Hvad er Pharming, og hvordan kan det forhindres?
På denne dag og alder bliver den lykkelige computerbruger bliver sjældnere. Med malware uddannelse udbredt på internettet, er folk ikke så let narre af svindel e-mails hævder at de har vundet millioner af dollars.
Det betyder ikke, at hackere er blevet mindre beslægtede. det betyder bare, at de har måttet arbejde smartere. Fra at spionere på virksomhedsinfrastruktur og sende e-mails til medarbejdere fra chefens adresse, for at bortføre brugerens Facebook-konti og messaging-venner, er misbrug af tillid den metode, der vælges til hacking i disse dage.
En metode, de har på deres ærme, omdirigerer din computer fra en legitim URL til en falsk kopi af den, hvor de kan erhverve loginoplysninger, når du indtaster dine oplysninger på det falske websted. Dette er kendt som "pharming", og det kan være ret skræmmende i dets metoder. Her forklarer vi hvad pharming er, og hvordan det virker?
Hvad er Pharming?
I sig selv pharming er en to-trins proces, der kombinerer to angreb vektorer; DNS forgiftning og phishing. Ved at udnytte styrken af begge skaber det en meget troværdig fælde for folk at falde ind i. Mens phishing virker ved at tabe agn og håber folk tager det op, kan pharming overtage hele DNS-servere og omdirigere folk til falske websites.
Så for at kunne svare på "hvad er pharming?" Skal vi først analysere de to komponenter, den bygger på, og se, hvordan de interagerer med hinanden for at danne det samlede pharming-angreb.
DNS forgiftning
Du kan fortælle, hvordan fængslende denne angrebsvektor er ved navn alene! DNS forgiftning virker ved at kapre et DNS opslag. Når du indtaster en webadresse (f.eks. Www.facebook.com), skal computeren konvertere den til en IP-adresse. Dette skyldes, at computere ikke forstår, hvad "Facebook" er! Webadresser er der for at gøre det lettere for os mennesker at huske adresserne på hjemmesider. Computere ved dog, hvad en IP-adresse er. Så for at kunne tale med Facebook konverterer en computer URL'en til en IP-adresse.
De gør det ved at spørge en DNS-server, som virker som en adressebog til URL'er og IP-adresser. De bruger DNS-serveren til at finde URL-adressen (www.facebook.com -> 157.240.1.35), og derefter bruge den til at tale med Facebook-serverne. Når en computer har opdaget IP-adressen til en webadresse, kan den notere adressen ned i en cache. Dette er så det kan undgå at spilde tid på at kigge på den samme IP-adresse igen og igen. I dette eksempel vil det bemærkes, at www.facebook.com går til 157.240.1.35 i sin cache.
DNS-forgiftning virker på to måder: enten ved at komme i et cache på en enkelt pc og ændre IP-adresserne til at lede til ondsindede websteder eller ved at inficere DNS-serverne selv, så pc'er, der udfører opslaget, får et "inficeret" resultat. I begge tilfælde næste gang brugeren skriver "www.facebook.com" i deres browser, vil de i stedet læse den "forgiftede" falske IP-adresse i stedet.
Phishing
DNS-forgiftning tillader en hacker at lede brugere fra et legitimt websted til en ondsindet, selvom brugeren indtastede adressen korrekt. Dette er dog kun trin et; Når alt kommer til alt, er det bare at lede brugeren til en anden hjemmeside ikke meget! I kombination med forgiftningen kan hackere bruge phishing for at gøre en enkel omdirigering til en gevinst.
I vores eksempel omdirigerer omdirigerer brugeren væk fra Facebook til et websted, hvor angriberen vælger. Der er mange muligheder angriberen kan vælge, men i et pharming-angreb vælger angriberen et websted, som de tidligere har konfigureret til at se identisk med Facebook. Når brugeren skriver www.facebook.com i deres browser, omdirigerer DNS-forgiftningen dem til hackers falske Facebook.
Nu hvor brugeren er på den falske side, vil den derefter anmode brugeren om deres Facebook login credentials. Når de tror, at de er på det rigtige Facebook-websted, går brugeren ind på deres loginoplysninger og sender deres information til hackerne og fuldfører pharming-angrebet.
Hvad kan gøres
For det første er det nyttigt at vide, at DNS-servere normalt ejes af den internetudbyder, du bruger. For at undgå pharming-angreb mod DNS-servere skal du sørge for at vælge en pålidelig internetudbyder. Gode internetudbydere vil vide om pharming og vil have modforanstaltninger for at beskytte deres servere mod at blive forgiftet.
Men hvad er pharmers svaghed, når det kommer til at inficere din egen computers filer? Først skal du altid sørge for, at du har installeret en god antivirus- eller anti-malware-løsning. Disse bør forhåbentlig være i stand til at opdage en redigering til din computers adressecache-fil og advare dig, før der er sket skade.
Selv uden antivirus, kan du dog stoppe et pharming-angreb ved at bruge dine wits. Når du får adgang til et populært eller sikkert websted, f.eks. Sociale medier eller bankwebsteder, kan du se en hængelås i adresselinjen og "HTTPS" i starten af webadressen. Det betyder, at hjemmesiden er blevet valideret af en autoritativ tredjepart for at være det, det hævder at være. Som sådan er det blevet tildelt et certifikat, og dets kommunikation er krypteret.
Selvfølgelig, hvis et pharming-angreb har omdirigeret dig til et spoofsted, skal webstedet ikke have et certifikat, der identificerer det som ægte. Selvom webadressen ser ud som den rigtige ting, er synet af et manglende certifikat en død giveaway. Sørg for, at HTTPS-certifikatet er til stede, når du logger ind på et populært websted. Hvis du har bemærket, at certifikatet pludselig er "gået glip af noget", kan der være noget!
Fooling Pharming
Med flere trin til at oprette en kompliceret angrebsvektor kan pharming være lidt skræmmende. Nu ved du detaljerne om, hvad pharming er, og hvordan det virker. Endnu bedre, hvis du er skarp og bruger en sikker internetudbyder, behøver du måske ikke at bekymre dig om at falde offer for pharming.
Har du eller nogen du kender nogensinde blevet narret af et realistisk udseende websted? Lad os vide nedenfor.