In deze tijd wordt de goedgelovige computergebruiker zeldzamer. Met malware-educatie die gangbaar is op internet, worden mensen niet zo gemakkelijk voor de gek gehouden door e-mails waarin wordt beweerd dat ze miljoenen dollars hebben gewonnen.

Dat betekent echter niet dat hackers minder vastbesloten zijn geworden; het betekent alleen maar dat ze slimmer moesten werken. Van het bespioneren van de bedrijfsinfrastructuur en het sturen van e-mails naar werknemers van het adres van de baas, tot het ontvoeren van Facebook-accounts van gebruikers en het sturen van vrienden, misbruik van vertrouwen is de methode bij uitstek voor het hacken van tegenwoordig.

Een methode die ze gebruiken, is je computer omleiden van een legitieme URL naar een nep-kopie van waar ze inloggegevens kunnen verkrijgen wanneer je je informatie invoert in de valse site. Dit staat bekend als "pharming", en het kan nogal angstaanjagend zijn in zijn methoden. Hier zullen we uitleggen wat pharming is en hoe het werkt?

Wat is Pharming?

Op zichzelf is pharming een tweestaps proces dat twee aanvalsvectoren combineert; DNS-vergiftiging en phishing. Door gebruik te maken van de sterke punten van beide, creëert het een hoogst geloofwaardige val waar mensen in kunnen vallen. Terwijl phishing werkt door aas te laten vallen en te hopen dat mensen het oppakken, kan pharming volledige DNS-servers overnemen en mensen doorsturen naar nep-websites.

Dus om te beantwoorden "wat is pharming?" Moeten we eerst de twee componenten analyseren waarop het gebouwd is en zien hoe ze met elkaar omgaan om de algemene pharming-aanval te vormen.

DNS-vergiftiging

Je kunt vertellen hoe snode deze aanvalsvector alleen al de naam is! DNS-vergiftiging werkt door het kapen van een DNS-lookup. Wanneer u een webadres invoert (zoals www.facebook.com), moet de computer dit omzetten in een IP-adres. Dit komt omdat computers niet begrijpen wat "Facebook" is! URL's zijn er om het ons mensen gemakkelijker te maken om de adressen van websites te onthouden. Computers weten echter wat een IP-adres is. Dus om met Facebook te praten, zet een computer de URL om in een IP-adres.

Ze doen dit door een DNS-server te ondervragen, die fungeert als een adresboek voor URL's en IP-adressen. Ze gebruiken de DNS-server om het IP-adres van de URL te vinden (www.facebook.com -> 157.240.1.35) en gebruiken het om met de Facebook-servers te praten. Wanneer een computer het IP-adres van een URL heeft gevonden, kan deze het adres in een cachegeheugen noteren. Dit is zodat het kan voorkomen tijd te verspillen door steeds hetzelfde IP-adres op te zoeken. In dit voorbeeld wordt opgemerkt dat www.facebook.com naar 157.240.1.35 in de cache gaat.

DNS-vergiftiging werkt op twee manieren: ofwel door in een cache op een individuele pc te gaan en de IP-adressen te wijzigen in directe naar kwaadwillende websites of door de DNS-servers zelf te infecteren, zodat pc's die de zoekopdracht uitvoeren een "geïnfecteerd" resultaat krijgen. In beide gevallen zal de volgende keer dat de gebruiker 'www.facebook.com' in zijn browser intypt, uiteindelijk het 'vergiftigde' nep-IP-adres worden geladen.

phishing

DNS-vergiftiging stelt een aanvaller in staat om gebruikers van een legitieme site naar een kwaadwillende site te leiden, ook al heeft de gebruiker het adres correct getypt. Dit is echter alleen de eerste stap; het sturen van de gebruiker naar een andere website betekent immers niet veel! In combinatie met de vergiftiging kunnen hackers phishing gebruiken om van een eenvoudige omleiding een winst te maken.

In ons voorbeeld leidt de aanvaller de gebruiker van Facebook naar een website naar keuze van de aanvaller. Er zijn veel opties die de aanvaller kan uitkiezen, maar in een pharming-aanval kiest de aanvaller een website die ze eerder hebben ingesteld om er hetzelfde uit te zien als op Facebook. Wanneer de gebruiker www.facebook.com in zijn browser typt, leidt de DNS-vergiftiging ze om naar de valse Facebook van de hacker.

Nu de gebruiker zich op de nep-site bevindt, vraagt ​​hij de gebruiker om zijn inloggegevens voor Facebook. In de overtuiging dat ze op de echte Facebook-site staan, voert de gebruiker hun inloggegevens in en verzendt deze hun informatie naar de hackers, waarmee de pharming-aanval wordt voltooid.

Wat gedaan kan worden

Ten eerste is het handig om te weten dat DNS-servers meestal eigendom zijn van de ISP die u gebruikt. Zorg er daarom voor dat u een betrouwbare internetprovider kiest om pharming-aanvallen tegen DNS-servers te voorkomen. Goede internetproviders zullen op de hoogte zijn van pharming en zullen tegenmaatregelen nemen om hun servers te beschermen tegen vergiftiging.

Maar wat is de zwakheid van pharming als het gaat om het infecteren van uw eigen computerbestanden? Zorg er allereerst altijd voor dat er een goede antivirus- of anti-malware-oplossing is geïnstalleerd. Deze kunnen hopelijk een bewerking in het adrescachebestand van uw computer detecteren en u waarschuwen voordat enige schade wordt aangericht.

Maar zelfs zonder antivirus kun je een pharming-aanval stoppen door je verstand te gebruiken. Wanneer u een populaire of beveiligde website bezoekt, zoals sociale media of bancaire sites, ziet u een hangslot in de adresbalk en 'HTTPS' aan het begin van de URL. Dit betekent dat de website is gevalideerd door een gezaghebbende derde partij om te zijn wat het beweert te zijn. Als zodanig heeft het een certificaat gekregen en zijn communicatie is gecodeerd.

Natuurlijk, als een pharming-aanval je heeft omgeleid naar een spoofsite, zou die site geen certificaat moeten hebben dat het als echt identificeert. Zelfs als de URL er identiek uitziet aan het echte werk, is het zien van een ontbrekend certificaat een dode weggeefactie. Zorg er bij het inloggen op een populaire site voor dat het HTTPS-certificaat aanwezig is. Als je hebt gemerkt dat het certificaat plotseling is "verdwenen", kan er iets gebeuren!

Pharming voor de gek houden

Met meerdere stappen om een ​​ingewikkelde aanvalsvector te creëren, kan pharming een beetje eng zijn. Nu weet je de details van wat pharming is en hoe het werkt. Sterker nog, als je scherp bent en een veilige internetprovider gebruikt, hoef je je geen zorgen te maken dat je slachtoffer wordt van pharming.

Is het u of iemand die u kent ooit misleid door een realistisch ogende website? Laat het ons hieronder weten.