Ataki typu „phishing” są już dobrze znane — „Polegają na użyciu wiadomości e-mail, komunikatorów internetowych lub banerów reklamowych w celu skłonienia klienta do odwiedzenia „sfałszowanej” witryny internetowej, w której użytkownicy są następnie proszeni o podanie haseł i innych poufnych informacji” — wyjaśnia Bill Rosenkrantz, menedżer ds. grupy produktów w firmie Symantec zajmujący się rozwiązaniami w zakresei zabezpieczeń internetowych. Specjaliści zaobserwowali, że po latach ciągłego wzrostu liczba ataków tego typu zaczęła maleć. „Użytkownicy nauczyli się radzić sobie z atakami typu „phishing” — mówi Rosenkrantz. Oczywiście piraci i oszuści niechętnie rezygnują z łatwego źródła dochodów. Dlatego też opracowali nową metodę ataku, która jest jeszcze trudniejsza do wykrycia niż „phishing” — mowa o atakach typu „pharming”. „W przypadku tego rodzaju ataku użytkownik może zostać automatycznie przeniesiony do sfałszowanej witryny, mimo że będzie uważać, że korzysta z autentycznej witryny instytucji finansowej lub handlowej” — podkreśla Bill Rosenkrantz. „Ataki typu „pharming” mogą być niemożliwe do wykrycia. Póki co nie jest to rozpowszechnione zagrożenie, ale jego znaczenie rośnie”.
Na czym dokładnie polega atak typu „pharming”? Upraszczając, atak typu „pharming” polega na zmanipulowaniu „pytań o kierunek”, które zgłasza komputer w celu odnalezienia żądanej witryny internetowej. Te manipulacje powodują dyskretne przekierowanie do sfałszowanej witryny. Najniebezpieczniejsze jest to, że użytkownik nie podejrzewa, że korzysta z witryny innej niż autentyczna.
Ataki typu „pharming” mogą mieć trzy postacie:
Oprogramowanie serwera nazw domenowych (DNS) umożliwia translację wpisywanej nazwy domeny witryny internetowej na jej adres sieciowy (adres IP) — na przykład nazwy www.twojbank.pl na adres 146.04.04.04. Jednak translacja odbywa się przy użyciu sieci, co musi chwilę potrwać. Aby przyspieszyć wymianę danych, komputer zazwyczaj zapisuje kopię odpowiedzi DNS dla odwiedzonych wcześniej witryn. Jest to tzw. „pamięć podręczna DNS”. Sprawdzając pamięć podręczną przed wysłaniem właściwego żądania sieciowego, komputer automatycznie oszczędza czas i nie wysyła do Internetu pytań, na które zna już odpowiedzi.
Podręczną pamięć DNS można jednak wykorzystać do niewłaściwych celów. Złodzieje tożsamości mogą — przy użyciu konia trojańskiego — tak zmodyfikować pamięć podręczną w komputerze, aby po wpisaniu adresu banku internetowego użytkownik został przeniesiony do sfałszowanej witryny (która wygląda dokładnie tak samo jak witryna autentyczna), a następnie nieopatrznie ujawnił swoje informacje identyfikacyjne podczas logowania. Ten sposób zadziała, ponieważ komputer nie dysponuje metodą rozpoznania, czy adres znalazł się w pamięci podręcznej w wyniku wcześniejszych odwiedzin, czy też działania destrukcyjnego programu. W obu przypadkach w przeglądarce będzie wyświetlany adres banku internetowego, który nie wzbudzi podejrzeń.
Konie trojańskie używane do tego rodzaju ataków mogą być przesyłane w załącznikach wiadomości e-mail lub za pomocą łączy. Najczęściej spotykana metoda polega jednak na dodaniu odpowiednich wpisów podczas instalowania pobranych bezpłatnie materiałów, takich jak wygaszacze ekranu, gry lub programy pornograficzne (które oferują np. „bezpłatny” dostęp do podejrzanej zawartości). Skuteczna i aktualna ochrona antywirusowa uniemożliwia koniom trojańskim przeniknięcie do komputera. Jednak w przypadku niezabezpieczonego komputera użytkownik najprawdopodobniej wcale nie będzie wiedzieć o działaniu konia trojańskiego.
