Vi känner alla till nätfiske: ”Vid nätfiske används e-post, snabbmeddelanden och webbannonser för att locka konsumenter till en ”falsk” webbplats där de uppmanas att ange kontolösenord och andra hemliga uppgifter”, förklarar Bill Rosenkrantz, Group Product Manager för Symantecs säkerhetslösningar för Internet. Efter år av konstant ökning har nu experter upptäckt att nätfiskeangreppen verkar avta. ”Konsumenterna har lärt sig att stå emot nätfiskeangreppen”, säger Rosenkrantz. Naturligtvis vill inte pirater och bedragare ge upp sina lättförtjänta pengar. De har hittat på ett nytt angrepp som är mycket svårare att upptäcka: så kallad pharming. ”Pharming kan automatiskt skicka användare till den falska webbplatsen fast de tror att de är på väg att besöka en riktig bank- eller affärswebbplats”, bekräftar Bill Rosenkrantz. Han menar att s.k. pharming ”kan vara omöjlig att upptäcka. Det har inte spridits så mycket än, men det växer hela tiden.”
Så vad är så kallad pharming? Vid den enklaste formen av pharming manipuleras den ”vägvisning” som en dator frågar efter för att hitta önskad webbplats. Det gör att datorn leds till en falsk webbplats. Det här är förvirrande eftersom webbplatsen fortfarande ser ut som den riktiga platsen och du tror att du har kommit rätt.
DNS-program (Domain name server) översätter det domännamn som du anger i webbplatsens verkliga adress i nätverket (dess IP-adress), t.ex. så kan www.dinbank.com översättas till 146.04.04.04. Eftersom det här måste göras via nätverket så kan översättningen ta tid. För att skynda på det här behålls vanligtvis en kopia av DNS-resultaten för de webbplatser du besökt tidigare i din dator. Det här kallas för en DNS-cache. Datorn sparar tid och undviker att överbelasta Internet genom att först titta i cachen innan en verklig nätverksfråga startas.
Men en lokal DNS-cache kan även missbrukas. ID-tjuvar kan med hjälp av en trojankod försöka ändra din cache. När du sedan anger namnet på din Internetbank så skickas du till en falsk webbplats som ser ut exakt som den riktiga webbplatsen, och när du loggar in avslöjar du omedvetet dina ID-uppgifter. Det här fungerar eftersom din dator inte vet om en adress finns i cachen för att du har besökt den förut eller om det är skadliga program som har skrivit dit den. Oavsett vilket så ser datorn en post för din Internetbank och litar på den.
Trojanprogrammen som används i de här angreppen kan överföras via e-postbilagor och webblänkar. Det vanligaste sättet är dock att bädda in dem i gratismaterial som skärmsläckare, spel och program med pornografiskt innehåll som hämtas av datoranvändarna själva. Effektiva och uppdaterade virusskydd förhindrar trojaner att tränga in i datorn. Om ett sådant virus kommer in i en oskyddad dator dock, märker användaren det förmodligen inte ens.
DNS-förgiftning på lokala datorer är den vanligaste formen av s.k. pharming, men hackare har även försökt att bryta sig in i koden till de riktiga webbplatserna. Det gör de för att infoga ett skript som sedan manipulerar webbplatsens besökare. Det kan vara så enkelt som att lägga till en länk på den verkliga webbplatsen. När användare sedan klickar på den så dirigeras de till den falska webbplatsen. Det kan även vara utformat så att ett falskt webbläsarfönster visas över den riktiga webbplatsen (s.k. pop-over). Det här falska fönstret kan utge sig för att vara en inloggningssida, ett besked om kontoproblem eller en enkät som kommer från den riktiga webbplatsen och där du uppmanas att ange din ID-information.
Angripare kan också lägga in skadliga skript som utformats för att utnyttja svagheter i webbläsaren och på så sätt infektera användarnas datorer när de besöker webbplatsen. Det här har redan hänt flera stora webbplatser under de senaste åren. Möjligheten att fånga in ett stort antal ovetande offer med hjälp av ett enda angrepp gör det här taktiskt lockande, men svårigheten att tränga igenom välbevakade webbplatser har gjort att det inte inträffar så ofta.
Servern hos din Internetleverantör har precis som din dator en cache med vanliga DNS-översättningar för att spara tid. För dem är en cache mer än något som underlättar - den är en nödvändighet. När alla abonnenter hos en större Internetleverantör vill nå samma webbplats med sportresultat efter ett större evenemang, kan DNS-servern spara mycket tid genom att redan veta svaret på alla förfrågningar. Under de senaste månaderna har tjuvar försökt ”förgifta” de här cacharna så att användare som anger en korrekt URL-adress dirigeras om till en olaglig webbplats som framstår som den riktiga platsen. På de här webbplatserna uppmanas användaren att logga in och på så sätt avslöja sina ID-uppgifter. Webbplatserna kan även ladda ned trojaner och virus till användarens dator, eller spionprogram som stjäl ID-information.
Internetleverantörernas servrar är väldigt säkra och DNS-förgiftning på den här nivån är den svåraste formen av s.k. pharming och den minst vanliga. Trots det ger den s.k. pharmers den bästa möjligheten att samla in stora mängder identiteter i ett enda angrepp, så det här är ett hot som Internetleverantörerna och nätverkssäkerhetsbranschen fortsätter att fokusera på. Eftersom Internetleverantörernas DNS-servrar är så skyddade har hackare redan börjat angripa mindre, mer oskyddade DNS-servrar som tillhör företag. Under de senaste åren har flera företag fått sina DNS-servrar angripna och förgiftade av hackare. De här angreppen var inte särskilt sofisitikerade. Vilka URL-adresser som användarna än skrev så dirigerades de om till en läkemedelswebbplats där man gjorde reklam för populär medicin. Om hackarna hade haft lite mer finess så kunde de här incidenterna ha blivit betydligt allvarligare.
En annan form av DNS-manipulering är DNS-förgiftning via jokertecken. Då används vanliga metoder för nätfiske och konsumenter ombeds att besöka en webbplats som har en URL-adress som verkar riktig och korrekt. (Se tillhörande artikel.) Den här sortens bedrägeri är, till skillnad från pharming, lätt att upptäcka och undvika. Rosenkrantz säger: ”Besök ALDRIG webbplatser som du ombes gå till och/eller ge ALDRIG ut ID-information som efterfrågas i e-postmeddelanden, snabbmeddelanden, webbannonser eller popup-fönster.”
Rosenkrantz säger: ”Det viktigaste vid alla typer av potentiell identitetsstöld är att ha ett sunt förnuft. Kontrollera kontoutdragen från banken varje månad och se om det finns några konstiga, misstänkta transaktioner. I de flesta fall ersätts du för eventuell förlust om du bara rapporterar det med en gång.”
Rosenkrantz rekommenderar följande försiktighetsåtgärder mot s.k. pharming:
