Ki ne hallott volna már az adathalászatról: „Az adathalászok e-mail üzenetben, azonnali üzenetben vagy szalagcím-hirdetésekben a felhasználót hamis weboldalra invitálják, ahol jelszavának vagy egyéb titkos adatainak megadására kérik” - mondta Bill Rosenkrantz, a Symantec internetbiztonsági megoldások csoportjának termékvezetője. Hosszú évekig úgy tűnt, hogy az ilyen támadások terjedésének semmi nem szab gátat, de szakértők nemrégiben arról számoltak be, hogy az adathalászat jellegű visszaélések száma stagnálni látszik. „A fogyasztók kezdik kiismerni az adatfürkésző támadásokat” - mondta Rosenkrantz. Természetesen a hackerek és a csalók nem adják fel ilyen könnyen ezt a jól jövedelmező tevékenységet. Kifejlesztettek egy új támadástípust, amelyet sokkal nehezebb leleplezni, mint az adathalászatot: az eltérítéses adathalászatot (angol nevén: pharming). „Ezzel automatikusan álweboldalra továbbítják a felhasználókat, akik nyugodtan folytatják a tranzakciót abban a hiszemben, hogy a valódi banki vagy kereskedelmi oldalra jutottak” - tette hozzá Bill Rosenkrantz. Az eltérítéses adathalászat - mondta - észrevétlen lehet. Általánosan még nem terjedt el, de az esetek száma egyre nő.”
Mi is tehát a pharming? Egyszerűen úgy jellemezhetnénk, hogy a pharming támadás lényegében a kívánt weboldal kikereséséhez szükséges "elérhetőséget" manipulálja, hogy feltűnés nélkül álweboldalra kalauzolja a felhasználót. Az igazi csavar ebben az esetben az, hogy az álweboldalon a felhasználó tényleg azt gondolja, hogy jó helyen jár.
Az eltérítéses adathalászat háromféleképpen működik:
A domain-név rendszer (DNS) szoftver a felhasználó által beírt nevet lefordítja a weboldal tényleges hálózati címére (IP-cím) – a beírt www.yourbank.comlefordítva például 146.04.04.04. Ám mivel a műveletet a hálózaton kell elvégezni, a fordítás időigényes lehet. A gyorsítás érdekében a számítógép általában a korábban meglátogatott weboldalak DNS találataiból saját másolatot őriz meg. Ez az úgynevezett „DNS gyorsítótár". A számítógép időt takarít meg a felhasználónak, és nem árasztja el az internetet olyan kérdésekkel, amelyekre már ismeri a választ, mivel a tényleges hálózati lekérdezés előtt a gyorsítótárban keres.
A helyi DNS gyorsítótár azonban visszaélésekre is alkalmat ad. A személyes adatok fürkészői trójai program segítségével módosíthatják a gyorsítótár tartalmát, hogy amikor a felhasználó legközelebb megadja online bankja címét, már az álweboldalra irányítsák, amely pontos mása az eredetinek. A felhasználó így bejelentkezéskor gyanútlanul kiadja azonosítóját. A művelet teljesen észrevétlen marad, mivel a PC nem tudja megítélni, hogy egy adott cím azért szerepel-e a gyorsítótárban, mert korábban meglátogatta a felhasználó, vagy mert valamely kártékony program oda beírta. A PC mindkét esetben az online bank bejegyzéseként értelmezi, és fenntartások nélkül megbízik benne.
A támadásokhoz alkalmazott trójai programok e-mail mellékletként vagy webhivatkozásra kattintva tölthetők le, leggyakrabban azonban akkor ágyazódnak be a számítógépre, ha a felhasználó ingyenesen letölthető anyagokat, például képernyővédőt, játékokat vagy pornográf jellegű alkalmazásokat tölt le, amelyek "ingyenes" hozzáférést kínálnak kétes tartalmakhoz. Ha számítógépe védelméről hatékony és naprakész vírusvédelem gondoskodik, a trójai programok nem juthatnak be. Ha viszont a vírus védtelen számítógépet talál meg, a felhasználó észre sem veszi, hogy az működésbe lépett.
A támadók ezenkívül a böngésző hibáit kihasználó, kártékony szkriptet is elhelyezhetnek, így megfertőzhetik az adott weboldalt látogató felhasználók számítógépeit. Az elmúlt években erre már volt példa számos gyakran látogatott weboldal esetében. A módszer rendkívül vonzó, hiszen egyetlen támadással gyanútlan áldozatok garmadája csalható kelepcébe. A kiemelten biztonságos weboldalakra azonban elég nehéz bejutni, ezért ez a támadástípus nem túlzottan gyakori.
Az internetszolgáltatók kiszolgálói rendkívül biztonságosak, és ezen a szinten a legnehezebb a DNS mérgezést kivitelezni az eltérítéses adathalászoknak, így ez a módszer fordul elő a legritkábban. Ennek ellenére kitűnő alkalmat kínál a "pharmereknek", hogy egyetlen támadással számtalan azonosítót "arassanak le", ezért erre a fenyegetéstípusra az internetszolgáltatók és a hálózatbiztonsági iparág továbbra is kiemelt figyelmet fordít. Az internetszolgáltatók DNS kiszolgálóinak szigorú védelmi szintje miatt a hackerek már kisebb, kevésbé védett DNS kiszolgálókat is célba vettek, például vállalatoknál. Az évek folyamán számos vállalat DNS kiszolgálóját mérgezték meg ekképp a hackerek. A támadások azonban nem voltak túl kifinomultak: függetlenül a megadott URL-címtől, a felhasználók mindig ugyanarra a gyógyszertári weboldalra kerültek. Ha a hackerek egy kicsit "rafináltabbak", most tetemesebb károkról beszélnénk.
A DNS manipuláció további módja az úgynevezett „helyettesítő karakteres DNS mérgezés", amely hagyományos adathalászati csalikkal bírja rá a fogyasztókat különböző weboldalak látogatására, amelyek hitelesnek tűnnek. (Lásd a mellékelt cikket.) Az ilyen csalás az eltérítéses adathalászattal (pharming) szemben könnyen kiszűrhető és elkerülhető, ha követjük Rosenkrantz tanácsait: „SOHA ne válaszoljon olyan e-mail üzenetre, azonnali üzenetre, szalagcím-reklámra vagy előugró kérésre, amely weboldalra látogatást és/vagy azonosító adatokat kér”.
Rosenkrantz a következő óvintézkedéseket javasolja az eltérítéses adathalászattal szemben:
