní úspory krátce poté zmizí.
To je jeden ze způsobů, jak vypadají pharmingové útoky.
Termín pharming vznikl z phishingu (útok) a farmaření 🚜.
Jednoduše řečeno; phishing vyžaduje, abyste klikli na podezřelý odkaz (hloupá chyba), který stahuje malware, což má za následek finanční ztráty. Kromě toho to může být e-mail od vašeho „CEO“ s žádostí o provedení „urgentního“ bankovního převodu „dodavateli“, což je podvod zvláštní kategorie známý jako velrybářský phishingový podvod.
Stručně řečeno, phishing potřebuje vaši aktivní účast, zatímco pharmingové útoky (ve většině případů) nikoli.
Table of Contents
Co je Pharming Attack?
Jsme zvyklí na názvy domén (jako etechblog.cz.com), zatímco stroje rozumí IP adresám (jako 24.237.29.182).
Když zadáme webovou adresu (název domény), jde (dotaz) na servery DNS (telefonní seznam internetu), které ji přiřadí k přiřazené IP adrese.
V důsledku toho mají doménová jména jen málo společného se skutečnými webovými stránkami.
Pokud například server DNS porovnal název domény s neautentickou IP adresou hostující podvrženou webovou stránku – to je vše, co uvidíte, bez ohledu na zadanou „správnou“ adresu URL.
Dále uživatel bez námahy předá podrobnosti – čísla karet, ID čísla, přihlašovací údaje atd. – parodii v domnění, že je to legitimní.
To činí pharmingové útoky nebezpečnými.
Jsou mimořádně dobře vyrobeny, fungují nenápadně a koncový uživatel neví nic, dokud od svých bank neobdrží zprávy o „naúčtované částce“. Nebo prodávají své osobní údaje na temném webu.
Podívejme se podrobně na jejich modus operandi.
Jak funguje Pharming Attack?
Ty jsou organizovány na dvou úrovních, s uživatelem nebo celým DNS serverem.
#1. Pharming na uživatelské úrovni
Je to podobné jako phishing a kliknete na podezřelý odkaz, který stáhne malware. Následně je soubor hostitele (aka místní DNS záznamy) změněn a uživatel navštíví škodlivý vzhled původní webové stránky.
Hostitelský soubor je standardní textový soubor, který ukládá lokálně spravované záznamy DNS a připravuje cestu pro rychlejší připojení s menší latencí.
Webmasteři obvykle používají hostitelský soubor k testování webových stránek před úpravou skutečných záznamů DNS u registrátora domény.
Malware však může zapsat falešné záznamy do místního hostitelského souboru vašeho počítače. Tímto způsobem se i správná adresa webu převede na podvodnou webovou stránku.
#2. Pharming na úrovni serveru
To, co se stalo jednomu uživateli, lze také provést s celým serverem.
To se nazývá DNS otrava nebo DNS spoofing nebo DNS hijacking. Protože k tomu dochází na úrovni serveru, obětí mohou být stovky nebo tisíce, ne-li více.
Cílové servery DNS se obecně hůře kontrolují a představují riskantní manévr. Ale pokud to uděláte, odměny jsou pro kyberzločince exponenciálně vyšší.
Pharming na úrovni serveru se provádí fyzickým únosem serverů DNS nebo útoky typu man-in-the-middle (MITM).
Ten druhý je softwarová manipulace mezi uživatelem a serverem DNS nebo mezi servery DNS a autoritativními jmennými servery DNS.
Kromě toho by hacker mohl změnit nastavení DNS vašeho WiFi routeru, což je známé jako místní DNS positioning.
Zdokumentované Pharmingové útoky
Útok pharmingu na uživatelské úrovni často zůstává skrytý a není téměř hlášen. I když je registrován, stěží se dostane do zpravodajských kanálů.
Navíc kvůli sofistikovanosti útoků na úrovni serveru je těžké si jich všimnout, pokud kyberzločinci nezničí značné množství peněz, což postihne mnoho lidí.
Podívejme se na několik, abychom viděli, jak to fungovalo v reálném životě.
#1. Curve Finance
Curve Finance je platforma pro výměnu kryptoměn, která utrpěla 9. srpna 2022 útok DNS otravy.
Máme krátkou zprávu od @iwantmyname o tom, co se stalo. Stručně: otrava mezipaměti DNS, nikoli kompromitace jmenného serveru. https://t.co/PI1zR96M1Z
Nikdo na webu není před těmito útoky 100% v bezpečí. To, co se stalo, DŮRAZNĚ navrhuje začít přecházet na ENS místo DNS
— Curve Finance (@CurveFinance) 10. srpna 2022
V zákulisí to byl iwantmyname, poskytovatel DNS společnosti Curve, který byl kompromitován, poslal své uživatele do parodie a způsobil ztráty přes 550 000 $.
#2. MyEtherWallet
24. duben 2018 byl pro některé uživatele MyEtherWallet černým dnem. Jedná se o bezplatnou a open-source peněženku Ethereum (kryptoměna) s robustními bezpečnostními protokoly.
