Pharming to nazwa ataku hakerskiego pochodząca od angielskich słów phishing oraz farming. Atak polega na stworzeniu fałszywej strony internetowej, która do złudzenia przypomina zaufaną witrynę (np. stronę banku, operatora komórkowego czy portalu społecznościowego), a następnie przekierowanie do niej ruchu użytkowników. Efektem ataku jest przejęcie poufnych informacji, takich jak login, hasło, dane karty płatniczej czy numer telefonu. Oszuści, którzy wejdą w ich posiadanie, mogą poważnie zaszkodzić użytkownikom witryny, wykorzystując zdobyte informacje do przejmowania innych kont, a nawet kradzieży środków finansowych. Pharming to atak, który może być początkowo trudny do wykrycia. Przejęcie ważnych danych logowania nie musi jednak oznaczać poważnych kłopotów, o ile oszukany użytkownik zareaguje szybko.

 

Pharming wykorzystuje system DNS, czyli technologię zmieniającą adres IP serwera. Podmieniając docelowy adres IP dla zaufanego adresu internetowego, możliwe jest przekierowanie użytkownika w dowolne miejsce w Internecie. Dwa główne sposoby osiągnięcia tego efektu i przeprowadzania skutecznego ataku zakładają:

 

• wykorzystanie złośliwego oprogramowania infekującego komputer i ustanawiającego przekierowanie na złośliwą stronę lub tworzącego modyfikację DNS odwiedzanej już dotychczas strony w pamięci podręcznej przeglądarki internetowej,


• umieszczenie na legalnej stronie złośliwego kodu przekierowującego do strony fałszywej. Jest to możliwe np. w przypadku niedostatecznie zabezpieczonych formularzy w witrynie lub przy wykorzystaniu podatności systemów zarządzania treścią (CMS).

 

Specyficzną odmianą tego ataku jest tzw. Drive-by pharming, który za cel obiera nie komputer lub serwery DNS, a niedostatecznie zabezpieczony router firmowy lub domowy. W ten sposób hakerzy mogą ustanawiać dowolne przekierowania DNS dla wszystkich urządzeń funkcjonujących w danej sieci bezprzewodowej.

 

Jednym z przypadków wykorzystania pharmingu na dużą skalę był atak w 2007 roku, gdy hakerzy stworzyli fałszywe witryny naśladujące ponad 50 firm finansowych z Europy, Azji i Stanów Zjednoczonych. Atak trwał trzy dni, podczas których na komputerach nieświadomych użytkowników instalowane były trojany. Zgodnie z dostępnymi danymi zainfekowanych zostało przynajmniej 1000 komputerów każdego dnia.

 

Warto też podkreślić zasadniczą różnicę pomiędzy phishingiem a pharmingiem. Phishing wykorzystuje socjotechnikę do kliknięcia fałszywego linku, podczas gdy ofiary pharmingu same wpisują poprawny adres zaufanej witryny, jednak dzięki manipulacji w systemie DNS są przenoszone na stronę-pułapkę.

   

Ofiarą pharmingu może paść każda osoba w firmie, jeśli nie będzie wystarczająco uważna. W przypadku wykrycia udanego ataku (gdy zostały przekazane dane poprzez formularz na fałszywej stronie) należy wykonać kilka kroków:

 

• Odizolować urządzenie ofiary od Internetu, firmowej sieci wewnętrznej oraz innych urządzeń, z którymi może być połączone.


• Powiadomić firmowego administratora/zespół ds. cyberbezpieczeństwa.


• Zmienić hasła do wszystkich kont i profili, do których miała dostęp osoba będąca ofiarą pharmingu.


• Upewnić się, czy w tym samym czasie nie doszło do podobnych ataków i naruszeń na kontach innych użytkowników.


• Wykorzystać sprawdzone oprogramowanie komputerowe do przeskanowania urządzenia i unieszkodliwienia złośliwego oprogramowania (jeśli zostało zastosowane).


• Przeanalizować logi sieciowe w celu dokładnego zbadania incydentu i identyfikacji fałszywej strony internetowej, która doprowadziła do skutecznego ataku.

 

Po uporaniu się z doraźnymi skutkami ataku należy także przeprowadzić skrupulatną analitykę systemów bezpieczeństwa, w skład której wchodzą także dedykowane audyty i testy penetracyjne. Cały proces powinien zakończyć się zmianą polityk bezpieczeństwa i procedur dotyczących logowania do kont i aplikacji.

 

Oprócz zagrożenia dla poszczególnych pracowników, cała organizacja może stać się ofiarą ataku. Firmowe strony internetowe i aplikacje mogą posłużyć jako wzór do stworzenia witryny wyłudzającej dane.

