Przestępstwa typu „pharming” a ataki typu „phishing” — na czym polega różnica?
Oszustwa typu „phishing” odbywają się według dobrze znanego już wielu osobom scenariusza. Ich sprawcy zarzucają przynętę — pozornie wiarygodną wiadomość e-mail z instytucji finansowej, banku lub dobrze znanego sklepu internetowego. Jej adresat jest informowany, że w danej instytucji doszło do naruszenia bezpieczeństwa lubwystąpiły inne problemy techniczne. Dołączona jest prośba o natychmiastowe przesłanie rzekomo utraconych informacji lub o skorzystanie ze specjalnie spreparowanego łącza, będącego w rzeczywistości pułapką, przez którą ofiara ląduje w fałszywej witrynie, łudząco przypominającej autentyczną. Po skłonieniu niczego nie spodziewającej się osoby do odwiedzenia tej sfałszowanej lokalizacji w Internecie oszust z łatwością może wydobyć od niej potrzebne informacje osobiste.
Oczywiście nie każdy adresat fałszywej wiadomości e-mail robi zakupy w sklepie internetowym ACME Online Superstore, jednak wystarczy, że kilka z wielu milionów rozesłanych wiadomości trafi do jego prawdziwych klientów, aby oszustwo okazało się opłacalne. A co to oznacza? Przestępcy mogą wykraść tysiące tożsamości, zainfekować miliony komputerów irytującym oprogramowaniem typu „adware” lub „spyware” i zaatakować inne systemyza pomocą destrukcyjnych kodów.
Obecnie zagrożenia typu „phishing” stają się na szczęście przeżytkiem. Użytkownicy nauczyli się, że nie należy przesyłać osobistych informacji pocztą elektroniczną. Wiedzą więcej o metodach wyłudzania informacji i w razie wątpliwości częściej są skłonni zatelefonować do banku. Ponieważ rosnąca wśród użytkowników świadomość zagrożeń może udaremnić działania piratów, opracowali oni nową technikę. W ten sposób narodziła się metoda ataku typu „pharming”.
Ataki te są bardziej podstępne. Zasada jest prosta: zamiast maskowania rzeczywistego adresu witryny, do którego prowadzi podawane użytkownikowi łącze, sprawcy ataku typu „pharming” sabotują sam proces odpowiedzialny za to, że komputer odwiedza daną stronę internetową. Skuteczność tej taktyki wynika z jej wyjątkowej przebiegłości. W tym scenariuszu haker wcale nie polega na tym, że użytkownik kliknie sfałszowane łącze lub wprowadzi odpowiedni adres w wyszukiwarce, gdyż ofiara jego ataku trafia na spreparowaną witrynę internetową, zdradzona przez własny komputer! Istnieją jednak sposoby uniknięcia tego rodzaju oszustwa. Sekretem skutecznej ochrony jest w tym przypadku zdobywanie informacji o zagrożeniach oraz stała czujność.
Ataki typu „pharming” mogą miećdwie postacie. Pierwszy sposób, znany jako „lokalny”, polega na przekierowaniu użytkowników Internetu z autentycznych witryn internetowychdo fałszywych za pomocą techniki zwanej „zatruwaniem” pamięci podręcznej DNS. Wymaga ona zmodyfikowania części systemu użytkownika odpowiedzialnej za skojarzenie witryny internetowej z określonym adresem jeszcze przed wysłaniem zapytania do Internetu. Na skutek tego, chociaż użytkownik wpisze prawidłowy adres URL, skojarzony z nim adres IP, do którego zostanie przekierowany komputer, będzie mimo wszystko fałszywy. Celem drugiej odmiany ataku typu „pharming” są serwery DNS należące do firmy lub usługodawcy internetowego. Są to serwery odpowiedzialne za kierowaniem połączeniami w Internecie. Zakłócając pracę tych serwerów, pirat może w sposób dyskretny przekierowywać połączenia wszystkich użytkowników z danej firmy bez potrzeby włamywania się doich komputerów.
