Pharming - nadchodzi nowe zagrożenie?

„To z pewnością jedna z najbardziej wyrafinowanych technik phishingu, jaką kiedykolwiek widzieliśmy. Dotychczas użytkownicy dobrze poinformowani o zagrożeniach mieli szansę na rozpoznanie fałszywego adresu URL. Ta nowa technika pokazuje, jak bardzo cybernetyczni przestępcy są zaangażowani w prace nad rozwojem nowych sposobów kradzieży danych finansowych.” – powiedziała Susan Larson, wiceprezes do spraw baz danych treści internetowych SurfControl, komentując wykrycie nowej metody podszywania się pod strony internetowe banków SunTrust USA i Citibank Australia. Zdarzenie to miało miejsce w listopadzie 2004 roku. Wtedy jeszcze pojęcie pharmingu nie było znane…

Pharming to zaawansowana forma phishingu. Polega na przekierowaniu użytkownika Internetu do spreparowanej strony internetowej, która wyglądem może przypominać (ba, może być wręcz identyczna!) witrynę banku internetowego, serwisu aukcyjnego, sklepu internetowego czy innej instytucji, która hakerowi może przynieść korzyści finansowe. Bo owe strony tworzone są najczęściej w celu zdobycia danych, takich jak login, hasło, numer karty kredytowej, PIN i innych – mogą one zostać wykorzystane do ukradnięcia pieniędzy z konta bankowego. Pharming może być też wykorzystywany na przykład w celu sfałszowania strony z wynikami finansowymi danej spółki akcyjnej, przez co kurs jej papierów wartościowych może znacznie spaść…

Niestety, nawet obeznany w zagadnieniach związanych z bezpieczeństwem informatycznym użytkownik może mieć problemy z wykryciem pharmingu. Tu bardzo duże pole do popisu mają administratorzy serwerów DNS, twórcy przeglądarek internetowych oraz zespoły zarządzające zagrożonymi witrynami. Dlaczego?

Trudności w wykryciu pharmingu związane są z podejmowanymi działaniami, w wyniku których internauta zostaje przekierowany na stworzoną przez hakera stronę internetową. Ten może zachować się w dwojaki sposób: „zatruwa DNS” (jeśli chce dokonać ataku na skalę masową) lub modyfikuje plik znajdujący się na komputerze użytkownika, który ma stać się podmiotem kradzieży (wtedy atak jest ukierunkowany na osobę X, choć nie wyklucza to przypadkowości).

Pierwsza metoda sprowadza się do zmodyfikowania bazy danych używanej przez dostawcę usług internetowych, która odpowiada za kierowanie ruchem w Internecie. Wtedy przez stosunkowo krótki okres czasu (zazwyczaj do kilku godzin) wszyscy, którzy korzystając z tego serwera DNS i wpiszą w pasku adresu adres witryny, trafią na stronę hakera (nazwa domenowa zostanie przetłumaczona na numer IP serwera ze sfałszowaną stroną).

Drugi sposób jest nieco prostszy. Najczęściej za pomocą konia trojańskiego podmieniany jest plik, który znajduje się na każdym komputerze z systemem Windows. Znajdują się w nim adresy i numery IP najczęściej odwiedzanych przez użytkownika stron internetowych (z oczywistych względów często są tam strony internetowe, którymi może zainteresować się haker). On także wykorzystywany jest do łączenia się z konkretnymi serwerami po wywołaniu danego adresu.

Obojętnie z której metody skorzystał haker… Dalszy scenariusz w obu przypadkach jest identyczny. Użytkownik, wprowadzając adres żądanej strony, przekonany jest, że znajduje się na stronie internetowej banku (lub innego podmiotu). Ponieważ na pasku adresu widzi ten sam adres co zwykle, a strona jest identyczna lub bardzo podobna do tej, którą widzi za każdym razem, nie podejrzewa zagrożenia i podaje cenne dla siebie (i dla hakera) dane.

Jednak celem tego tekstu nie jest nastraszenie, które może skutkować zabetonowaniem komputera i zwinięciem kabla wykorzystywanego do łączenia się z Internetem. Podejmowanych jest bowiem wiele działań, które mają na celu zapewnienie należytego poziomu bezpieczeństwa. Co więcej, póki co notowanych jest stosunkowo niewiele przypadków pharmingu.

My również możemy się przyłączyć do walki z tym zjawiskiem odpowiednio zabezpieczając swój komputer – stosując aktualne oprogramowanie antywirusowe i zaporę ogniową, aby niemożliwa była podmiana pliku, o którym była mowa. A jeśli na którejś stronie internetowej zauważymy coś podejrzanego, powiadommy o tym (najlepiej telefonicznie) jej właściciela lub administratora – nawet jeśli nasze podejrzenia nie okażą się podstawne, osoby te docenią troskę o ich własność. Reszta w rękach ekspertów…