   

Ochrona strony internetowej przed pharmingiem jest w zasadzie niemożliwa, ponieważ witryna firmy, pod którą podszywają się oszuści, nie bierze bezpośredniego udziału w ataku. Właściciele i specjaliści organizacji nie mają też wpływu na czynności wykonywane przez ich klientów poza prawdziwą witryną. Firma może jednak prowadzić stałą kampanię edukacyjną i w ten sposób przestrzec swoich klientów przed nieuczciwymi praktykami, wyświetlać powiadomienia w oficjalnych aplikacjach mobilnych i docierać do swoich odbiorców w mediach społecznościowych. Taką taktykę stosują banki, czyli instytucje, w których bezpieczeństwo ma krytyczne znaczenie. Warto nakłonić użytkowników do zwracania uwagi na detale strony. Grafiki o niskiej rozdzielczości, niecodzienne rozmieszczenie przycisków czy inne niedopracowane elementy mogą być ważną wskazówką, która wzbudzić powinna czujność.

 

Powszechną w bankowości internetowej praktyką jest też ustanowienie obrazka weryfikacyjnego, czyli indywidualnie wybranej grafiki, która wyświetla się użytkownikowi po pierwszym etapie logowania. Grafika inna niż ustalony wzór może być sygnałem, że użytkownik znajduje się na fałszywej stronie. Takie rozwiązanie można wdrożyć w dowolnej witrynie.

 

Pośrednią metodą obrony jest wprowadzenie uwierzytelniania dwuskładnikowego. Dzięki temu, nawet jeśli oszuści pozyskają dane klientów za pomocą fałszywej witryny, nie będą ich mogli użyć do logowania na prawdziwej wersji strony. W tym celu warto wykorzystać aplikacje generujące kod (np. Google Authenticator), które są znacznie bezpieczniejsze od możliwych do przechwycenia jednorazowych haseł SMS.

 

Obserwuje się zjawisko monitorowania Internetu w poszukiwaniu fałszywych wersji witryny oraz wprowadzanie systemu nagród za zgłaszanie przez użytkowników fałszywych stron. Fałszywe witryny i inne nieprawidłowości warto zgłaszać bezpośrednio do CERT Polska za pomocą dedykowanego formularza lub mobilnie poprzez wiadomości SMS na numer 8080. To proste działanie sprzyja poprawie bezpieczeństwa w sieci poprzez blokowanie podejrzanych stron WWW.

 

Pharming jest jednak tylko jednym z wielu możliwych zagrożeń. Ataki stosowane są często hybrydowo – kampanie hakerów zakładają wykorzystanie wszelkich możliwych środków.

   

W dużej części firm wciąż uważa się, że budżet przeznaczony na cyberbezpieczeństwo to nie inwestycja, a wydatek. W rzeczywistości jednak korzystanie ze sprawdzonych rozwiązań ochrony sieci, danych i urządzeń pozwala uniknąć nieporównywalnie wyższych kosztów będących konsekwencjami ataków. Mowa tu zarówno o kosztach finansowych, jak i wizerunkowych.

 

Na szczęście prawidłowe zabezpieczenie cyfrowej strony organizacji nie musi być skomplikowane ani drogie. Wszystkie potrzebne narzędzia cyberbezpieczeństwa do kompleksowej ochrony organizacji mogą być dziś dostarczone przez zewnętrzne firmy, takie jak Netia.

 

Jednym z podstawowych środków ochrony jest dobrze skonfigurowany firewall. W skład zapory sieciowej wchodzi kilka modułów, w tym oprogramowanie antywirusowe, filtry anty-spam oraz możliwość blokowania dostępu do konkretnych adresów URL i zapytań DNS. Dostarczany przez Netię chmurowy firewallwystępuje w kilku wariantach i oferuje ochronę przed popularnymi zagrożeniami.

 

Najbardziej wymagającym pod kątem cyberbezpieczeństwa organizacjom proponujemy usługi naszego zespołu Security Operations Center. Pracujący tam specjaliści zajmują się całodobowym monitoringiem sieci, reagowaniem na incydenty i raportowaniem o incydentach.

 

Oprócz wymienionych wyżej narzędzi i metod, istotna jest także przemyślana infrastruktura, którą realizuje Netia na wysoce niezawodnej sieci w ramach rozwiązań sieciowych.

 

Firmy korzystające z usług Netii zyskują ochronę na zaawansowanym technologicznie poziomie bez ponoszenia ryzyka inwestycji oraz wysokich kosztów capex. Na wszelkie pytania dotyczące naszych rozwiązań chętnie odpowiedzą nasi specjaliści – zachęcamy do kontaktu.