Et pharming-angreb er en sofistikeret mekanisme, der bedrager brugere (for det meste) uden at have brug for nogen ‘fjol fejl’ fra deres side. Lad os afkode dette og se, hvordan vi beskytter.
Forestil dig, at du logger ind på din netbank ved hjælp af en legitim web-adresse og får livsopsparingen forsvundet kort efter.
Det er en af de måder, pharming-angreb ser ud på.
Udtrykket pharming er opfundet fra phishing (angreb) og farming 🚜.
Sagt enkelt; phishing kræver, at du klikker på et mistænkeligt link (den fjollede fejl), som downloader malware, der resulterer i økonomiske tab. Desuden kan det være en e-mail fra din ‘administrerende direktør’, der beder om at foretage en ‘hastende’ bankoverførsel til en ‘leverandør’, en særlig kategori fidus kendt som hvalfangst-phishing-svindel.
Kort fortalt kræver phishing din aktive deltagelse, mens pharming-angreb (i de fleste tilfælde) ikke gør det.
Indholdsfortegnelse
Hvad er Pharming Attack?
Vi er vant til domænenavne (som toadmin.dk.com), mens maskiner forstår IP-adresser (som 24.237.29.182).
Når vi indtaster en webadresse (domænenavn), går den (forespørgslen) til DNS-serverne (telefonbogen på internettet), som matcher den med den tilhørende IP-adresse.
Domænenavne har derfor ikke meget at gøre med de faktiske websteder.
For eksempel, hvis DNS-serveren har matchet et domænenavn med en ikke-autentisk IP-adresse, der hoster et forfalsket websted – det er alt, du vil se, uanset den ‘rigtige’ URL, du har indtastet.
Dernæst afleverer en bruger ubesværet detaljerne – kortnumre, id-numre, login-oplysninger osv. – til parodien, og tror, det er legitimt.
Dette gør pharming-angreb farlige.
De er ekstremt godt lavet, fungerer snigende, og slutbrugeren ved intet, før de får beskeder om ‘debiteret beløb’ fra deres banker. Eller de får deres personligt identificerbare oplysninger solgt på det mørke web.
Lad os tjekke deres modus operandi i detaljer.
Hvordan virker Pharming Attack?
Disse er orkestreret på to niveauer, med brugeren eller en hel DNS-server.
#1. Pharming på brugerniveau
Dette ligner phishing, og du klikker på et mistænkeligt link, der downloader malware. Efterfølgende ændres værtens fil (også kaldet lokale DNS-poster), og en bruger besøger en ondsindet lookalike af en original hjemmeside.
En værtsfil er en standardtekstfil, der gemmer lokalt administrerede DNS-poster og baner vejen for hurtigere forbindelser med mindre latenstid.
Typisk bruger webmastere værtsfilen til at teste websteder, før de ændrer de faktiske DNS-poster hos domæneregistratoren.
Men malware kan skrive falske poster til din computers lokale værtsfil. På denne måde løser selv den korrekte hjemmesideadresse sig til en svigagtig hjemmeside.
#2. Pharming på serverniveau
Det, der skete med en enkelt bruger, kan også gøres på en hel server.
Dette kaldes DNS-forgiftning eller DNS-spoofing eller DNS-kapring. Da dette sker på serverniveau, kan ofrene være hundreder eller tusinder, hvis ikke flere.
Mål-DNS-serverne er generelt sværere at kontrollere og er en risikabel manøvre. Men hvis det gøres, er belønningen eksponentielt højere for cyberkriminelle.
Pharming på serverniveau udføres ved fysisk at kapre DNS-servere eller MITM-angreb (man-in-the-middle).
Sidstnævnte er en softwaremanipulation mellem en bruger og DNS-serveren eller mellem DNS-servere og autoritative DNS-navneservere.
Derudover kan en hacker ændre DNS-indstillingerne på din WiFi-router, som er kendt som lokal DNS-positionering.
Dokumenterede Pharming-angreb
Et pharming-angreb på brugerniveau forbliver ofte skjult og rapporteres næsten ikke. Selvom det er registreret, når det næppe til nyhedsmedierne.
Desuden gør det sofistikerede ved angrebene på serverniveau dem også svære at bemærke, medmindre de cyberkriminelle udsletter en betydelig mængde penge, hvilket påvirker mange mennesker.
Lad os tjekke et par stykker for at se, hvordan det fungerede i det virkelige liv.
#1. Curve Finance
Curve Finance er en cryptocurrency-udvekslingsplatform, der blev ramt af et DNS-forgiftningsangreb den 9. august 2022.
Vi har en kort rapport fra @iwantmyname om, hvad der er sket. Kort sagt: DNS-cacheforgiftning, ikke kompromittering af navneserver.https://t.co/PI1zR96M1Z
Ingen på nettet er 100 % sikret mod disse angreb. Det, der er sket, tyder STÆRKT på at begynde at flytte til ENS i stedet for DNS
— Curve Finance (@CurveFinance) 10. august 2022
Bag kulisserne var det iwantmyname, Curves DNS-udbyder, der blev kompromitteret, hvilket sendte sine brugere til en parodi og forårsagede tab på over $550k.