Přes všechnu dobrotu zanechala tato zkušenost v ústech svých uživatelů hořkou pachuť s čistou krádeží 17 milionů dolarů.
Technicky byl BGP Hijacking odstraněn na Amazon Route 53 DNS službě – používané MyEtherWallet – která přesměrovala některé z jejích uživatelů na phishingovou repliku. Zadali své přihlašovací údaje, které zločincům umožnily přístup k jejich peněženkám s kryptoměnami, což způsobilo náhlý finanční odliv.
Do očí bijící chybou na straně uživatele však bylo ignorování varování prohlížeče SSL.
Oficiální prohlášení MyEtherWallet týkající se podvodu.
#3. Hlavní banky
Ještě v roce 2007 byli uživatelé téměř 50 bank terčem pharmingových útoků, které vedly k neznámé výši ztrát.
Tento klasický kompromis DNS poslal uživatele na škodlivé weby, i když zadali oficiální adresy URL.
Všechno to však začalo tím, že oběti navštívily škodlivý web, který si stáhl trojského koně kvůli zranitelnosti Windows (nyní opraveno).
Následně virus požádal uživatele, aby vypnuli antivirus, firewally atd.
Poté byli uživatelé posláni na parodické weby předních finančních institucí v USA, Evropě a asijsko-pacifické oblasti. Takových akcí je více, ale fungují podobným způsobem.
Známky Pharmingu
Pharming v podstatě dává plnou kontrolu nad vašimi infikovanými online účty aktérovi hrozby. Může to být váš profil na Facebooku, účet online bankovnictví atd.
Pokud jste obětí, uvidíte nevysvětlitelné aktivity. Může to být příspěvek, transakce nebo jen vtipná změna na vaší profilové fotce.
Nakonec byste měli začít s nápravou, pokud existuje něco, co si nepamatujete, že jste dělali.
Ochrana proti Pharmingu
Na základě typu útoku (úroveň uživatele nebo serveru), kterému jste vystaveni, existuje několik způsobů ochrany.
Protože implementace na úrovni serveru není předmětem tohoto článku, zaměříme se na to, co můžete udělat jako koncový uživatel.
#1. Použijte prémiový antivirus
Dobrý antivirus je polovina vykonané práce. To vám pomůže zůstat chráněni před většinou nepoctivých odkazů, škodlivým stahováním a podvodnými weby. Přestože pro váš počítač existuje bezplatný antivirus, placený antivirus obecně funguje lépe.
#2. Nastavte silné heslo routeru
WiFi routery mohou také fungovat jako mini DNS servery. V důsledku toho je jejich bezpečnost klíčová a začíná odstraněním hesel dodávaných společností.
#3. Vyberte si renomovaného ISP
Pro většinu z nás poskytovatelé internetových služeb fungují také jako DNS servery. A na základě mých zkušeností poskytuje DNS ISP malé zvýšení rychlosti ve srovnání s bezplatnými veřejnými službami DNS, jako je Google Public DNS. Je však důležité vybrat nejlepšího dostupného ISP nejen pro rychlost, ale i pro celkovou bezpečnost.
#4. Použijte vlastní server DNS
Přepnutí na jiný server DNS není obtížné ani neobvyklé. Můžete použít bezplatné veřejné DNS od OpenDNS, Cloudflare, Google atd. Důležité však je, že poskytovatel DNS vidí vaši webovou aktivitu. Měli byste tedy být opatrní, komu dáváte přístup ke své webové aktivitě.
#5. Používejte VPN s privátním DNS
Použití VPN klade mnoho vrstev zabezpečení, včetně jejich vlastních DNS. To vás nejen chrání před kyberzločinci, ale také před ISP nebo vládním dohledem. Přesto byste měli ověřit, že VPN by měla mít šifrované servery DNS pro nejlepší možnou ochranu.
#6. Dodržujte dobrou kybernetickou hygienu
Klikání na nepoctivé odkazy nebo příliš dobré reklamy na to, aby byly pravdivé, je jedním z hlavních způsobů, jak být podvedeni. I když dobrý antivirus dělá svou práci a varuje vás, žádný nástroj kybernetické bezpečnosti nezaručuje 100% úspěšnost. A konečně, zodpovědnost leží na vašich bedrech, abyste se ochránili.
Například, jeden by měl vložit jakýkoli podezřelý odkaz do vyhledávačů vidět zdroj. Kromě toho bychom měli zajistit HTTPS (označené visacím zámkem v adresním řádku), než důvěřujeme jakékoli webové stránce.
Navíc pravidelné proplachování DNS jistě pomůže.
Pozor!
Pharmingové útoky jsou staré, ale jejich fungování je příliš nenápadné na to, aby se daly přesně určit. Hlavní příčinou takových útoků je nativní zabezpečení DNS, které není řešeno jako celek.
V důsledku toho to není vždy na vás. Přesto uvedené ochrany pomohou, zejména pomocí VPN se šifrovaným DNS, jako je ProtonVPN.
Zatímco pharming je založen na DNS, víte, že podvody mohou být založeny i na Bluetooth? Skočte na tento bluesnarfing 101 a zjistěte, jak se to dělá a jak se chránit.