Фармінг-атака — це складний механізм, який обманює користувачів (переважно), не потребуючи жодної «дурної помилки» з їхнього боку. Давайте розшифруємо це та подивимося, як захистити.
Уявіть собі, що ви входите в систему онлайн-банкінгу, використовуючи законну веб-адресу, і незабаром після цього ваші заощадження зникають.
Ось один із способів фармінгових атак.
Термін фармінг походить від фішингу (атаки) та фармінгу 🚜.
Простіше кажучи; Для фішингу потрібно натиснути підозріле посилання (дурна помилка), що завантажує зловмисне програмне забезпечення, що призводить до фінансових втрат. Крім того, це може бути електронний лист від вашого «генерального директора» з проханням здійснити «терміновий» банківський переказ «постачальнику», особлива категорія шахрайства, відома як китоподібне фішингове шахрайство.
У двох словах, фішинг потребує вашої активної участі, а фармінгові атаки (у більшості випадків) ні.
Що таке Pharming Attack?
Ми звикли до доменних імен (наприклад, techukraine.net.com), а машини розуміють IP-адреси (наприклад, 24.237.29.182).
Коли ми вводимо веб-адресу (доменне ім’я), вона (запит) надходить на сервери DNS (телефонну книгу Інтернету), які зіставляють її з пов’язаною IP-адресою.
Отже, доменні імена мають мало спільного з реальними веб-сайтами.
Наприклад, якщо DNS-сервер зіставив доменне ім’я з неавтентичною IP-адресою, на якій розміщено підроблений веб-сайт, це все, що ви побачите, незалежно від того, яку «правильну» URL-адресу ви ввели.
Далі користувач без особливих зусиль передає пародії деталі — номери карток, ідентифікаційні номери, облікові дані тощо — вважаючи це законним.
Це робить фармінгові атаки небезпечними.
Вони надзвичайно добре зроблені, працюють непомітно, і кінцевий користувач нічого не знає, доки не отримає від своїх банків повідомлення про списання суми. Або вони продають свою особисту інформацію в темній мережі.
Давайте детально перевіримо їхній спосіб дії.
Як працює Pharming Attack?
Вони організовані на двох рівнях: користувач або цілий сервер DNS.
#1. Pharming на рівні користувача
Це схоже на фішинг, і ви натискаєте підозріле посилання, яке завантажує зловмисне програмне забезпечення. Згодом файл хоста (він же локальні DNS-записи) змінюється, і користувач відвідує шкідливий схожий на оригінальний веб-сайт.
Файл хосту — це стандартний текстовий файл, який зберігає локально керовані записи DNS і прокладає шлях для швидших з’єднань із меншою затримкою.
Як правило, веб-майстри використовують файл хосту для тестування веб-сайтів перед зміною фактичних записів DNS у реєстратора домену.
Однак зловмисне програмне забезпечення може записати фальшиві записи в локальний хост-файл вашого комп’ютера. Таким чином, навіть правильна адреса веб-сайту виводить на шахрайський веб-сайт.
#2. Pharming на рівні сервера
Те, що сталося з одним користувачем, також може бути зроблено з усім сервером.
Це називається отруєнням DNS, підробкою DNS або викраденням DNS. Оскільки це відбувається на рівні сервера, жертв можуть бути сотні чи тисячі, якщо не більше.
Цільові DNS-сервери, як правило, важче контролювати, і це ризикований маневр. Але якщо це буде зроблено, винагорода для кіберзлочинців буде експоненціально вищою.
Фармінг на рівні сервера здійснюється шляхом фізичного викрадення DNS-серверів або атак “людина посередині” (MITM).
Останнє є програмним маніпулюванням між користувачем і сервером DNS або між серверами DNS і авторитетними серверами імен DNS.
Крім того, хакер може змінити налаштування DNS вашого маршрутизатора WiFi, що називається локальним DNS-позиціонуванням.
Задокументовані атаки на Pharming
Фармінг-атака на рівні користувача часто залишається прихованою та про неї майже не повідомляється. Навіть якщо його зареєструвати, це навряд чи потрапить у новинні видання.
Крім того, складність атак на рівні сервера також робить їх важко помітити, якщо тільки кіберзлочинці не знищать значну суму грошей, що вплине на багатьох людей.
Давайте перевіримо кілька, щоб побачити, як це працювало в реальному житті.
#1. Крива Фінанси
Curve Finance — це платформа обміну криптовалютами, яка зазнала атаки з отруєнням DNS 9 серпня 2022 року.
У нас є короткий звіт від @iwantmyname про те, що сталося. Коротко: отруєння кешу DNS, а не компрометація сервера імен.https://t.co/PI1zR96M1Z
Ніхто в Інтернеті не застрахований від цих атак на 100%. Те, що сталося, НАСІЛЬНО пропонує почати перехід на ENS замість DNS
— Curve Finance (@CurveFinance) 10 серпня 2022 р
За лаштунками це був iwantmyname, DNS-провайдер Curve, який був скомпрометований, посилаючи своїх користувачів на пародію та спричиняючи збитки понад 550 тисяч доларів.
#2. MyEtherWallet
24 квітня 2018 року стало чорним днем для деяких користувачів MyEtherWallet. Це безкоштовний гаманець Ethereum (криптовалюта) з відкритим кодом і надійними протоколами безпеки.