#2. MyEtherWallet
Den 24. april 2018 var en sort dag for nogle af MyEtherWallet-brugerne. Dette er en gratis og open source Ethereum (en kryptovaluta) tegnebog med robuste sikkerhedsprotokoller.
På trods af alt det gode efterlod oplevelsen en bitter smag i munden på sine brugere med et nettotyveri på 17 millioner dollars.
Teknisk set blev BGP Hijacking trukket ud på Amazon Route 53 DNS-tjeneste – brugt af MyEtherWallet – som omdirigerede nogle af sine brugere til en phishing-replika. De indtastede deres login-oplysninger, som gav de kriminelle adgang til deres cryptocurrency-punge, hvilket forårsagede den pludselige økonomiske dræning.
Men en åbenlys fejl i brugerens ende var at ignorere browserens SSL-advarsel.
MyEtherWallet officielle erklæring vedrørende fidusen.
#3. Store banker
Tilbage i 2007 blev brugere af næsten 50 banker ramt af pharming-angreb, der resulterede i et ukendt antal tab.
Dette klassiske DNS-kompromis sendte brugere til ondsindede websteder, selv når de indtastede de officielle URL’er.
Det hele startede dog med, at ofrene besøgte et ondsindet websted, der downloadede en trojan på grund af en Windows-sårbarhed (nu rettet).
Efterfølgende bad virussen brugerne om at slukke for antivirus, firewalls osv.
Bagefter blev brugerne sendt til parodiwebsteder for førende finansielle institutioner i USA, Europa og Asien-Stillehavet. Der er flere sådanne arrangementer, men de fungerer på samme måde.
Tegn på Pharming
Pharming giver i det væsentlige fuld kontrol over dine inficerede onlinekonti til trusselsaktøren. Det kan være din Facebook-profil, netbankkonto mv.
Hvis du er et offer, vil du se uregistreret aktivitet. Det kan være et opslag, en transaktion eller så lidt som en sjov ændring i dit profilbillede.
I sidste ende bør du starte med midlet, hvis der er noget, du ikke husker at have gjort.
Beskyttelse mod Pharming
Baseret på den angrebstype (bruger- eller serverniveau), du er udsat for, er der et par måder at beskytte.
Da implementeringen på serverniveau ikke er omfanget af denne artikel, vil vi fokusere på, hvad du kan gøre som slutbruger.
#1. Brug et Premium Antivirus
Et godt antivirus er halvdelen af arbejdet. Dette hjælper dig med at forblive beskyttet mod de fleste useriøse links, ondsindede downloads og svindelwebsteder. Selvom der er et gratis antivirus til din pc, klarer de betalte sig generelt bedre.
#2. Indstil en stærk router-adgangskode
WiFi-routere kan også fungere som mini DNS-servere. Derfor er deres sikkerhed altafgørende, og det starter med at gøre op med virksomhedens afsendte adgangskoder.
#3. Vælg en velrenommeret internetudbyder
For de fleste af os fungerer internetudbydere også som DNS-servere. Og baseret på min erfaring giver ISP’s DNS et lille hastighedsboost sammenlignet med gratis offentlige DNS-tjenester såsom Google Public DNS. Det er dog vigtigt at vælge den bedste tilgængelige internetudbyder for ikke kun hastighederne, men den overordnede sikkerhed.
#4. Brug en brugerdefineret DNS-server
Det er ikke svært eller ualmindeligt at skifte til en anden DNS-server. Du kan bruge gratis offentlig DNS fra OpenDNS, Cloudflare, Google osv. Det vigtige er dog, at DNS-udbyderen kan se din webaktivitet. Så du bør være opmærksom på, hvem du giver adgang til din webaktivitet.
#5. Brug VPN med privat DNS
Brug af VPN sætter mange sikkerhedslag, inklusive deres tilpassede DNS. Dette beskytter dig ikke kun mod cyberkriminelle, men også mod internetudbydere eller regeringsovervågning. Alligevel bør du kontrollere, at VPN’en skal have krypterede DNS-servere for den bedst mulige beskyttelse.
#6. Oprethold god cyberhygiejne
At klikke på useriøse links eller reklamer, der er for gode til at være sande, er en af de primære måder at blive snydt på. Selvom god antivirus gør sit job med at advare dig, garanterer intet cybersikkerhedsværktøj en succesrate på 100 %. Endelig ligger ansvaret på dine skuldre for at beskytte dig selv.
For eksempel bør man indsætte et mistænkeligt link i søgemaskiner for at se kilden. Derudover bør vi sikre HTTPS (angivet med en hængelås i URL-linjen), før vi stoler på et websted.
Desuden vil periodisk skylning af din DNS helt sikkert hjælpe.
Pas på!
Pharming-angreb er ældgamle, men hvordan det fungerer, er for subtilt til at præcisere. Grundårsagen til sådanne angreb er de indfødte DNS-usikkerheder, som ikke behandles i sin helhed.
Det er derfor ikke altid op til dig. Alligevel vil de anførte beskyttelser hjælpe, især ved at bruge en VPN med krypteret DNS som ProtonVPN.
Selvom pharming er DNS-baseret, ved du, at svindel også kan være baseret på Bluetooth? Hop videre til denne bluesnarfing 101 for at tjekke, hvordan det gøres, og hvordan du beskytter dig selv.