Η επίθεση φαρμάκου είναι ένας εξελιγμένος μηχανισμός που εξαπατά τους χρήστες (κυρίως) χωρίς να χρειάζεται κανένα «ανόητο λάθος» από την πλευρά τους. Ας το αποκωδικοποιήσουμε και ας δούμε πώς να το προστατέψουμε.
Φανταστείτε να συνδέεστε στην ηλεκτρονική σας τραπεζική χρησιμοποιώντας μια νόμιμη διεύθυνση ιστού και να χάνετε τις οικονομίες ζωής λίγο μετά.
Αυτός είναι ένας από τους τρόπους με τους οποίους φαίνονται οι επιθέσεις φαρμάκων.
Ο όρος pharming επινοήθηκε από το phishing (επίθεση) και τη γεωργία 🚜.
Θεσω απλα; Το phishing χρειάζεται να κάνετε κλικ σε έναν ύποπτο σύνδεσμο (το ανόητο λάθος), ο οποίος κατεβάζει κακόβουλο λογισμικό με αποτέλεσμα οικονομικές απώλειες. Επιπλέον, μπορεί να είναι ένα μήνυμα ηλεκτρονικού ταχυδρομείου από τον «Διευθύνοντα Σύμβουλό» σας που ζητά να πραγματοποιήσετε μια «επείγουσα» τραπεζική μεταφορά σε έναν «πωλητή», μια απάτη ειδικής κατηγορίας γνωστή ως απάτη φαλαινοθηρικού phishing.
Εν ολίγοις, το phishing χρειάζεται την ενεργό συμμετοχή σας, ενώ οι επιθέσεις Pharming (στις περισσότερες περιπτώσεις) όχι.
Πίνακας περιεχομένων
Τι είναι το Pharming Attack;
Έχουμε συνηθίσει σε ονόματα τομέα (όπως το grtechpc.org.com), ενώ τα μηχανήματα κατανοούν τις διευθύνσεις IP (όπως το 24.237.29.182).
Όταν πληκτρολογούμε μια διεύθυνση ιστού (όνομα τομέα), αυτή (το ερώτημα) πηγαίνει στους διακομιστές DNS (τον τηλεφωνικό κατάλογο του Διαδικτύου), οι οποίοι την αντιστοιχούν στη σχετική διεύθυνση IP.
Κατά συνέπεια, τα ονόματα τομέα έχουν ελάχιστη σχέση με τους πραγματικούς ιστότοπους.
Για παράδειγμα, εάν ο διακομιστής DNS έχει αντιστοιχίσει ένα όνομα τομέα με μια μη αυθεντική διεύθυνση IP που φιλοξενεί έναν πλαστό ιστότοπο – αυτό είναι το μόνο που θα δείτε, ανεξάρτητα από τη «σωστή» διεύθυνση URL που καταχωρίσατε.
Στη συνέχεια, ένας χρήστης παραδίδει αβίαστα τα στοιχεία –αριθμούς κάρτας, αριθμούς ταυτότητας, διαπιστευτήρια σύνδεσης κ.λπ.– στην παρωδία, θεωρώντας ότι είναι νόμιμη.
Αυτό καθιστά επικίνδυνες τις φαρμακερές επιθέσεις.
Είναι εξαιρετικά καλοφτιαγμένα, λειτουργούν κρυφά και ο τελικός χρήστης δεν γνωρίζει τίποτα μέχρι να λάβει μηνύματα «χρεωμένων ποσών» από τις τράπεζές του. Ή, πωλούν τις προσωπικές τους πληροφορίες στον σκοτεινό ιστό.
Ας ελέγξουμε τον τρόπο λειτουργίας τους λεπτομερώς.
Πώς λειτουργεί το Pharming Attack;
Αυτά ενορχηστρώνονται σε δύο επίπεδα, με τον χρήστη ή έναν ολόκληρο διακομιστή DNS.
#1. Pharming σε επίπεδο χρήστη
Αυτό είναι παρόμοιο με το ηλεκτρονικό ψάρεμα και κάνετε κλικ σε έναν ύποπτο σύνδεσμο που κατεβάζει κακόβουλο λογισμικό. Στη συνέχεια, το αρχείο του κεντρικού υπολογιστή (γνωστό και ως τοπικές εγγραφές DNS) αλλάζει και ένας χρήστης επισκέπτεται μια κακόβουλη εμφάνιση που μοιάζει με έναν αρχικό ιστότοπο.
