Какво е Pharming и как може да бъде предотвратено?
В този ден и възраст на потребителите наивни компютър става все по-редки. С образованието на зловреден софтуер, разпространено в Интернет, хората не са толкова лесно измамени от измамите с имейли, които твърдят, че са спечелили милиони долари.
Това обаче не означава, че хакерите са станали по-малко решителни; това просто означава, че трябва да работят по-умно. От шпионаж на фирмената инфраструктура и изпращане на имейли до служители от адреса на шефа, отвличане на потребителски акаунти в Facebook и съобщения от приятели, злоупотребата с доверие е методът на избор за хакерство в наши дни.
Един от методите, с които разполагат, е пренасочването на компютъра от легитимен URL към фалшиво копие от него, където те могат да получат данни за вход, когато въвеждате информацията си в фалшивия сайт. Това е известно като "pharming" и може да бъде доста страшно в своите методи. Тук ще обясним какво е pharming и как работи?
Какво е Pharming?
Само по себе си, pharming е двуетапен процес, който съчетава два атакуващи вектора; DNS отравяне и фишинг. Чрез използването на силните страни на двете, тя създава един много правдоподобен капан за хората да попаднат в. Докато фишингът работи чрез отпадане на стръв и с надеждата, че хората го заемат, pharming може да поеме целия DNS сървър и да пренасочи хората към фалшиви уеб сайтове.
Така че, за да отговорим на "какво е pharming?", Първо трябва да анализираме двата компонента, върху които се основава, и да видим как взаимодействат помежду си, за да формират цялостната атака на фармацията.
DNS отравяне
Можете да разберете колко нечестив е този атакуващ вектор само с името! Отравянето с DNS се извършва чрез отвличане на DNS търсене. Когато въведете уеб адрес (например www.facebook.com), компютърът трябва да го преобразува в IP адрес. Това е така, защото компютрите не разбират какво е "Facebook"! URL адресите са там, за да улесним хората да запомнят адресите на уеб сайтовете. Компютрите обаче знаят какъв е IP адресът. За да говорим с Facebook, компютърът преобразува URL адреса в IP адрес.
Те правят това чрез запитване към DNS сървър, който действа като адресна книга за URL адреси и IP адреси. Те използват DNS сървъра, за да намерят IP адреса на URL адреса (www.facebook.com -> 157.240.1.35), след което да го използват, за да разговарят със сървърите на Facebook. Когато компютърът е открил IP адреса на URL адрес, той може да запише адреса в кеш. Това е така, за да избегне загуба на време отново и отново да търси същия IP адрес. В този пример ще забележите, че www.facebook.com отива на 157.240.1.35 в кеша си.
DNS отравянията работят по два начина: чрез навлизане в кеш на отделен компютър и промяна на IP адресите, за да се насочат към злонамерени уебсайтове или чрез заразяване на самите DNS сървъри, така че компютрите, които извършват търсенето, да получат "заразен" резултат. И в двата случая следващия път, когато потребителят напише "www.facebook.com" в браузъра си, те в крайна сметка зареждат фалшивия IP адрес с "отровен" адрес.
Phishing
DNS отравянето позволява на атакуващия да насочва потребителите от легитимен сайт към злонамерен, въпреки че потребителят написал адреса правилно. Това обаче е само първа стъпка; в края на краищата, просто насочването на потребителя към друг уеб сайт не прави много! В комбинация с отравянето, хакерите могат да използват фишинг, за да превърнат обикновено пренасочване в печалба.
В нашия пример нападателят пренасочва потребителя извън Facebook към уебсайт, избран от нападателя. Има много опции, които нападателят може да избере, но при атака на аптека нападателят ще избере уеб сайт, който преди това е настроил, за да изглежда идентичен с Facebook. Когато потребителят напишете www.facebook.com в своя браузър, DNS отравянията ги пренасочват към фалшивия Facebook на хакера.
Сега, когато потребителят е на фалшив сайт, той ще подкани потребителя за потребителските си данни за вход в Facebook. Вярвайки, че те са на реалния сайт в Facebook, потребителят въвежда данните за вход и предава информацията си на хакерите, завършвайки атаката на pharming.
Какво може да се направи
Първо, е полезно да знаете, че DNS сървърите обикновено се притежават от доставчика на Интернет услуги, който използвате. Затова, за да избегнете атаки на pharming срещу DNS сървъри, не забравяйте да изберете надежден ISP. Добрите ISP-та ще знаят за pharming и ще имат контрамерки, за да защитят сървърите си от отравяне.
Но какво е слабостта на Pharming, когато става дума за заразяване на файловете на вашия компютър? Първо, винаги се уверете, че имате инсталиран добър антивирусен или анти-злонамерен софтуер. Те би трябвало да са в състояние да открият редактиране на файла за кеш на адреса на вашия компютър и да ви предупредят, преди да настъпи някаква повреда.
Дори и без антивирус, обаче, можете да спрете атака на аптека, като използвате вашите умове. Когато отворите популярен или сигурен уеб сайт, като социални медии или банкови сайтове, ще видите катинар в адресната лента и "HTTPS" в началото на URL адреса. Това означава, че уебсайтът е потвърден от авторитетна трета страна, за да бъде това, което се твърди, че е. Като такъв, той получи сертификат и комуникациите му бяха шифровани.
Разбира се, ако атака на pharming ви пренасочи към сайт за измама, този сайт не трябва да има сертификат, който да го идентифицира като истински. Дори ако URL адресът изглежда идентичен с истинското нещо, виждането на липсващ сертификат е мъртъв. Когато влизате в популярен сайт, уверете се, че е налице сертификат HTTPS. Ако сте забелязали, че сертификатът изведнъж е "изчезнал", може да се наложи нещо!
Фалшифициране на Pharming
С няколко стъпки, за да създадете сложен вектор на атака, pharming може да бъде малко страшно. Сега знаете подробностите за това какво е pharming и как работи. Още по-добре, ако сте остри и използвате сигурен интернет доставчик, може да не се налага да се притеснявате, че ставате жертва на pharming.
Били ли сте или някого, когото познавате, някога сте били подмамени от реалистично изглеждащ сайт? Кажете ни по-долу.