Pharming – czym jest ta metoda działania hakerów?
Ataki cyberprzestępców mogą przyjmować różną formę. Niekiedy oszuści wykorzystują niewysublimowane metody rozsyłania fałszywych wiadomości, innym razem korzystają z zaawansowanych programów szpiegujących. Spektrum zagrożeń jest tak szerokie, jak tylko wyobraźnia i możliwości przestępców czyhających na nasze: dane osobowe, środki finansowe i posiadane zasoby. Jedną z daleko posuniętych metod przestępczych w sieci jest pharming.
Czym cechuje się złośliwe oprogramowanie typu pharming? Jak radzić sobie ze zjawiskiem pharmingu? Czy wdrożenie metod zapobiegawczych do przeglądarki jest działaniem wystarczającym? Biorę na tapet te kwestie, wyjaśniając je w poniższym artykule.
Złośliwe oprogramowanie pharming – czym jest i jak się różni od phishingu?
Pharming to podstępna forma ataku hakerskiego będąca pochodną phishingu. Termin jest połączeniem anglojęzycznego określenia phishing oraz farming (rolnictwo, uprawianie roli). Obie metody cyberataku są do siebie podobne, jednakże pharming wymaga znacznie bardziej zaawansowanych przygotowań. O ile w przypadku tradycyjnego phishingu internauta musi zostać w jakiś sposób przekonany do kliknięcia w podejrzany odnośnik, to w kontekście pharmingu przekierowanie na zainfekowaną witrynę następuje automatycznie. Cyberprzestępca nie musi zarzucać przynęty, a „plony” swojego ataku może zbierać dzięki wcześniejszej ingerencji w techniczną sferę systemów informatycznych. Skutki obu rodzajów ataków są podobne, a zagrożenia są ze sobą tożsame. Różnią się od siebie przede wszystkim sposobem przeprowadzenia ofensywy.
Zainfekowane serwery DNS, czyli jak w praktyce wygląda atak typu pharming?
Bezpośrednim skutkiem ataku typu pharming jest przekierowanie zapytania w przeglądarce na fałszywą stronę internetową. Dzieje się to bez wabienia użytkownika do kliknięcia fałszywego linku. Hakerzy wykorzystują swoje umiejętności do ingerencji w funkcjonowanie serwerów, w wyniku czego użytkownik zostaje automatycznie przeniesiony na sfabrykowaną witrynę internetową. Jest to możliwe dzięki zmianie rekordów DNS na serwerze lub bezpośrednio na komputerze ofiary. Przekierowania zapytań internautów dokonuje się przede wszystkim na te dwa podstawowe sposoby.
Przekierowanie pod fałszywą stronę
Jak dokładnie przebiega pharming?
- Internauta otwiera przeglądarkę i wpisuje adres witryny www, na którą chce przejść.
- Haker, wykorzystując swoje możliwości, włamuje się do serwera DNS i modyfikuje IP przypisane do witryny, której URL został wpisany przez internautę.
- Serwer DNS uzyskuje zapytanie od użytkownika, przy czym posiada ono zmieniony adres IP.
- Kod IP jest fałszywy, gdyż wcześniej został edytowany w wyniku działań hakera.
- Serwer DNS przekierowuje użytkownika pod sfałszowany adres, mimo iż internauta jest przekonany, że znajduje się na zweryfikowanej stronie internetowej.
- Aby operacja się powiodła, fałszywa strona musi do złudzenia przypominać faktyczny adres, pod który chciał przejść użytkownik.
- Udany atak skutkuje tym, że niczego nieświadomy internauta zaczyna korzystać z tej strony, wpisując loginy i hasła, które są przechwytywane przez hakera.
Atak na serwer DNS. Przykłady działań typu phishing/pharming
Historycznych przykładów pharmingu na szeroką skalę jest wiele. W 2007 roku kilkadziesiąt organizacji amerykańskich i europejskich padło ofiarą ofensywy cyberprzestępców, których głównym celem było uzyskanie dostępu do loginów i haseł użytkowników. W 2019 roku pharming zastosowano w Wenezueli, torpedując tym samym inicjatywę humanitarną, z jaką wyszedł prezydent Juan Guadio. Hakerzy, w wyniku stworzenia fałszywej strony, weszli w posiadanie danych osobowych wolontariuszy. Przestępcy atakują także pojedynczych użytkowników, podsyłając wiadomość na konto skrzynki elektronicznej. Internauta, który otworzy zainfekowaną wiadomości e-mail z załącznikiem, staje się ofiarą działań hakerów.
Podmiana adresu strony internetowej. W jaki sposób cyberprzestępcy atakują metodą pharming?
Istnieją dwa podstawowe rodzaje ataków zaliczanych do typu pharming. Najpoważniejszym z nich jest zainfekowanie infrastruktury serwera DNS. Jest to specyficzne miejsce w sieci, które jest niezwykle istotne z punktu widzenia bezpieczeństwa. To dzięki temu serwerowi wysyłane zapytania mogą być tłumaczone z wygodnych dla użytkownika adresów URL na bardziej skomplikowane kody IP. W wyniku zmian w kontekście przeprowadzonej translacji, użytkownik po wpisaniu – wydawałoby się – poprawnego adresu URL, trafia ostatecznie na spreparowaną witrynę. Drugą możliwością jest atak ukierunkowany bezpośrednio na komputer ofiary. Polega on na tym, że cyberprzestępcy podmieniają niektóre pliki systemowe (plik hosts), wymuszając tym samym siłowe przekierowywanie do podejrzanych stron internetowych. Plik zagnieżdża się w systemie komputerowym, wcześniej jednak musi zostać wprowadzony do przejętego urządzenia, np. w wyniku infekcji złośliwego oprogramowania. Korzystając z niewiedzy ofiary, przestępcy wykradają dane logowania czy informacje o transakcji bankowej.
Złośliwe oprogramowanie typu pharming. Kiedy jesteśmy narażeni?
Ofiarą ataku typu pharming może stać się każdy, w tym nawet najlepiej zabezpieczeni użytkownicy. Oszuści mogą bowiem zainfekować serwer DNS, nie implementując złośliwego oprogramowania na komputer internauty. To szczególnie niebezpieczny rodzaj ataku, ponieważ jest problematyczny w wykrywaniu. Mimo zachowania wielu środków ostrożności, na czele ze stosowaniem skutecznych programów antywirusowych, hakerom może udać się wykraść nasze dane. Warto jednak mieć na uwadze, że fałszywe strony internetowe posiadają najczęściej niezabezpieczony adres URL, czyli ciąg znaków bez certyfikatu SSL. Aby upewnić się, czy nie mamy do czynienia z próbą przejścia do fałszywej strony, zerknijmy na pole adresowe w przeglądarce. Jeśli w adresie widnieje charakterystyczna kłódka (a przy niej znacznik HTTPS) – to znak, że połączenie do strony www jest szyfrowane.
Do jakich celów hakerzy wykorzystują tego typu atak?
Przeprowadzenie ataków pharming nie ma ani granic, ani usystematyzowanych zakresów czasowych. Ofensywa może nastąpić w każdym momencie, a głównym jej celem jest wydobycie poufnych informacji z twojego komputera. Kolejnym aspektem jest bezpieczeństwo – nawet, jeśli dbamy o ochronę naszego komputera, to w niektórych przypadkach może dojść do ataku na serwery DNS w sieci. Wówczas zabezpieczeni użytkownicy wciąż mogą zostać przekierowywani na fałszywą stronę internetową, która z pozoru wydaje się bezpieczna. Wśród innych celów działalności cyberprzestępców wykorzystujących phishing lub pharming, wyróżnić można:
- chęć dalszego zainfekowania komputera ofiary,
- zwiększenie ruchu na danej stronie internetowej,
- wykorzystanie ataku w celach politycznych,
- przejęcie tożsamości użytkowników,
- próbę zastraszania instytucji i osób w celu osiągnięcia korzyści.
Jak sprawdzić, czy doszło do infekcji typu pharming/phishing na komputerze?
Jeśli wykryłeś nieuprawnione działania na twoim komputerze, lub konta np. mediach społecznościowych, posiadają zmienione dane logowania, to prawdopodobnie stałeś się ofiarą cyberprzestępców. Kolejnym symptomem ofensywy typu pharming jest aktywność, która nie została podjęta przez użytkowników, m.in. dodatkowe posty w social mediach czy pojawienie się dziwnych programów na komputerze. Konieczne będzie także zalogowanie się na swój bank, by sprawdzić ostatnie transakcje na koncie. Może się okazać, że oszuści otrzymali dostęp do twojego konta, kierując cię w przeszłości na sfabrykowaną stronę instytucji bankowej. Ryzyko rośnie, jeśli program antywirusowy zaczął wykrywać coraz to więcej zagrożeń obecnych na urządzeniu.
Przeciwdziałanie pharmingowi – jak się bronić?
Wiedza użytkowników, dotycząca zagrożeń internetowych jest niezwykle ważna i pomaga w bezpieczniejszych eksploatowaniu sieci. Niestety, posiadanie określonych informacji nie oznacza automatycznie, że nasze funkcjonowanie w Internecie jest w pełni bezpieczne. Głównym elementem zabezpieczającym komputer i przeglądarki internetowe jest skuteczny antywirus, który będzie usuwał złośliwe oprogramowanie. To aplikacja, która zabezpieczy komputer przed coraz to nowszymi rodzajami malware. Co ważne, program antywirusowy nie jest niepodważalnym gwarantem bezpieczeństwa – jak wykazałem wcześniej, cyberprzestępcy mogą posuwać się do bardziej wysublimowanych metod przejmowania danych.
Zabezpiecz swoje konto i dane
Aby ograniczyć ryzyko hakerskiej aktywności typu phishing/pharming:
- unikaj podejrzanych stron www po prostu ich nie odwiedzając;
- nie klikaj w linki, które prowadzą na niezweryfikowane witryny (np. dostępne pod nieznanym adresem);
- każdorazowo sprawdzaj adres URL w poszukiwaniu błędów i literówek;
- dbaj o systematyczną aktualizację systemu, programów antywirusowych i przeglądarki internetowej;
- ignoruj podejrzane linki i nie otwieraj nieautoryzowanych załączników w e-mailach;
- sprawdzaj, czy różne instytucje np. banki, nie wydały alertów dla klientów dotyczących aktualnie trwających ataków pharmingowych;
- weryfikuj bezpieczeństwo strony internetowej sprawdzając, czy dana witryna posiada certyfikat bezpieczeństwa SSL;
- zastanów się nad sensownością korzystania z zaawansowanej usługi serwerów DNS, zyskując tym samym większe bezpieczeństwo informacji.
Podsumowanie
Stosowanie sieci na szeroką skalę sprawiło, że zagrożenia funkcjonujące w przestrzeni internetowej zaczęły prezentować się coraz wyraźniej. Hakerzy wykorzystują różne metody, w tym także zaawansowane techniki jak pharming, by przejmować dane użytkowników. Niekiedy nie mamy wpływu na to, czy zostaniemy przekierowani pod fałszywą stronę www – np. gdy dojdzie do włamania na serwer. W wielu przypadkach hakerzy zmieniają pliki bezpośrednio w urządzeniu ofiary, np. wysyłając wcześniej zainfekowane wiadomości e-mail, które ułatwiają implementację przestępczych rozwiązań.