Незважаючи на всі переваги, цей досвід залишив гіркий присмак у роті користувачів через чисту крадіжку в 17 мільйонів доларів.
Технічно викрадення BGP було здійснено на DNS-службі Amazon Route 53, яку використовує MyEtherWallet, яка перенаправляла деяких своїх користувачів на фішингову репліку. Вони ввели свої дані для входу, що дало зловмисникам доступ до їхніх криптовалютних гаманців, що призвело до різкого фінансового витоку.
Однак кричущою помилкою з боку користувача було ігнорування попередження SSL браузера.
Офіційна заява MyEtherWallet щодо шахрайства.
#3. Великі банки
Ще в 2007 році користувачі майже 50 банків стали жертвами фармінгових атак, які призвели до збитків невідомої суми.
Цей класичний компроміс DNS спрямовував користувачів на шкідливі веб-сайти, навіть якщо вони вводили офіційні URL-адреси.
Однак все почалося з того, що жертви відвідали шкідливий веб-сайт, який завантажив троян через уразливість Windows (тепер виправлено).
Згодом вірус просив користувачів вимкнути антивірус, брандмауери тощо.
Після цього користувачів направляли на сайти-пародії провідних фінансових установ США, Європи та Азіатсько-Тихоокеанського регіону. Таких подій є більше, але вони діють схожим чином.
Ознаки фармінгу
Pharming фактично надає повний контроль над вашими зараженими обліковими записами в Інтернеті зловмиснику. Це може бути ваш профіль у Facebook, рахунок онлайн-банкінгу тощо.
Якщо ви стали жертвою, ви побачите невраховану діяльність. Це може бути публікація, транзакція або навіть кумедна зміна зображення профілю.
Зрештою, ви повинні почати з ліків, якщо є щось, чого ви не пам’ятаєте.
Захист від фармінгу
Залежно від типу атаки (на рівні користувача чи сервера), якій ви піддалися, є кілька способів захисту.
Оскільки впровадження на рівні сервера не є предметом цієї статті, ми зосередимося на тому, що ви можете зробити як кінцевий користувач.
#1. Використовуйте преміальний антивірус
Хороший антивірус – половина зробленої роботи. Це допоможе вам бути захищеним від більшості шахрайських посилань, шкідливих завантажень і шахрайських веб-сайтів. Хоча для вашого ПК є безкоштовний антивірус, платні, як правило, працюють краще.
#2. Встановіть надійний пароль маршрутизатора
Маршрутизатори Wi-Fi також можуть виконувати роль міні-серверів DNS. Отже, їхня безпека має вирішальне значення, і вона починається з усунення паролів, що надсилаються компанією.
#3. Виберіть надійного інтернет-провайдера
Для більшості з нас постачальники послуг Інтернету також виконують роль DNS-серверів. І виходячи з мого досвіду, DNS постачальника Інтернет-послуг дає невеликий приріст швидкості порівняно з безкоштовними загальнодоступними службами DNS, такими як Google Public DNS. Однак важливо вибрати найкращого провайдера з огляду не лише на швидкість, але й на загальну безпеку.
#4. Використовуйте спеціальний DNS-сервер
Перехід на інший DNS-сервер не є складним чи рідкісним явищем. Ви можете використовувати безкоштовний публічний DNS від OpenDNS, Cloudflare, Google тощо. Однак важливо, щоб постачальник DNS міг бачити вашу веб-активність. Отже, ви повинні бути пильними, кому ви надаєте доступ до своєї веб-активності.
#5. Використовуйте VPN із приватним DNS
Використання VPN забезпечує багато рівнів безпеки, включно з їхнім спеціальним DNS. Це захищає вас не лише від кіберзлочинців, але й від нагляду з боку провайдерів чи уряду. Проте вам слід переконатися, що VPN має мати зашифровані DNS-сервери для найкращого захисту.
#6. Підтримуйте належну кібергігієну
Натискання шахрайських посилань або занадто гарних, щоб бути правдою рекламних оголошень є одним із основних способів стати жертвою шахрайства. Хороший антивірус виконує свою роботу, сповіщаючи вас, жоден інструмент кібербезпеки не гарантує 100% успіху. Нарешті, на ваших плечах лежить відповідальність за захист себе.
Наприклад, будь-яке підозріле посилання потрібно вставити в пошукові системи, щоб побачити джерело. Крім того, ми повинні забезпечити протокол HTTPS (позначений замком у рядку URL-адреси), перш ніж довіряти будь-якому веб-сайту.
Крім того, періодичне очищення DNS обов’язково допоможе.
Обережно!
Фармінгові атаки є давніми, але те, як вони діють, надто непомітно, щоб точно визначити. Основною причиною таких атак є власна незахищеність DNS, яка не усувається повністю.
Отже, це не завжди залежить від вас. Тим не менш, перелічені засоби захисту допоможуть, особливо використання VPN із зашифрованим DNS, як-от ProtonVPN.
Хоча фармінг базується на DNS, чи знаєте ви, що шахрайство також може базуватися на Bluetooth? Перейдіть до цього bluesnarfing 101, щоб перевірити, як це робиться та як захистити себе.