Ένα αρχείο κεντρικού υπολογιστή είναι ένα τυπικό αρχείο κειμένου που αποθηκεύει τοπικά διαχειριζόμενες εγγραφές DNS και ανοίγει το δρόμο για ταχύτερες συνδέσεις με μικρότερο λανθάνοντα χρόνο.
Συνήθως, οι webmasters χρησιμοποιούν το αρχείο κεντρικού υπολογιστή για να δοκιμάσουν ιστότοπους πριν τροποποιήσουν τις πραγματικές εγγραφές DNS στο μητρώο καταχώρισης τομέα.
Ωστόσο, κακόβουλο λογισμικό θα μπορούσε να γράψει ψεύτικες καταχωρήσεις στο τοπικό αρχείο κεντρικού υπολογιστή του υπολογιστή σας. Με αυτόν τον τρόπο, ακόμη και η σωστή διεύθυνση ιστότοπου καταλήγει σε έναν δόλιο ιστότοπο.
#2. Pharming σε επίπεδο διακομιστή
Αυτό που συνέβη σε έναν μόνο χρήστη μπορεί επίσης να γίνει σε έναν ολόκληρο διακομιστή.
Αυτό ονομάζεται δηλητηρίαση DNS ή πλαστογράφηση DNS ή πειρατεία DNS. Δεδομένου ότι αυτό συμβαίνει σε επίπεδο διακομιστή, τα θύματα μπορεί να είναι εκατοντάδες ή χιλιάδες, αν όχι περισσότερα.
Οι διακομιστές DNS στόχου είναι γενικά πιο δύσκολο να ελεγχθούν και αποτελούν έναν επικίνδυνο ελιγμό. Αλλά αν γίνει, οι ανταμοιβές είναι εκθετικά υψηλότερες για τους εγκληματίες του κυβερνοχώρου.
Η Pharming σε επίπεδο διακομιστή γίνεται με φυσική παραβίαση διακομιστών DNS ή επιθέσεων man-in-the-middle (MITM).
Το τελευταίο είναι ένας χειρισμός λογισμικού μεταξύ ενός χρήστη και του διακομιστή DNS ή μεταξύ διακομιστών DNS και έγκυρων διακομιστών ονομάτων DNS.
Επιπλέον, ένας χάκερ θα μπορούσε να αλλάξει τις ρυθμίσεις DNS του δρομολογητή WiFi, το οποίο είναι γνωστό ως τοπική τοποθέτηση DNS.
Τεκμηριωμένες επιθέσεις Pharming
Μια επίθεση pharming σε επίπεδο χρήστη συχνά παραμένει κρυφή και σπάνια αναφέρεται. Ακόμα κι αν είναι εγγεγραμμένο, αυτό δύσκολα φτάνει στα ειδησεογραφικά καταστήματα.
Επιπλέον, η πολυπλοκότητα των επιθέσεων σε επίπεδο διακομιστή καθιστά επίσης δύσκολο να τις παρατηρήσετε, εκτός εάν οι εγκληματίες του κυβερνοχώρου εξαφανίσουν ένα σημαντικό χρηματικό ποσό, επηρεάζοντας πολλούς ανθρώπους.
Ας ελέγξουμε μερικά για να δούμε πώς λειτούργησε στην πραγματική ζωή.
#1. Curve Finance
Το Curve Finance είναι μια πλατφόρμα ανταλλαγής κρυπτονομισμάτων που υπέστη επίθεση δηλητηρίασης DNS στις 9 Αυγούστου 2022.
Έχουμε μια σύντομη αναφορά από το @iwantmyname για το τι έχει συμβεί. Εν συντομία: δηλητηρίαση προσωρινής μνήμης DNS, όχι συμβιβασμός διακομιστή ονομάτων.https://t.co/PI1zR96M1Z
Κανείς στον Ιστό δεν είναι 100% ασφαλής από αυτές τις επιθέσεις. Αυτό που συνέβη προτείνει ΕΝΤΟΝΑ να αρχίσετε να μεταβαίνετε στο ENS αντί για το DNS
— Curve Finance (@CurveFinance) 10 Αυγούστου 2022
Στα παρασκήνια, ήταν το iwantmyname, ο πάροχος DNS της Curve, ο οποίος παραβιάστηκε, στέλνοντας τους χρήστες του σε μια παρωδία και προκαλώντας απώλειες άνω των 550 χιλιάδων $.
#2. MyEtherWallet
Η 24η Απριλίου 2018 ήταν μια μαύρη μέρα για ορισμένους από τους χρήστες του MyEtherWallet. Αυτό είναι ένα δωρεάν και ανοιχτού κώδικα πορτοφόλι Ethereum (ένα κρυπτονόμισμα) με ισχυρά πρωτόκολλα ασφαλείας.
Παρά τα καλά, η εμπειρία άφησε μια πικρή γεύση στα στόματα των χρηστών της με καθαρή κλοπή 17 εκατομμυρίων δολαρίων.
Τεχνικά, το BGP Hijacking αποσύρθηκε στην υπηρεσία Amazon Route 53 DNS –που χρησιμοποιήθηκε από το MyEtherWallet– η οποία ανακατεύθυνε ορισμένους από τους χρήστες του σε ένα αντίγραφο phishing. Εισήγαγαν τα στοιχεία σύνδεσής τους που έδωσαν στους εγκληματίες πρόσβαση στα πορτοφόλια κρυπτονομισμάτων τους προκαλώντας την απότομη οικονομική αποστράγγιση.
Ωστόσο, ένα κραυγαλέο λάθος στο τέλος του χρήστη ήταν η αγνόηση της προειδοποίησης SSL του προγράμματος περιήγησης.
Επίσημη δήλωση MyEtherWallet σχετικά με την απάτη.
#3. Μεγάλες Τράπεζες
Πίσω το 2007, χρήστες σχεδόν 50 τραπεζών έγιναν στόχος επιθέσεων φαρμάκων με αποτέλεσμα άγνωστο ποσό ζημιών.
Αυτός ο κλασικός συμβιβασμός DNS έστειλε τους χρήστες σε κακόβουλους ιστότοπους ακόμα και όταν εισήγαγαν τις επίσημες διευθύνσεις URL.
Ωστόσο, όλα ξεκίνησαν με τα θύματα να επισκέπτονται έναν κακόβουλο ιστότοπο που κατέβασε ένα trojan λόγω ευπάθειας των Windows (τώρα διορθώθηκε).
Στη συνέχεια, ο ιός ζήτησε από τους χρήστες να απενεργοποιήσουν το antivirus, τα τείχη προστασίας κ.λπ.
Στη συνέχεια, οι χρήστες στάλθηκαν σε ιστότοπους παρωδίας κορυφαίων χρηματοπιστωτικών ιδρυμάτων στις ΗΠΑ, την Ευρώπη και την Ασία-Ειρηνικό. Υπάρχουν περισσότερες τέτοιες εκδηλώσεις, αλλά λειτουργούν με παρόμοιο τρόπο.
Σημάδια Pharming
Το Pharming ουσιαστικά δίνει τον πλήρη έλεγχο των μολυσμένων διαδικτυακών λογαριασμών σας στον παράγοντα απειλών. Μπορεί να είναι το προφίλ σας στο Facebook, ο διαδικτυακός τραπεζικός λογαριασμός σας κ.λπ.
Εάν είστε θύμα, θα δείτε μη καταγεγραμμένη δραστηριότητα. Μπορεί να είναι μια ανάρτηση, μια συναλλαγή ή μια αστεία αλλαγή στην εικόνα του προφίλ σας.
Τελικά, θα πρέπει να ξεκινήσετε με τη θεραπεία εάν υπάρχει κάτι που δεν θυμάστε να κάνετε.
Προστασία κατά της Φαρμακοποίησης
Με βάση τον τύπο επίθεσης (επίπεδο χρήστη ή διακομιστή) στον οποίο υποβάλλεστε, υπάρχουν μερικοί τρόποι προστασίας.
Δεδομένου ότι η υλοποίηση σε επίπεδο διακομιστή δεν είναι το αντικείμενο αυτού του άρθρου, θα εστιάσουμε στο τι μπορείτε να κάνετε ως τελικός χρήστης.
#1. Χρησιμοποιήστε ένα Premium Antivirus
Ένα καλό antivirus είναι η μισή δουλειά που γίνεται. Αυτό σας βοηθά να παραμένετε προστατευμένοι από τους περισσότερους απατεώνες συνδέσμους, κακόβουλες λήψεις και ιστότοπους απάτης. Αν και υπάρχει ένα δωρεάν πρόγραμμα προστασίας από ιούς για τον υπολογιστή σας, τα επί πληρωμή γενικά αποδίδουν καλύτερα.
