Šta je zapravo „pharming“ napad?
Pharming predstavlja sofisticiranu metodu prevare koja korisnike dovodi u zabludu bez njihovog direktnog učešća ili „glupe greške“. Hajde da razjasnimo ovu taktiku i naučimo kako da se zaštitimo.
Zamislite sledeću situaciju: pristupate svom internet bankarstvu putem validne veb adrese, a nedugo zatim otkrijete da su vaše životne ušteđevine nestale.
Upravo tako, u suštini, izgledaju pharming napadi.
Termin „pharming“ je nastao kombinovanjem reči „phishing“ (pecanje) i „farming“ (poljoprivreda) 🚜.
Pojednostavljeno rečeno, phishing zahteva da kliknete na sumnjivu vezu (što je „glupa greška“), što dovodi do preuzimanja zlonamernog softvera i finansijskih gubitaka. Takođe, to može biti imejl od vašeg „direktora“ sa zahtevom za hitan bankarski transfer „dobavljaču“, što je specifična vrsta prevare poznata kao „spear phishing“.
Ukratko, phishing zahteva vaše aktivno delovanje, dok pharming napadi, u većini slučajeva, to ne zahtevaju.
Šta je Pharming Napad?
Mi smo navikli na nazive domena (npr. primer.com), dok računari razumeju IP adrese (npr. 192.168.1.1).
Kada unesemo veb adresu (naziv domena), ona se šalje DNS serverima (nešto kao internet telefonski imenik), koji je uparuju sa odgovarajućom IP adresom.
Dakle, nazivi domena nemaju direktnu vezu sa stvarnim veb lokacijama.
Na primer, ako DNS server upari naziv domena sa lažnom IP adresom na kojoj se nalazi falsifikovana veb lokacija – to je ono što ćete videti, bez obzira na ispravan URL koji ste uneli.
Potom, korisnik nesvesno otkriva svoje podatke – brojeve kartica, identifikacione brojeve, akreditive za prijavu itd. – lažnoj veb lokaciji, verujući da je ona legitimna.
Ovo čini pharming napade veoma opasnim.
Oni su veoma dobro izvedeni, deluju prikriveno, i korisnik postaje svestan prevare tek kada dobije obaveštenje od banke o sumnjivoj transakciji ili kada svoje lične informacije pronađe na dark webu.
Hajde da detaljnije analiziramo njihov način funkcionisanja.
Kako funkcioniše Pharming Napad?
Pharming napadi se organizuju na dva nivoa, ciljajući ili pojedinačne korisnike ili cele DNS servere.
#1. Pharming na nivou korisnika
Ovaj pristup je sličan phishingu, gde kliknete na sumnjivu vezu koja preuzima malver. Nakon toga, host fajl (takođe poznat kao lokalni DNS zapisi) se modifikuje, i korisnik biva preusmeren na zlonamernu kopiju originalne veb lokacije.
Host fajl je standardni tekstualni dokument koji skladišti DNS zapise kojima se upravlja lokalno, omogućavajući brže veze i manja kašnjenja.
Webmasteri obično koriste host fajl za testiranje veb lokacija pre nego što promene prave DNS zapise kod registratora domena.
Međutim, zlonamerni softver može da upiše lažne unose u lokalni host fajl vašeg računara. Na taj način, čak i ispravna adresa veb lokacije vas vodi na lažnu veb lokaciju.
#2. Pharming na nivou servera
Ono što se dešava jednom korisniku može se desiti i celom serveru.
Ovo se naziva DNS trovanje ili DNS lažiranje ili otmica DNS-a. Pošto se ovo dešava na nivou servera, žrtve mogu biti stotine ili hiljade, pa i više.
Ciljanje DNS servera je generalno teže i rizičnije. Međutim, ako se to uspe, nagrade za sajber kriminalce su eksponencijalno veće.
Pharming na nivou servera se izvodi fizičkom otmicom DNS servera ili „man-in-the-middle“ (MITM) napadima.
MITM napad je softverska manipulacija između korisnika i DNS servera, ili između DNS servera i autoritativnih DNS servera imena.
Takođe, haker bi mogao da izmeni DNS postavke vašeg Wi-Fi rutera, što je poznato kao lokalno DNS preusmeravanje.
Dokumentovani Pharming Napadi
Pharming napadi na nivou korisnika često ostaju skriveni i retko se prijavljuju. Čak i kada se registruju, o tome se retko piše u medijima.
Pored toga, sofisticiranost napada na nivou servera takođe ih čini teškim za otkrivanje, osim ako sajber kriminalci ne ukradu značajne sume novca, što utiče na veliki broj ljudi.
Hajde da pogledamo neke primere kako su ovi napadi funkcionisali u stvarnosti.
#1. Curve Finance
Curve Finance, platforma za razmenu kriptovaluta, pretrpela je napad DNS trovanja 9. avgusta 2022. godine.
Imamo kratak izveštaj od @ivantminame o tome šta se desilo. Ukratko: trovanje DNS keša, a ne kompromitovanje servera imena. https://t.co/PY1zR96M1Z
Niko na vebu nije 100% siguran od ovih napada. Ono što se desilo SNAŽNO sugeriše da počnete da prelazite na ENS umesto na DNS
— Curve Finance (@CurveFinance) 10. avgust 2022
Iza svega je stajao ivantminame, Curveov DNS provajder, čiji sistem je bio kompromitovan, zbog čega su korisnici preusmereni na lažnu veb lokaciju, što je dovelo do gubitaka od preko 550 hiljada dolara.
