Pharming to zaawansowana forma phishingu. Polega na przekierowaniu użytkownika Internetu do spreparowanej strony internetowej, która wyglądem może przypominać (ba, może być wręcz identyczna!) witrynę banku internetowego, serwisu aukcyjnego, sklepu internetowego czy innej instytucji, która hakerowi może przynieść korzyści finansowe. Bo owe strony tworzone są najczęściej w celu zdobycia danych, takich jak login, hasło, numer karty kredytowej, PIN i innych – mogą one zostać wykorzystane do ukradnięcia pieniędzy z konta bankowego. Pharming może być też wykorzystywany na przykład w celu sfałszowania strony z wynikami finansowymi danej spółki akcyjnej, przez co kurs jej papierów wartościowych może znacznie spaść…
Trudności w wykryciu pharmingu związane są z podejmowanymi działaniami, w wyniku których internauta zostaje przekierowany na stworzoną przez hakera stronę internetową. Ten może zachować się w dwojaki sposób: „zatruwa DNS” (jeśli chce dokonać ataku na skalę masową) lub modyfikuje plik znajdujący się na komputerze użytkownika, który ma stać się podmiotem kradzieży (wtedy atak jest ukierunkowany na osobę X, choć nie wyklucza to przypadkowości).
Pierwsza metoda sprowadza się do zmodyfikowania bazy danych używanej przez dostawcę usług internetowych, która odpowiada za kierowanie ruchem w Internecie. Wtedy przez stosunkowo krótki okres czasu (zazwyczaj do kilku godzin) wszyscy, którzy korzystając z tego serwera DNS i wpiszą w pasku adresu adres witryny, trafią na stronę hakera (nazwa domenowa zostanie przetłumaczona na numer IP serwera ze sfałszowaną stroną).
Drugi sposób jest nieco prostszy. Najczęściej za pomocą konia trojańskiego podmieniany jest plik, który znajduje się na każdym komputerze z systemem Windows. Znajdują się w nim adresy i numery IP najczęściej odwiedzanych przez użytkownika stron internetowych (z oczywistych względów często są tam strony internetowe, którymi może zainteresować się haker). On także wykorzystywany jest do łączenia się z konkretnymi serwerami po wywołaniu danego adresu.
Obojętnie z której metody skorzystał haker… Dalszy scenariusz w obu przypadkach jest identyczny. Użytkownik, wprowadzając adres żądanej strony, przekonany jest, że znajduje się na stronie internetowej banku (lub innego podmiotu). Ponieważ na pasku adresu widzi ten sam adres co zwykle, a strona jest identyczna lub bardzo podobna do tej, którą widzi za każdym razem, nie podejrzewa zagrożenia i podaje cenne dla siebie (i dla hakera) dane.
- czyli prawdopodobna pierwsza metoda - "globalna" - i obojętne, z jakiego komputera zostałbyś przekierowany na podrobioną stronę. Komputery były czyste (najprawdopodobniej - co i tak oznacza konieczność dogłębnego sprawdzenie obydwu). To serwery "były zatrute".
Możesz się zabezpieczyć - korzystać z Comodo Dragon (przeglądarka) i ich bezpiecznych DNS (secure DNS).
Autor postu otrzymał pochwałę
