Um ataque de pharming é uma estratégia engenhosa que engana utilizadores, frequentemente sem requerer qualquer descuido por parte deles. Vamos analisar detalhadamente este método e compreender como nos podemos proteger.
Imagine entrar na sua conta bancária online através de um endereço web legítimo e, pouco depois, ver as suas economias de uma vida desaparecerem.
Essa é uma das formas como os ataques de pharming se manifestam.
O termo “pharming” é uma combinação de “phishing” (ataque) e “farming” (agricultura) 🚜.
De forma simples, o phishing exige que clique num link suspeito (o tal “descuido”), o qual descarrega software malicioso, resultando em perdas financeiras. Pode também ser um email do seu “CEO” a pedir uma transferência bancária “urgente” para um “fornecedor”, um golpe particularmente sofisticado conhecido como fraude de phishing de alto nível.
Em resumo, o phishing necessita da sua ação, enquanto os ataques de pharming, na maioria das situações, não.
O que é um ataque de Pharming?
Estamos familiarizados com os nomes de domínio (como etechpt.com), enquanto as máquinas interpretam endereços IP (como 24.237.29.182).
Quando inserimos um endereço web (nome de domínio), ele (o pedido) é direcionado para os servidores DNS (o catálogo telefónico da internet), que o associam ao endereço IP correspondente.
Consequentemente, os nomes de domínio têm pouca conexão direta com os sites propriamente ditos.
Por exemplo, se o servidor DNS associar um nome de domínio a um endereço IP falso que aloja um site adulterado, é isso que verá, independentemente do URL “correto” que tenha introduzido.
Assim, o utilizador inadvertidamente fornece os seus dados – números de cartão, números de identificação, credenciais de login, etc. – à cópia fraudulenta, acreditando que é autêntica.
Isto torna os ataques de pharming particularmente perigosos.
São executados com grande precisão, agem de forma discreta e a vítima não se apercebe de nada até começar a receber notificações de “valor debitado” das suas contas bancárias. Ou então, as suas informações pessoais são vendidas na dark web.
Vamos analisar o seu modus operandi em detalhe.
Como Funciona um Ataque de Pharming?
Estes ataques são organizados em duas vertentes, afetando o utilizador ou um servidor DNS inteiro.
#1. Pharming ao nível do utilizador
É semelhante ao phishing, em que clica num link suspeito que descarrega malware. Este, posteriormente, altera o ficheiro host (também conhecido como registos DNS locais), e o utilizador acede a uma réplica maliciosa de um site legítimo.
O ficheiro host é um ficheiro de texto que guarda registos DNS geridos localmente, facilitando conexões mais rápidas com menos latência.
Normalmente, os administradores de websites utilizam o ficheiro host para testar sites antes de modificar os registos DNS reais no registrador de domínio.
Contudo, o malware pode introduzir entradas falsas no ficheiro host local do seu computador. Desta forma, mesmo introduzindo o endereço correto do site, será encaminhado para um site fraudulento.
#2. Pharming ao nível do servidor
O que acontece a um único utilizador pode ser feito a um servidor inteiro.
Esta prática é conhecida como envenenamento de DNS, falsificação de DNS ou sequestro de DNS. Uma vez que ocorre ao nível do servidor, as vítimas podem ser centenas ou milhares, senão mais.
Os servidores DNS alvo são geralmente mais difíceis de controlar, o que torna esta manobra arriscada. No entanto, se bem-sucedida, as recompensas para os cibercriminosos são muito maiores.
O pharming ao nível do servidor é executado através do sequestro físico de servidores DNS ou de ataques man-in-the-middle (MITM).
Este último consiste numa manipulação de software entre o utilizador e o servidor DNS, ou entre servidores DNS e servidores de nomes DNS autorizados.
Adicionalmente, um hacker pode alterar as configurações de DNS do seu router WiFi, o que é conhecido como redirecionamento de DNS local.
Ataques de Pharming Documentados
Um ataque de pharming ao nível do utilizador costuma passar despercebido e raramente é reportado. Mesmo quando registado, raramente chega aos meios de comunicação.
Adicionalmente, a sofisticação dos ataques ao nível do servidor torna-os difíceis de detetar, a menos que os cibercriminosos gastem uma grande quantia, afetando um grande número de pessoas.
Vamos analisar alguns casos para perceber como funcionaram na prática.
#1. Curve Finance
A Curve Finance, uma plataforma de troca de criptomoedas, sofreu um ataque de envenenamento de DNS a 9 de agosto de 2022.
Temos um breve relato de @iwantmyname sobre o que aconteceu. Resumidamente: envenenamento do cache DNS, não comprometimento do servidor de nomes. https://t.co/PI1zR96M1Z
Ninguém na web está 100% a salvo destes ataques. O que aconteceu sugere fortemente que comecemos a usar ENS em vez de DNS
— Curve Finance (@CurveFinance) 10 de agosto de 2022
Nos bastidores, foi o iwantmyname, fornecedor de DNS da Curve, que foi comprometido, direcionando os utilizadores para um site falso e causando perdas de mais de 550 mil dólares.
#2. MyEtherWallet
O dia 24 de abril de 2018 foi um dia negro para alguns utilizadores da MyEtherWallet. Esta é uma carteira Ethereum (uma criptomoeda) gratuita e de código aberto com protocolos de segurança robustos.
Apesar de todos os seus aspetos positivos, a experiência deixou um sabor amargo na boca dos seus utilizadores, com um roubo de 17 milhões de dólares.
Tecnicamente, o BGP Hijacking foi executado no serviço Amazon Route 53 DNS – usado pela MyEtherWallet – o que redirecionou alguns dos seus utilizadores para uma réplica de phishing. Estes introduziram os seus dados de login, o que deu aos criminosos acesso às suas carteiras de criptomoedas, causando uma perda financeira abrupta.
No entanto, um erro flagrante do utilizador foi ignorar o aviso de SSL do navegador.
Declaração oficial da MyEtherWallet sobre o golpe.
#3. Principais Bancos
Em 2007, utilizadores de cerca de 50 bancos foram alvo de ataques de pharming, resultando em perdas desconhecidas.
Este ataque clássico de comprometimento de DNS direcionava os utilizadores para sites maliciosos, mesmo quando estes introduziam os URLs oficiais.
No entanto, tudo começou com as vítimas a acederem a um site malicioso que descarregou um trojan devido a uma vulnerabilidade do Windows (já corrigida).
Posteriormente, o vírus pedia aos utilizadores para desligarem o antivírus, firewalls, etc.
Em seguida, os utilizadores foram encaminhados para sites falsos de grandes instituições financeiras nos EUA, Europa e Ásia-Pacífico. Existem mais eventos deste tipo, mas operam de forma semelhante.
Sinais de Pharming
O pharming essencialmente dá o controlo total das suas contas online afetadas ao agente da ameaça. Pode ser o seu perfil do Facebook, conta bancária online, etc.
Se for vítima, verá atividades não registadas. Pode ser uma publicação, uma transação ou simplesmente uma alteração inesperada na sua foto de perfil.
Neste caso, deve agir de imediato se verificar algo que não se recorda de ter feito.
Proteção Contra Pharming
Baseado no tipo de ataque (nível de utilizador ou servidor) ao qual está sujeito, existem algumas formas de se proteger.
Como a implementação ao nível do servidor não é o foco deste artigo, vamos concentrar-nos no que pode fazer enquanto utilizador final.
#1. Use um Antivírus Premium
Um bom antivírus é meio caminho andado. Ajuda a proteger contra a maioria dos links não autorizados, downloads maliciosos e sites fraudulentos. Embora existam antivírus gratuitos para o seu computador, os pagos geralmente funcionam melhor.
#2. Defina uma senha forte para o router
Os routers WiFi podem também funcionar como mini servidores DNS. Consequentemente, a sua segurança é essencial e começa com a eliminação das senhas predefinidas pelo fabricante.
#3. Escolha um ISP de Confiança
Para a maioria de nós, os fornecedores de serviços de Internet também atuam como servidores DNS. E, pela minha experiência, o DNS do ISP oferece um ligeiro aumento de velocidade quando comparado com serviços DNS públicos gratuitos como o DNS público do Google. No entanto, é importante escolher o melhor ISP disponível, não só pelas velocidades, mas também pela segurança geral.
#4. Use um Servidor DNS Personalizado
Mudar para um servidor DNS diferente não é difícil ou invulgar. Pode usar o DNS público gratuito do OpenDNS, Cloudflare, Google, etc. No entanto, o importante é que o fornecedor de DNS tenha acesso à sua atividade na web. Portanto, deve ter em atenção a quem está a dar acesso à sua atividade online.
#5. Use VPN com DNS Privado
O uso de VPN adiciona várias camadas de segurança, incluindo o seu DNS personalizado. Isto não só protege contra cibercriminosos, mas também da monitorização do ISP ou do governo. Ainda assim, deve certificar-se de que a VPN possui servidores DNS encriptados para a melhor proteção possível.
#6. Mantenha uma Boa Higiene Cibernética
Clicar em links duvidosos ou anúncios bons demais para serem verdade é uma das principais formas de ser enganado. Embora um bom antivírus faça o seu trabalho e o alerte, nenhuma ferramenta de segurança cibernética garante uma taxa de sucesso de 100%. No final, a responsabilidade de se proteger recai sobre si.
Por exemplo, deve colar qualquer link suspeito nos motores de busca para verificar a sua fonte. Além disso, devemos garantir o HTTPS (indicado por um cadeado na barra de URL) antes de confiar em qualquer site.
Adicionalmente, a limpeza periódica do seu DNS certamente ajudará.
Cuidado!
Os ataques de pharming são antigos, mas a forma como operam é subtil o suficiente para dificultar a sua identificação. A causa principal destes ataques são as inseguranças do DNS nativo, que não são totalmente resolvidas.
Consequentemente, nem sempre depende de si. No entanto, as proteções aqui listadas vão ajudar, especialmente o uso de uma VPN com DNS encriptado como o ProtonVPN.
Embora o pharming seja baseado em DNS, sabia que os golpes também podem ser baseados em Bluetooth? Consulte este guia de bluesnarfing para verificar como é feito e como se pode proteger.