„Zatruwanie” adresów DNS w komputerze lokalnym to najczęściej spotykana metoda ataków typu „pharming”, ale internetowi włamywacze podejmowali także próby złamania kodu autentycznych witryn internetowych. Zazwyczaj robią to w celu nieautoryzowanego wprowadzenia skryptu, który umożliwi manipulowanie użytkownikami odwiedzającymi witrynę. Może to polegać po prostu na dodaniu łącza prowadzącego do sfałszowanej witryny. Nad oknem autentycznej witryny może być także wyświetlane sfałszowane okno (tzw. „pop-over”). W sfałszowanym oknie mogą być następnie wyświetlane monity o podanie informacji identyfikacyjnych w celu zalogowania się, zgłoszenia problemu z kontem lub wzięcia udziału w ankiecie organizowanej przez autentyczną witrynę.
Włamywacze mogą także przygotować destrukcyjny skrypt, który — wykorzystując błędy w przeglądarce — może zainfekować komputer użytkownika podczas korzystania z Internetu. W ciągu ostatnich lat celem takich ataków było kilka dużych witryn internetowych. Perspektywa „złapania w sieć” bardzo wielu ofiar za pomocą jednego ataku jest kusząca, ale ze względu na utrudnienia związane z przeniknięciem do dobrze zabezpieczonych witryn internetowych tego rodzaju ataki są stosunkowo rzadkie.
Podobnie jak komputer, który dla wygody zapisuje żądania DNS, serwer używany przez usługodawcę internetowego także utrzymuje pamięć podręczną najczęstszych translacji adresów DNS. W przypadku usługodawców pamięć podręczna to więcej niż narzędzie — to sposób działania. Jeśli wszyscy klienci dużego dostawcy usług internetowych chcą skorzystać z tej samej witryny sportowej po jakimś znaczącym wydarzeniu, serwer DNS może zaoszczędzić dużo czasu, przesyłając wszystkim znaną już sobie odpowiedź. W ostatnich miesiącach złodzieje próbowali „zatruwać” pamięci podręczne serwerów, aby użytkownicy wpisujący prawidłowy adres URL byli przenoszeni do sfałszowanej witryny podszywającej się pod prawdziwą. W witrynie użytkownik może być proszony o zalogowanie się, co oznacza ujawnienie informacji identyfikacyjnych oraz pobranie do komputera koni trojańskich lub oprogramowania typu „spyware” służącego do kradzieży informacji.
Serwery usługodawców internetowych są dokładnie zabezpieczane i zatruwanie adresów DNS na tym poziomie jest najtrudniejszą i najrzadszą metodą wykonywania ataku typu „pharming”. Jest to jednak najskuteczniejszy sposób, w jaki internetowi przestępcy mogą uzyskać wiele danych za jednym zamachem — dostawcy usług internetowych i branża zabezpieczeń sieciowych będzie więc nadal bacznie przyglądać się temu problemowi. Ze względu na dokładne zabezpieczenie serwerów DNS usługodawców włamywacze internetowi obrali sobie za cel mniejsze i gorzej chronione serwery DNS należące do firm. W ciągu ostatnich lat kilka firm padło ofiarą włamań do serwerów DNS i ich zatrucia. Nie były to zaawansowane ataki — niezależnie od wpisanego adresu URL użytkownicy byli przenoszeni do witryny firmy farmaceutycznej zawierającej reklamy popularnych lekarstw. Gdyby sieciowi włamywacze bardziej się postarali, te ataki byłyby znacznie groźniejsze.
Inna metoda manipulowania adresami DNS, tzw. „zatruwanie” adresów DNS przy użyciu symboli wieloznacznych (Wild Card DNS Poisoning), polega na wykonaniu konwencjonalnego ataku typu „phishing” w celu skłonienia użytkowników do odwiedzenia witryny internetowej o adresie URL, który nie wzbudza podejrzeń. (Więcej informacji w dołączonym artykule). „Ten rodzaj oszustwa, w odróżnieniu od ataków typu „pharming”, jest łatwy do wykrycia i zwalczania” — mówi Rosenkrantz. „Wystarczy NIGDY nie odpowiadać na wiadomości e-mail i wiadomości komunikatorów internetowych, nie klikać banerów i okienek reklamowych zachęcających do odwiedzenia danej witryny internetowej i wprowadzenia swoich informacji identyfikacyjnych”.
„Tak jak w przypadku innych metod kradzieży tożsamości” — mówi Rosenkrantz — „najważniejsze jest zachowanie zdrowego rozsądku i sprawdzanie comiesięcznych wyciągów bankowych i kredytowych pod kątem podejrzanych transakcji. W większości przypadków niezwłoczne zgłoszenie nieprawidłowości pozwoli uniknąć strat”.
Rosenkrantz zaleca zabezpieczenie się przed atakami typu „pharming” w następujący sposób:
