Vad är Pharming och hur kan det förebyggas?
I denna dag och ålder blir den blygbara datoranvändaren sällan. Med malware utbildning utbredd på Internet, är människor inte så lätt lurade av bluff e-postmeddelanden hävdar att de har vunnit miljontals dollar.
Det betyder inte att hackare har blivit något mindre bestämda. det betyder bara att de har fått jobba smartare. Från att spionera på företagsinfrastruktur och skicka e-post till anställda från chefsadressen, att bortföra användarnas Facebook-konton och meddelandekamrater är missbruk av förtroende den metod som valts för att hacka dessa dagar.
En metod som de har upp på ärmen omdirigerar din dator från en legitim URL till en falsk kopia av den där de kan få inloggningsuppgifter när du anger din information på den falska webbplatsen. Detta är känt som "pharming", och det kan vara ganska läskigt i sina metoder. Här kommer vi att förklara vad pharming är och hur det fungerar?
Vad är Pharming?
I själva verket är pharming en tvåstegsprocess som kombinerar två attackvektorer; DNS-förgiftning och phishing. Genom att använda båda styrkorna skapar det en mycket trovärdig fälla för att människor ska falla in. Medan phishing fungerar genom att släppa bete och hoppas att folk tar upp det, kan pharming ta över hela DNS-servrar och vidarebefordra människor till falska webbplatser.
Så för att kunna svara på "vad är pharming?" Måste vi först analysera de två komponenterna den bygger på och se hur de interagerar med varandra för att bilda den övergripande pharming-attacken.
DNS-förgiftning
Du kan berätta hur häftigt denna attack vektor är med namnet ensam! DNS-förgiftning fungerar genom att kapra en DNS-sökning. När du anger en webbadress (t.ex. www.facebook.com) måste datorn konvertera den till en IP-adress. Detta beror på att datorer inte förstår vad "Facebook" är! Webbadresser finns där för att underlätta för oss människor att komma ihåg adresserna på webbplatser. Datorer vet emellertid vad en IP-adress är. Så för att kunna prata med Facebook konverterar en dator URL-adressen till en IP-adress.
De gör det genom att fråga en DNS-server, som fungerar som en adressbok för webbadresser och IP-adresser. De använder DNS-servern för att hitta URL-adressen (www.facebook.com -> 157.240.1.35) och sedan använda den för att prata med Facebook-servrarna. När en dator har upptäckt IP-adress för en webbadress kan den notera adressen i en cache. Det här är så att det kan undvika att slösa tid på att leta upp samma IP-adress om och om igen. I det här exemplet kommer det att noteras att www.facebook.com går till 157.240.1.35 i sin cache.
DNS-förgiftning fungerar på två sätt: antingen genom att gå in i en cache på en enskild dator och ändra IP-adresserna för att rikta sig till skadliga webbplatser eller genom att infektera DNS-servrarna själva så att datorer som utför uppslaget får ett "infekterat" resultat. I båda fallen nästa gång användaren skriver "www.facebook.com" i sin webbläsare lägger de i stället in den "förgiftade" falska IP-adressen istället.
phishing
DNS-förgiftning tillåter en angripare att rikta användare från en legitim webbplats till en skadlig, trots att användaren har skrivit adressen korrekt. Detta är bara steg ett, dock; Det är inte så mycket att helt enkelt rikta användaren till en annan webbplats! I kombination med förgiftningen kan hackare använda phishing för att göra en enkel omdirigering till en vinst.
I vårt exempel omdirigerar ombudet användaren från Facebook till en webbplats som angriparen väljer. Det finns många alternativ som angriparen kan välja, men i en pharming-attack väljer angriparen en webbplats som de tidigare har ställt in för att se ut som Facebook. När användaren skriver www.facebook.com i sin webbläsare omdirigerar DNS-förgiftningen dem till hackarens falska Facebook.
Nu när användaren är på den falska webbplatsen kommer den då att uppmana användaren att få sina Facebook-inloggningsuppgifter. Tror att de är på den verkliga Facebook-webbplatsen, kommer användaren in i sina inloggningsuppgifter och skickar sin information till hackarna och slutar pharming-attacken.
Vad kan göras
För det första är det användbart att veta att DNS-servrar normalt ägs av Internetleverantören som du använder. För att undvika pharming-attacker mot DNS-servrar, se till att du väljer en pålitlig Internetleverantör. Bra Internetleverantörer kommer att veta om pharming och kommer att ha motåtgärder för att skydda sina servrar från att bli förgiftad.
Men vad är pharmers svaghet när det gäller att infektera din egen dators filer? Först, se till att du har en bra antivirus- eller anti-malware-lösning installerad. Dessa ska förhoppningsvis kunna upptäcka en redigering till din dators adress cachefil och varna dig innan någon skada är klar.
Även utan antivirus kan du dock stoppa en pharming attack genom att använda din wits. När du öppnar en populär eller säker webbplats, till exempel sociala medier eller bankwebbplatser, ser du ett hänglås i adressfältet och "HTTPS" i början av webbadressen. Det innebär att webbplatsen har validerats av en auktoriserad tredje part för att vara vad den hävdar att vara. Som sådan har den fått ett certifikat, och dess kommunikation har krypterats.
Självklart, om en pharming-attack har omdirigerat dig till en spoofwebbplats, borde den webbplatsen inte ha ett certifikat som identifierar det som äkta. Även om webbadressen ser ut som den verkliga saken är synen på ett saknat certifikat en död giveaway. När du loggar in på en populär webbplats, kontrollera att HTTPS-certifikatet är närvarande. Om du har märkt att intyget plötsligt "har gått saknas", kan det hända att någonting kan gå!
Fooling Pharming
Med flera steg för att skapa en komplicerad angreppsvektor kan pharming vara lite skrämmande. Nu vet du detaljerna om vad pharming är och hur det fungerar. Ännu bättre, om du är skarp och använder en säker Internetleverantör, behöver du inte oroa dig för att du faller offer för pharming.
Har du eller någon du vet någonsin blivit lurad av en realistisk webbsida? Låt oss veta nedan.