Pharming to specyficzny rodzaj ataków na użytkowników internetu, który czasem jest zaliczany do technik znanych jako phishing, ale różni się od nich istotnie. Niektórzy specjaliści mówią, że pharming to phishing bez przynęty.

Ataki tego typu polegają na przekierowywaniu ruchu z legalnej strony internetowej na fałszywe witryny kontrolowane przez cyberprzestępców. Ich celem jest najczęściej uzyskanie poufnych informacji lub zainstalowanie złośliwego oprogramowania na komputerach należących do ofiar. Atakujący tworzą zwykle strony do złudzenia przypominające witryny firm zajmujących się handlem e-commerce lub banków prowadzących działalność online i próbują wykraść dane uwierzytelniające oraz informacji dotyczące kart płatniczych.

Zobacz również:

• FBI ostrzega - masowy atak phishingowy w USA
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Podstawowe mechanizmy wykorzystywane przez cyberprzestępców to instalacja na komputerze ofiary oprogramowania umożliwiającego manipulowanie zapisanymi w nim informacjami lub atak na serwery DNS i taka modyfikacja baz danych, by ruch był przekierowywany na fałszywe witryny. W tym drugim przypadku jest to atak, przed którym użytkownicy internetu praktycznie nie mają szans na obronę.

Jak działa pharming

Chociaż cele ataków typu pharming i phishing są podobne, to metody stosowane do ich przeprowadzenia są istotnie różne. Pharming koncentruje się na technicznej modyfikacji systemów IT, a nie próbach nakłaniania użytkowników do odwiedzenia niebezpiecznych stron internetowych. Stosowane w pharmingu przekierowywanie żądań użytkowników przez manipulowanie protokołem DNS można zrealizować głównie na dwa sposoby.

Po skutecznym ataku i przejęciu kontroli nad komputerem ofiary cyberprzestępcy modyfikują lokalny katalog adresów IP zapisany w urządzeniu tak, by przy następnej próbie uzyskania dostępu do określonej witryny użytkownik był automatycznie przekierowywany na inną, kontrolowaną przez przestępców. Z reguły jest to wcześniej przygotowana strona, bardzo podobna do oryginalnej, bo inaczej łatwo byłoby się zorientować, że coś jest nie tak. Tego typu atak jest często poprzedzany atakami wykorzystującymi phishing lub inne metody, które umożliwiają instalację złośliwego oprogramowania na komputerze ofiary. Potencjalnymi celami ataków typu pharming są jednak nie tylko komputery, ale również routery. W tym ostatnim przypadku jest to czasami określane, jako Pharming Drive-by.

Wykorzystując luki w zabezpieczeniach serwerów DNS można próbować „zatruć” przechowywane w nich bazy danych i zmienić zasady przekierowywania ruchu na odpowiednie adresy IP. Jest to szczególnie duże zagrożenie, bo użytkownik nie musi niczego klikać, aby trafić na fałszywą stronę internetową.

Ataki Drive-by Pharming są łatwe do przeprowadzenia, gdy hasło do routera jest puste, ustawione fabrycznie lub łatwe do odgadnięcia. Polegają one na zmianie ustawień DNS w routerze w taki sposób, że adresy wpisywane przez użytkownika są przekierowywane na strony spreparowane przez atakującego. Aby obronić się przed tego typu zagrożeniem, należy ustawić trudne do złamania hasło, nie otwierać stron do których nie mamy zaufania, a w przypadku logowania do stron np. banków ważne jest sprawdzenie, czy połączenie jest szyfrowane i czy strona ma ważny i aktualny certyfikat klucza publicznego.

Ataki na serwery DNS są znacznie trudniejsze i bardziej kosztowne do przeprowadzenia, bo z reguły serwery takie znajdują się w wewnętrznych, chronionych sieciach firm. Ale jest to atrakcyjny cel dla cyberprzestępców, bo udany atak umożliwia uzyskanie znacznie większej liczby ofiar i najczęściej przynosi większe korzyści.