Atakiem w pierwszej postacimoże być zagrożony każdy, jednak w celu jego przeprowadzeniahaker musi najpierw zainfekować komputer ofiary lub włamać się do niego, aby móc zmodyfikować lokalne pliki odpowiedzialne za rozpoznawanie nazw DNS. Realizując atak w drugiej postaci, pirat musi faktyczniewłamać się do serwera DNS, z którego korzystają komputery użytkowników. W przypadku tego scenariusza użytkownik nie może nic zrobić: zapewnienie właściwej ochrony serwera należy do pracowników działu informatycznego firmy lub usługodawcy internetowego.
Jak można zapobiec tym atakom?
Usługodawcy internetowi dokładają wszelkich starań, żeby po swojej stronie zablokować witryny internetowe używane do ataków typu „pharming”. Użytkownik powinien przede wszystkim zweryfikować autentyczność witryny internetowej. Jednak, aby uchronić się przed atakami tego typu, nie wystarczy korzystać z jednej metody zabezpieczeń. Należy pamiętać, że większość z tych metod uwierzytelniania jest skonfigurowana tak, aby funkcjonować tylko na stronach, gdzie użytkownik jest proszony o podanie informacji osobistych. Należy korzystać z usług zaufanego i wiarygodnego usługodawcy internetowego. Rygorystyczne zabezpieczenia stosowane przez dostawcę usług internetowych są pierwszą linią obrony przed atakami typu „pharming”.
Sprawca ataków maskuje rzeczywisty adres URL adresem, który wygląda autentycznie lub ma podobną pisownię. Należy na pasku adresu przeglądarki internetowej sprawdzić, czy wyświetlany adres ma prawidłową pisownię. Na przykład po wpisaniu adresu http://www.google.com powinien zostać wyświetlony identyczny adres. Adres witryny wykorzystywanej w ataku typu „pharming” w tym przypadku mógłby być wyświetlany na przykład jako http://www.nsgoogle.com.
Należy sprawdzić certyfikat odwiedzanej witryny. Wystarczy kilka sekund, aby przekonać się, czy jest ona autentyczna. W tym celu w najnowszej wersji programu Internet Explorer (i w wielu innych ogólnodostępnych przeglądarkach internetowych) należy przejść do menu „Plik” i wybrać polecenie „Właściwości” lub kliknąć okno przeglądarki prawym przyciskiem myszy i wybrać polecenie „Właściwości”. Następnie w oknie „Właściwości” należy kliknąć przycisk „Certyfikaty” i sprawdzić, czy witryna posiada bezpieczny certyfikat, wystawiony przez zaufany urząd. Musi on zawierać prawidłową nazwę firmy oraz rzeczywiście odwiedzany przez użytkownikaadres.
Na dole okna przeglądarki lub na pasku zadań komputera powinna być wyświetlana ikona kłódki lub klucza. Zamknięta kłódka lub cały klucz oznaczają, że nawiązano bezpieczne połączenie szyfrowane. Otwarta kłódka lub złamany klucz sygnalizują, że połączenie nie jest zabezpieczone. Bezpieczne połączenie z fałszywą witryną nie zabezpiecza, rzecz jasna, przed niczym. Dlatego najpierw należy sprawdzić, czy wyświetlony certyfikat rzeczywiście potwierdza tożsamość odwiedzanej strony.
Zainstalowanie programu antywirusowego pochodzącego od zaufanego dostawcy oprogramowania pozwala zmniejszyć zagrożenie atakami typu „pharming”. W celu zabezpieczenia danych przed hakerami, wirusami, robakami i końmi trojańskimi należy stosować osobiste zapory ogniowe. Należy również dbać o pobieranie najnowszych aktualizacji (czyli poprawek) zabezpieczeń systemu operacyjnego oraz przeglądarki internetowej.
Symantec