Pharming este un tip de atac informatic care implica redirectionarea traficului web destinat unui site web legitim catre un site fals creat de atacatori care impersoneaza site-ul legitim cu scopul de a fura credentialele de login, informatii bancare si alte date personale despre victima.
Pentru a putea accesa o pagina web precum www.facebook.com, noi scriem in bara de adrese respectivul URL. In spate insa au loc cateva procese care fac posibila afisarea in browser-ul nostru logo-ul Facebook, campurile de login si butoanele specifice. Intr-un atac de pharming atacatorii manipuleaza foarte discret respectivele procese si ne vor trimite traficul web catre un site pus la punct de ei, si nu catre site-ul real. Site-urile false sunt atat de bine executate incat cei mai multi dintre noi nu sesizam nicio diferenta notabila, ceea ce sporeste sansele de succes alte atacului. Site-ul atacatorilor este o posibila sursa de malwaere si poate sa incarce cod malitios pe sistemul nostru sau in cele mai multe cazuri, este un site de phishing, care vine si “recolteaza” credentialele victimelor. Aceasta ultima activitate da si numele atacului, o combinatie intre “phishing” si “farming”.
Atacatorii de obicei impersoneaza site-uri des folosite de catre victime cum sunt site-urile institutiilor bancare si site-urile de comert online. Scopul site-ului de phishing este de a colecta credentialele de conectare atunci cand victima se logheaza in contul lor. O masura de a limita impactul atacului este sa nu ne salvam datele de card in cont. Intr-adevar, introducerea lor manuala de fiecare data cand cumparam ceva, mai ales daca facem des acest lucru, poate fi un motiv suficient de convingator ca sa permitem salvarea datelor in cont pentru autocompletarea lor la nevoie, daca atacatorul reuseste sa ne compromita contul, atunci va putea face cumparaturi in numele nostru. Autentificarea MFA (cod OTP pe SMS, notificare push) poate fi folosita pentru a impune un alt doilea factor de autentificare, pe langa parola cu scopul de a reduce sansele de reusita ale atacului. Astfel, chiar daca credentialele noastre ajung in mainile atacatorilor, nu vor putea fi folosite pentru accesarea contului, intrucat acesta este securizat cu un al doilea nivel de autentificare.
Cum putem sa ne dam seama daca am fost victimele unui atac de pharming:
- activitatea neobisnuita in conturile noastre: resetari de parole, postari pe conturile sociale pe care nu le recunoastem
- plati nerecunoscute facute cu carduri de credit, debit sau din conturi PayPal
- programe nou-aparute pe sistem care nu au fost instalate de noi
Atacurile de tip pharming reusesc sa redirectioneze victima catre site-ul bogus manipuland serviciul numit DNS (Domain Name System). Acest protocol este cel care ne ajuta sa folosim Internetul intr-un mod foarte facil si convenabil pentru noi. DNS-ul functioneaza ca o agenda telefonica, luam un nume precum www.facebook.com si cautand ce adresa numerica are acel nume (adresa IP): 185.60.218.35. Noi ca oameni folosim nume, ne este mai usor sa le tinem minte, insa Internetul foloseste adrese IP ca sa stie unde sa trimita traficul. Si DNS-ul este veriga de legatura atat de importanta. Daca cineva reuseste sa manipuleze modul in care DNS leaga numele de adresele IP, efectele pot fi devastatoare. Atactorii reusesc sa implementeze cu succes mecanismul de redirectionare prin:
- injectarea unui malware pe sistemul victimei care sa adauge intrari de tip nume -> adresa IP in fisierul hosts. Inainte de a folosi protocolul DNS, sistemul face o cautare locala in fisierul hosts pentru a vedea daca stie deja care este adresa IP a unei resurse care se vrea accesata. Daca respectiva intrare exista, sistemul o va folosi. Daca nu, sistemul apeleaza la DNS. Daca atacatorul reuseste sa adauge intrari sau sa modifice intrarile existente in folosul sau, atunci victima va fi trimisa spre site-ul malitios, in loc de site-ul real. In acest caz ajuta o solutie de antimalware de incredere cum este Cisco Secure Endpoint. Cisco Secure Endpoint ofera protectie impotriva unui spectru larg de atacuri informative la nivel de dispozitiv al utilizatorului si monitorizeaza continuu activitatea de pe sistem, detectand in timp real incercarile de executare a fost malware-ului si incercarile de modificare a fisierului hosts.
- compromiterea serverului de DNS folosit de victima. Dimensiunea atacului in acest caz este una mult mai mare intrucat suntem multi cei care folosim un serviciu public de DNS care sa ne rezolve numele la adrese IP. Serverele publice adesea nu sunt protejate in mod corespunzator si vulnerabilitatile software-ului de dedesubtul serviciului de DNS pot fi exploatate de atacatori in favoarea lor. Cea mai buna metoda de protectie in acest caz este folosirea unui serviciu precum Cisco Umbrella. Cisco Umbrella este o solutie 100% cloud care blocheaza din fasa domeniile DNS si adresele IP malitioase chiar inainte ca persoana vizata sa poate stabili o conexiune. Tot ceea ce trebuie facut este ca traficul de DNS sa fie trimis catre serverele Cisco Umbrella. Setup-ul simplu si lipsa de hardware/softare aditional de instalat si apoi de intretinut (upgrade, update, patching) inseamna ca in cateva minute vom putea fi aparati de ransomware, phishing, pharming si alte amenintari informatice.
Mihai Dumitrascu, Sr Systems Engineer