Zatrucie jednego serwera DNS może rozprzestrzenić się na inne, a dostawcy usług internetowych odbierając spreparowane przez cyberprzestępców informacje mogą spowodować, że fałszywy wpis DNS zostanie zapisany w pamięci podręcznej ich serwerów i systematycznie zacznie się rozprzestrzeniać na dużą liczbę routerów i innych urządzeń funkcjonujących w sieci.

Nie jest to zagrożenie tylko teoretyczne. Świadczy o tym przypadek z 2010 roku, gdy jeden z dostawców usług internetowych, wskutek błędu, pobrał informacje DNS z serwera znajdującego się w Chinach, gdzie działa system blokowania niewygodnych dla rządy stron takich, jak m.in. Twitter i mechanizmy blokowania zaczęły się rozprzestrzeniać na inne kraje.

Cele ataków mogą być różne. Najczęściej jest to kradzież danych, które mogą posłużyć bezpośrednio do wyłudzenia środków finansowych lub zostać sprzedane na czarnym rynku.

Pharming jest również wykorzystywany we wstępnych fazach ataków na systemy firmowe do wykradania danych uwierzytelniających, które umożliwiają później przeprowadzenie kolejnych, zaawansowanych ataków.

Skala ataków

Ze względu na poziom trudności technicznych pharming jest stosunkowo rzadkim zagrożeniem w porównaniu z atakami phishingowymi. Ale nie znaczy to, że należy tą cyberprzestępczą technikę lekceważyć, bo – jak wynika z dotychczasowych doświadczeń – może on spowodować duże szkody.

Wśród największych zarejestrowanych ataków wykorzystujących pharming można wymienić przypadek z Wenezueli, gdzie w 2019 roku prezydent Juan Gaudio zainicjował akcję pomocy społecznej dla ludzi znajdujących się w trudnej sytuacji. Kandydaci na wolontariuszy mieli się rejestrować na odpowiedniej stronie internetowej, a już następnego dnia pojawiła się fałszywa, prawie identyczna witryna o bardzo podobnej strukturze. Okazało się, że te dwie różne i mające różnych właścicieli domeny mają ten sam adres IP i wszystkie wprowadzane przez użytkowników dane osobowe są przechwytywane przez cyberprzestępców.

Najbardziej spektakularne było jednak zdarzenie z 2007 roku, gdy co najmniej 50 instytucji finansowych padło ofiarą ataku typu pharming. Przestępcy utworzyli wówczas kilkadziesiąt fałszywych witryn, które gromadziły dane logowania, a następnie przekierowywały ofiarę z powrotem do legalnej witryny co miało utrudnić wykrycie ataku.

Zapobieganie atakom

Podstawowym sposobem na zmniejszenie prawdopodobieństwa udanego ataku typu pharming jest stosowanie dobrych praktyk związanych z bezpieczeństwem umożliwiające rozpoznanie podejrzanych odsyłaczy do fałszywych witryn internetowych. Na przykład nieprawidłowe lub nieaktualne certyfikaty zabezpieczeń mogą być oznaką, że internetowa strona została przejęta. Warto też dokładnie sprawdzać czy prezentowane adresy URL są zgodne z oryginalnymi czy tylko wyglądają podobnie.

Ważne jest regularne aktualizowanie oprogramowania, skanowanie systemu w poszukiwaniu wirusów oraz czyszczenie pamięci podręcznej i plików cookie w przeglądarce. Serwery DNS powinny być systematycznie łatane, audytowane i monitorowane, co zmniejsza szanse na ich wykorzystanie przez cyberprzestępców.

Należy też pamiętać o wdrożeniu certyfikatów TLS w firmowych witrynach, co zmniejszy prawdopodobieństwo ich sfałszowania, oraz o zabezpieczeniu dostępu do routerów przy wykorzystaniu silnych haseł – może to zapobiec atakom typu drive-by.

Warto też zastosować mechanizmy analizy zagrożeń umożliwiające monitorowanie domen podobnych do wykorzystywanych przez firmę. A włączenie uwierzytelniania dwuskładnikowego ograniczy ryzyko w sytuacji, gdy dane uwierzytelniające zostaną wykradzione.