Kā pasargāt sevi no Pharming uzbrukuma

Pharming uzbrukums ir sarežģīts mehānisms, kas apkrāpj lietotājus (galvenokārt), nepieprasot nekādu “muļķīgu kļūdu” no viņu puses. Atšifrēsim to un redzēsim, kā to aizsargāt.

Iedomājieties, ka piesakāties savā tiešsaistes bankā, izmantojot likumīgu tīmekļa adresi, un drīz pēc tam dzīvības ietaupījumi pazuda.

Tas ir viens no veidiem, kā izskatās farmācijas uzbrukumi.

Termins pharming ir cēlies no pikšķerēšanas (uzbrukuma) un lauksaimnieciskās darbības 🚜.

Vienkārši sakot; Pikšķerēšanai ir jānoklikšķina uz aizdomīgas saites (muļķīga kļūda), kas lejupielādē ļaunprātīgu programmatūru, radot finansiālus zaudējumus. Turklāt tas var būt e-pasta ziņojums no jūsu izpilddirektora ar lūgumu veikt steidzamu bankas pārvedumu „pārdevējam”, kas ir īpašas kategorijas krāpniecība, kas pazīstama kā vaļu medību pikšķerēšanas krāpšana.

Īsāk sakot, pikšķerēšanai ir nepieciešama jūsu aktīva līdzdalība, savukārt farmācijas uzbrukumiem (vairumā gadījumu) tā nav nepieciešama.

Kas ir Pharming Attack?

Mēs esam pieraduši pie domēna vārdiem (piemēram, pcdream.lt.com), savukārt mašīnas saprot IP adreses (piemēram, 24.237.29.182).

Kad mēs ierakstām tīmekļa adresi (domēna nosaukumu), tas (vaicājums) nonāk DNS serveros (interneta tālruņu grāmatā), kas to saskaņo ar saistīto IP adresi.

Līdz ar to domēna vārdiem ir maz sakara ar faktiskajām vietnēm.

Piemēram, ja DNS serveris ir saskaņojis domēna nosaukumu ar neautentisku IP adresi, kurā tiek mitināta viltota vietne, tas ir viss, ko jūs redzēsit neatkarīgi no ievadītā “pareizā” URL.

Pēc tam lietotājs bez piepūles nodod parodijai informāciju — karšu numurus, ID numurus, pieteikšanās akreditācijas datus utt., uzskatot, ka tā ir likumīga.

Tas padara farmācijas uzbrukumus bīstamus.

Tie ir ļoti labi izgatavoti, darbojas zagšus, un galalietotājs neko nezina, kamēr nesaņem no bankām ziņojumu “norakstītā summa”. Vai arī viņi iegūst savu personu identificējošo informāciju, kas tiek pārdota tumšajā tīmeklī.

  Aizsargājiet savu tiešsaistes privātumu, izmantojot Swiss ProtonVPN [Hands-On Testing and Review]

Detalizēti pārbaudīsim viņu darbības veidu.

Kā darbojas Pharming Attack?

Tie ir organizēti divos līmeņos ar lietotāju vai visu DNS serveri.

#1. Lietotāja līmeņa Pharming

Tas ir līdzīgi pikšķerēšanai, un jūs noklikšķiniet uz aizdomīgas saites, kas lejupielādē ļaunprātīgu programmatūru. Pēc tam resursdatora fails (pazīstams arī kā vietējie DNS ieraksti) tiek mainīts, un lietotājs apmeklē ļaunprātīgu oriģinālās vietnes izskatu.

Resursdatora fails ir standarta teksta fails, kas saglabā lokāli pārvaldītus DNS ierakstus un paver ceļu ātrākiem savienojumiem ar mazāku latentumu.

Parasti tīmekļa pārziņi izmanto resursdatora failu, lai pārbaudītu vietnes pirms faktisko DNS ierakstu modificēšanas domēna reģistratorā.

Tomēr ļaunprātīga programmatūra var rakstīt viltotus ierakstus jūsu datora vietējā resursdatora failā. Tādā veidā pat pareizā vietnes adrese kļūst par krāpniecisku vietni.

#2. Servera līmeņa Pharming

To, kas noticis ar vienu lietotāju, var izdarīt arī visam serverim.

To sauc par DNS saindēšanos vai DNS viltošanu vai DNS nolaupīšanu. Tā kā tas notiek servera līmenī, upuru var būt simtiem vai tūkstošiem, ja ne vairāk.

Mērķa DNS serverus parasti ir grūtāk kontrolēt, un tas ir riskants manevrs. Bet, ja tas tiek darīts, kibernoziedzniekiem atlīdzība ir eksponenciāli lielāka.

Servera līmeņa pharming tiek veikts, fiziski nolaupot DNS serverus vai MITM (man-in-the-middle) uzbrukumus.

Pēdējā ir programmatūras manipulācija starp lietotāju un DNS serveri vai starp DNS serveriem un autoritatīviem DNS vārdu serveriem.

Turklāt hakeris var mainīt jūsu WiFi maršrutētāja DNS iestatījumus, ko sauc par vietējo DNS pozicionēšanu.

Dokumentēti farmācijas uzbrukumi

Lietotāja līmeņa farmācijas uzbrukums bieži tiek paslēpts un par to gandrīz netiek ziņots. Pat ja tas ir reģistrēts, tas gandrīz nenonāk ziņu izdevumos.

Turklāt servera līmeņa uzbrukumu sarežģītība arī padara tos grūti pamanāmus, ja vien kibernoziedznieki neizdzēš ievērojamu naudas summu, ietekmējot daudzus cilvēkus.

Pārbaudīsim dažus, lai redzētu, kā tas darbojās reālajā dzīvē.

#1. Līknes finanses

Curve Finance ir kriptovalūtas apmaiņas platforma, kas cieta DNS saindēšanās uzbrukumā 2022. gada 9. augustā.

Mums ir īss ziņojums no @iwantmyname par notikušo. Īsumā: saindēšanās ar DNS kešatmiņu, nevis vārda servera kompromiss. https://t.co/PI1zR96M1Z

  Kas ir HBO Max un vai ir vērts par to maksāt?

Neviens tīmeklī nav 100% pasargāts no šiem uzbrukumiem. Notikušais STIPRI iesaka sākt pāriet uz ENS nevis DNS

— Curve Finance (@CurveFinance) 2022. gada 10. augusts

Aizkulisēs tas bija iwantmyname, Curve DNS nodrošinātājs, kas tika apdraudēts, nosūtot savus lietotājus uz parodiju un radot zaudējumus vairāk nekā 550 000 USD apmērā.

#2. MyEtherWallet

2018. gada 24. aprīlis dažiem MyEtherWallet lietotājiem bija melna diena. Šis ir bezmaksas atvērtā koda Ethereum (kriptovalūtas) maciņš ar izturīgiem drošības protokoliem.

Neskatoties uz visu labo, pieredze atstāja rūgtu garšu tās lietotāju mutē ar 17 miljonu dolāru zādzību.

Tehniski BGP nolaupīšana tika pārtraukta Amazon Route 53 DNS pakalpojumā, ko izmantoja MyEtherWallet, kas dažus tā lietotājus novirzīja uz pikšķerēšanas kopiju. Viņi ievadīja savu pieteikšanās informāciju, kas ļāva noziedzniekiem piekļūt saviem kriptovalūtas makiem, izraisot pēkšņu finanšu aizplūšanu.

Tomēr acīmredzama lietotāja kļūda bija pārlūkprogrammas SSL brīdinājuma ignorēšana.

MyEtherWallet oficiālais paziņojums par krāpniecību.

#3. Galvenās bankas

Vēl 2007. gadā gandrīz 50 banku lietotāji tika pakļauti farmācijas uzbrukumiem, kuru rezultātā tika nodarīti nezināmi zaudējumi.

Šis klasiskais DNS kompromiss novirzīja lietotājus uz ļaunprātīgām vietnēm pat tad, kad viņi ievadīja oficiālos URL.

Tomēr viss sākās ar to, ka upuri apmeklēja ļaunprātīgu vietni, kas lejupielādēja Trojas zirgu Windows ievainojamības dēļ (tagad ir izlabota).

Pēc tam vīruss lūdza lietotājus izslēgt antivīrusu, ugunsmūrus utt.

Pēc tam lietotāji tika nosūtīti uz vadošo finanšu iestāžu parodiju vietnēm visā ASV, Eiropā un Āzijas un Klusā okeāna reģionā. Tādu pasākumu ir vairāk, taču tie darbojas līdzīgi.

Pharming pazīmes

Pharming būtībā nodrošina pilnīgu kontroli pār jūsu inficētajiem tiešsaistes kontiem draudu izpildītājam. Tas var būt jūsu Facebook profils, tiešsaistes bankas konts utt.

Ja esat upuris, jūs redzēsit neuzskaitītas darbības. Tā var būt ziņa, darījums vai smieklīgas izmaiņas jūsu profila attēlā.

Galu galā jums vajadzētu sākt ar līdzekli, ja ir kaut kas tāds, ko neatceraties darījis.

Aizsardzība pret izplatību

Atkarībā no uzbrukuma veida (lietotāja vai servera līmenis), kuram esat pakļauts, ir daži aizsardzības veidi.

Tā kā servera līmeņa ieviešana nav šī raksta darbības joma, mēs pievērsīsimies tam, ko varat darīt kā galalietotājs.

  17 veidi, kā novērst, ka Netflix nedarbojas Virgin Media

#1. Izmantojiet Premium Antivirus

Labs antivīruss ir puse no paveiktā darba. Tas palīdz jums būt aizsargātam pret lielāko daļu negodīgu saišu, ļaunprātīgu lejupielāžu un krāpniecisku vietņu. Lai gan jūsu datoram ir bezmaksas antivīruss, maksas antivīrusi parasti darbojas labāk.

#2. Iestatiet spēcīgu maršrutētāja paroli

WiFi maršrutētāji var darboties arī kā mini DNS serveri. Līdz ar to viņu drošībai ir izšķiroša nozīme, un tas sākas ar uzņēmuma piegādāto paroļu likvidēšanu.

#3. Izvēlieties cienījamu ISP

Lielākajai daļai no mums interneta pakalpojumu sniedzēji darbojas arī kā DNS serveri. Un, pamatojoties uz manu pieredzi, ISP DNS sniedz nelielu ātruma palielinājumu salīdzinājumā ar bezmaksas publiskajiem DNS pakalpojumiem, piemēram, Google publisko DNS. Tomēr ir svarīgi izvēlēties labāko pieejamo ISP ne tikai ātrumam, bet arī vispārējai drošībai.

#4. Izmantojiet pielāgotu DNS serveri

Pārslēgties uz citu DNS serveri nav grūti vai neparasti. Varat izmantot bezmaksas publisko DNS no OpenDNS, Cloudflare, Google utt. Tomēr svarīgi ir tas, ka DNS nodrošinātājs var redzēt jūsu tīmekļa aktivitātes. Tāpēc jums vajadzētu būt modram, kam piešķirat piekļuvi savām tīmekļa darbībām.

#5. Izmantojiet VPN ar privāto DNS

Izmantojot VPN, tiek izveidoti daudzi drošības slāņi, tostarp pielāgotais DNS. Tas ne tikai pasargā jūs no kibernoziedzniekiem, bet arī no ISP vai valdības uzraudzības. Tomēr jums vajadzētu pārbaudīt, vai VPN ir jābūt šifrētiem DNS serveriem, lai nodrošinātu vislabāko iespējamo aizsardzību.

#6. Uzturiet labu kiberhigiēnu

Klikšķināšana uz negodīgām saitēm vai reklāmām, kas ir pārāk labas, lai būtu patiesas, ir viens no galvenajiem krāpniecības veidiem. Lai gan labs antivīruss dara savu brīdinājumu, neviens kiberdrošības rīks negarantē 100% panākumu līmeni. Visbeidzot, uz jūsu pleciem gulstas atbildība par sevis aizsardzību.

Piemēram, jebkura aizdomīga saite ir jāielīmē meklētājprogrammās, lai redzētu avotu. Turklāt, pirms uzticaties kādai vietnei, mums ir jānodrošina HTTPS (to URL joslā norāda piekaramā atslēga).

Turklāt periodiska DNS skalošana noteikti palīdzēs.

Uzmanies!

Pharming uzbrukumi ir veci, taču tas, kā tas darbojas, ir pārāk smalks, lai precīzi noteiktu. Šādu uzbrukumu galvenais iemesls ir vietējā DNS nedrošība, kas netiek pilnībā novērsta.

Līdz ar to tas ne vienmēr ir atkarīgs no jums. Tomēr uzskaitītie aizsardzības līdzekļi palīdzēs, jo īpaši izmantojot VPN ar šifrētu DNS, piemēram, ProtonVPN.

Lai gan farmācijas pamatā ir DNS, vai zināt, ka krāpniecība var būt balstīta arī uz Bluetooth? Pārejiet uz šo bluesnarfing 101, lai pārbaudītu, kā tas tiek darīts un kā sevi pasargāt.