#2. Ορίστε έναν ισχυρό κωδικό πρόσβασης δρομολογητή
Οι δρομολογητές WiFi μπορούν επίσης να λειτουργήσουν ως μίνι διακομιστές DNS. Κατά συνέπεια, η ασφάλειά τους είναι ζωτικής σημασίας και ξεκινά με την κατάργηση των κωδικών πρόσβασης που αποστέλλονται από την εταιρεία.
#3. Επιλέξτε έναν αξιόπιστο ISP
Για τους περισσότερους από εμάς, οι πάροχοι υπηρεσιών Διαδικτύου λειτουργούν και ως διακομιστές DNS. Και με βάση την εμπειρία μου, το DNS του ISP δίνει μια μικρή ώθηση ταχύτητας σε σύγκριση με τις δωρεάν δημόσιες υπηρεσίες DNS όπως το Google Public DNS. Ωστόσο, είναι σημαντικό να επιλέξετε τον καλύτερο διαθέσιμο ISP όχι μόνο για τις ταχύτητες αλλά και για τη συνολική ασφάλεια.
#4. Χρησιμοποιήστε έναν προσαρμοσμένο διακομιστή DNS
Η εναλλαγή σε διαφορετικό διακομιστή DNS δεν είναι δύσκολη ή ασυνήθιστη. Μπορείτε να χρησιμοποιήσετε δωρεάν δημόσιο DNS από OpenDNS, Cloudflare, Google κ.λπ. Ωστόσο, το σημαντικό είναι ότι ο πάροχος DNS μπορεί να δει τη δραστηριότητά σας στον ιστό. Επομένως, θα πρέπει να είστε προσεκτικοί σε ποιους δίνετε πρόσβαση στη δραστηριότητά σας στον ιστό.
#5. Χρήση VPN με ιδιωτικό DNS
Η χρήση VPN θέτει πολλά επίπεδα ασφαλείας, συμπεριλαμβανομένου του προσαρμοσμένου DNS τους. Αυτό δεν σας προστατεύει μόνο από εγκληματίες στον κυβερνοχώρο, αλλά και από την επιτήρηση του ISP ή της κυβέρνησης. Ωστόσο, θα πρέπει να επαληθεύσετε ότι το VPN θα πρέπει να έχει κρυπτογραφημένους διακομιστές DNS για την καλύτερη δυνατή προστασία.
#6. Διατηρήστε καλή υγιεινή στον κυβερνοχώρο
Κάνοντας κλικ σε αδίστακτους συνδέσμους ή σε πολύ καλές έως αληθινές διαφημίσεις είναι ένας από τους κύριους τρόπους απάτης. Ενώ το καλό antivirus κάνει τη δουλειά του να σας ειδοποιεί, κανένα εργαλείο κυβερνοασφάλειας δεν εγγυάται ποσοστό επιτυχίας 100%. Τέλος, η ευθύνη βρίσκεται στους ώμους σας να προστατεύσετε τον εαυτό σας.
Για παράδειγμα, θα πρέπει να επικολλήσετε οποιονδήποτε ύποπτο σύνδεσμο στις μηχανές αναζήτησης για να δείτε την πηγή. Επιπλέον, θα πρέπει να διασφαλίσουμε το HTTPS (που υποδεικνύεται με ένα λουκέτο στη γραμμή URL) πριν εμπιστευτούμε οποιονδήποτε ιστότοπο.
Επιπλέον, η περιοδική έκπλυση του DNS σας σίγουρα θα σας βοηθήσει.
Προσοχή!
Οι επιθέσεις Pharming είναι παλιές, αλλά ο τρόπος λειτουργίας τους είναι πολύ λεπτός για να τον εντοπίσουμε. Η βασική αιτία τέτοιων επιθέσεων είναι οι εγγενείς ανασφάλειες DNS που δεν αντιμετωπίζονται συνολικά.
Κατά συνέπεια, αυτό δεν εξαρτάται πάντα από εσάς. Ωστόσο, οι αναφερόμενες προστασίες θα βοηθήσουν, ειδικά χρησιμοποιώντας ένα VPN με κρυπτογραφημένο DNS όπως το ProtonVPN.
Ενώ το pharming βασίζεται σε DNS, γνωρίζετε ότι οι απάτες μπορούν να βασίζονται και στο Bluetooth; Μεταβείτε σε αυτό το bluesnarfing 101 για να ελέγξετε πώς γίνεται και πώς να προστατευτείτε.