#2. MyEtherWallet
24. april 2018. bio je crn dan za neke korisnike MyEtherWallet-a. Ovo je besplatan Ethereum (kriptovaluta) novčanik otvorenog koda sa pouzdanim bezbednosnim protokolima.
Uprkos svim dobrim karakteristikama, ovo iskustvo je ostavilo gorak ukus kod korisnika zbog neto krađe od 17 miliona dolara.
Tehnički, otmica BGP-a je izvršena na Amazon Route 53 DNS servisu, koji koristi MyEtherWallet, preusmeravajući korisnike na lažnu repliku. Oni su uneli svoje podatke za prijavu, što je omogućilo kriminalcima da pristupe njihovim novčanicima kriptovaluta, izazivajući nagli finansijski gubitak.
Međutim, očigledna greška korisnika je ignorisanje SSL upozorenja u pretraživaču.
Zvanično saopštenje MyEtherWallet-a u vezi sa prevarom.
#3. Velike Banke
Još 2007. godine, korisnici skoro 50 banaka bili su meta pharming napada, što je rezultiralo nepoznatim iznosom gubitaka.
Ovaj klasični DNS kompromis je preusmeravao korisnike na zlonamerne veb lokacije čak i kada su ukucavali zvanične URL adrese.
Međutim, sve je počelo tako što su žrtve posetile zlonamernu veb lokaciju koja je preuzela trojanca zbog ranjivosti Windowsa (koja je sada zakrpljena).
Nakon toga, virus je tražio od korisnika da isključe antivirus, zaštitne zidove, itd.
Korisnici su zatim preusmereni na falsifikovane veb stranice velikih finansijskih institucija širom SAD, Evrope i Azijsko-pacifičkog regiona. Postoji još sličnih događaja, ali svi oni funkcionišu na sličan način.
Znaci Pharming-a
Pharming, u suštini, daje potpunu kontrolu nad vašim inficiranim online nalozima. To može biti vaš Facebook profil, online bankovni račun itd.
Ako ste žrtva, videćete neovlašćene aktivnosti. To može biti objava, transakcija ili samo čudna promena vaše profilne slike.
Ukoliko primetite bilo šta neobično što se ne sećate da ste sami radili, trebalo bi da reagujete.
Zaštita od Pharming-a
U zavisnosti od vrste napada (nivo korisnika ili servera) kojem ste izloženi, postoji nekoliko načina da se zaštitite.
Pošto implementacija na nivou servera nije tema ovog članka, fokusiraćemo se na ono što možete da uradite kao krajnji korisnik.
#1. Koristite Premium Antivirus
Dobar antivirus je pola posla. On vam pomaže da ostanete zaštićeni od većine lažnih linkova, zlonamernih preuzimanja i prevarantskih veb lokacija. Iako postoje besplatni antivirusi za vaš računar, plaćeni programi obično rade bolje.
#2. Postavite jaku lozinku za ruter
Wi-Fi ruteri mogu da funkcionišu i kao mali DNS serveri. Zato je njihova bezbednost od ključnog značaja, a ona počinje sa ukidanjem podrazumevane lozinke koju daje kompanija.
#3. Izaberite pouzdanog ISP-a
Za većinu nas, provajderi internet usluga (ISP) takođe služe kao DNS serveri. Prema mom iskustvu, DNS ISP-a pruža blago povećanje brzine u poređenju sa besplatnim javnim DNS uslugama kao što je Google Public DNS. Međutim, važno je da izaberete najboljeg dostupnog ISP-a, ne samo zbog brzine, već i zbog celokupne bezbednosti.
#4. Koristite Prilagođeni DNS Server
Prebacivanje na drugi DNS server nije teško ili neobično. Možete koristiti besplatan javni DNS od OpenDNS-a, Cloudflare-a, Google-a itd. Međutim, važno je znati da DNS provajder može da vidi vašu internet aktivnost. Zato treba da budete oprezni kome dajete pristup svojim internet aktivnostima.
#5. Koristite VPN sa privatnim DNS-om
Korišćenje VPN-a uvodi više slojeva bezbednosti, uključujući njihov prilagođeni DNS. Ovo vas ne štiti samo od sajber kriminalaca, već i od nadzora ISP-a ili vlade. Ipak, trebalo bi da proverite da li vaš VPN ima šifrovane DNS servere kako biste postigli najbolju zaštitu.
#6. Održavajte dobru sajber higijenu
Kliktanje na lažne linkove ili oglase koji zvuče predobro da bi bili istiniti je jedan od osnovnih načina da budete prevareni. Iako dobar antivirus radi svoj posao i upozorava vas, nijedan alat za sajber bezbednost ne garantuje 100% uspeh. Na kraju, odgovornost za vašu zaštitu leži na vama.
Na primer, trebalo bi da kopirate bilo koji sumnjiv link u pretraživač da biste videli izvor. Takođe, proverite da li veb lokacija koristi HTTPS (označen katancem u URL adresnoj liniji) pre nego što joj poverujete.
Pored toga, periodično ispiranje DNS-a će sigurno pomoći.
Oprez!
Pharming napadi su stari, ali način na koji funkcionišu je suviše suptilan za otkrivanje. Osnovni uzrok ovakvih napada je inherentna DNS nesigurnost koja nije u potpunosti rešena.
Zato, ovo nije uvek do vas. Ipak, navedene mere zaštite će vam pomoći, posebno korišćenje VPN-a sa šifrovanim DNS-om kao što je ProtonVPN.
Iako je pharming zasnovan na DNS-u, da li ste znali da prevare mogu biti zasnovane i na Bluetooth-u? Pogledajte ovaj vodič o bluesnarfingu da biste saznali kako se to radi i kako da se zaštitite.