Hva er Pharming og hvordan kan det forhindres?
I denne dag og alder blir den lykkelige datamaskinbrukeren sjeldnere. Med utdanning av skadelig programvare utbredt på Internett, er folk ikke så lett lurt av svindel-e-postmeldinger som hevder at de har vunnet millioner av dollar.
Det betyr ikke at hackere har blitt mindre bestemt, men; det betyr bare at de har fått jobbe smartere. Fra spionering på bedriftsinfrastruktur og sending av e-post til ansatte fra sjefs adresse, for å bortføre brukernes Facebook-kontoer og meldingsvenner, er misbruk av tillit den metoden som er valgt for hacking i disse dager.
En metode de har på ermet, omdirigerer datamaskinen fra en legitim URL til en falsk kopi av den der de kan skaffe seg innloggingsdetaljer når du skriver inn informasjonen din på det falske nettstedet. Dette er kjent som "pharming", og det kan være ganske skremmende i sine metoder. Her vil vi forklare hva pharming er og hvordan det fungerer?
Hva er Pharming?
I seg selv er pharming en to-trinns prosess som kombinerer to angrep vektorer; DNS-forgiftning og phishing. Ved å utnytte styrken til begge, skaper det en svært troverdig felle for folk å falle inn i. Mens phishing fungerer ved å slippe agn og håper folk tar det opp, kan pharming overta hele DNS-servere og omdirigere folk til falske nettsteder.
Så for å kunne svare på "Hva er pharming?" Må vi først analysere de to komponentene den bygger på og se hvordan de samhandler med hverandre for å danne det generelle pharming-angrepet.
DNS-forgiftning
Du kan fortelle hvordan falsk denne angrepvektoren er med navnet alene! DNS-forgiftning virker ved å kapre en DNS-oppslag. Når du skriver inn en webadresse (for eksempel www.facebook.com), må datamaskinen konvertere den til en IP-adresse. Dette skyldes at datamaskiner ikke forstår hva "Facebook" er! Nettadresser er der for å gjøre det lettere for oss mennesker å huske adressene til nettsteder. Datamaskiner vet imidlertid hva en IP-adresse er. Så for å snakke med Facebook konverterer en datamaskin nettadressen til en IP-adresse.
De gjør dette ved å spørre en DNS-server, som fungerer som en adressebok for nettadresser og IP-adresser. De bruker DNS-serveren til å finne nettadressens IP-adresse (www.facebook.com -> 157.240.1.35), og deretter bruke den til å snakke med Facebook-serverne. Når en datamaskin har oppdaget IP-adressen til en nettadresse, kan den notere ned adressen i en cache. Dette er så det kan unngå å kaste bort tid på å slå opp den samme IP-adressen igjen og igjen. I dette eksemplet vil det være oppmerksom på at www.facebook.com går til 157.240.1.35 i sin cache.
DNS-forgiftning virker på to måter: enten ved å komme inn i en cache på en individuell PC og endre IP-adressene for å lede til ondsinnede nettsteder eller ved å infisere DNS-serverne selv, slik at PC-er som utfører oppslaget, får et "infisert" resultat. I begge tilfeller neste gang brukeren skriver "www.facebook.com" i nettleseren, laster de opp den "forgifte" falske IP-adressen i stedet.
phishing
DNS-forgiftning tillater en angriper å lede brukere fra et legitimt nettsted til en ondsinnet, selv om brukeren skrev adressen riktig. Dette er bare trinn ett, men; Tross alt, rett og slett å lede brukeren til et annet nettsted, gjør ikke mye! I kombinasjon med forgiftning kan hackere bruke phishing for å slå en enkel omdirigering til en gevinst.
I vårt eksempel overfører angriperen brukeren bort fra Facebook til et nettsted som angriperen velger. Det er mange alternativer angriperen kan velge, men i et pharming-angrep velger angriperen et nettsted de tidligere har satt opp for å se identisk med Facebook. Når brukeren skriver www.facebook.com i nettleseren, omdirigerer DNS-forgiftningen dem til hackers falske Facebook.
Nå som brukeren er på den falske siden, vil den da spørre brukeren om deres Facebook-påloggingsinformasjon. Å tro at de er på den virkelige Facebook-siden, går brukeren inn på innloggingsinformasjonen og overfører informasjonen til hackerne, og fullfører pharming-angrepet.
Hva kan bli gjort
For det første er det nyttig å vite at DNS-servere vanligvis eies av Internett-leverandøren du bruker. For å unngå pharming-angrep mot DNS-servere, må du sørge for at du velger en pålitelig Internett-leverandør. Gode Internett-leverandører vil vite om pharming og vil ha motforanstaltninger for å beskytte sine servere fra å bli forgiftet.
Men hva er pharmers svakhet når det gjelder å infisere din egen datas filer? Først må du alltid sørge for at du har installert en god antivirus- eller anti-malware-løsning. Disse skal forhåpentligvis kunne oppdage en redigering til datamaskinens adressepufffil og varsle deg før eventuelle skader er gjort.
Selv uten antivirus, kan du imidlertid stoppe et pharming-angrep ved å bruke dine wits. Når du får tilgang til et populært eller sikkert nettsted, for eksempel sosiale medier eller banktjenester, ser du en hengelås i adressefeltet og "HTTPS" ved starten av nettadressen. Dette betyr at nettstedet har blitt godkjent av en autorisert tredjepart for å være det som det hevder å være. Som sådan har det blitt tildelt et sertifikat, og dets kommunikasjon er kryptert.
Selvfølgelig, hvis et pharming-angrep har omdirigert deg til et spoofsted, bør nettstedet ikke ha et sertifikat som identifiserer det som ekte. Selv om nettadressen ser ut som den ekte, er synet av et manglende sertifikat en død gave. Når du logger deg på et populært nettsted, må du kontrollere at HTTPS-sertifikatet er tilstede. Hvis du har lagt merke til at sertifikatet plutselig har "gått glipp av, " kan det hende at det er noe!
Fooling Pharming
Med flere trinn for å lage en komplisert angrepsvektor kan pharming være litt skummelt. Nå vet du detaljene om hva pharming er og hvordan det fungerer. Enda bedre, hvis du er skarp og bruker en sikker Internett-leverandør, trenger du kanskje ikke å bekymre deg for å falle offer for pharming.
Har du eller noen du kjenner noensinne blitt lurt av et realistisk utseende nettsted? Gi oss beskjed nedenfor.