Como se proteger de um ataque de Pharming

Um ataque pharming é um mecanismo sofisticado que frauda os usuários (principalmente) sem precisar de nenhum ‘erro bobo’ de sua parte. Vamos decodificar isso e ver como proteger.

Imagine fazer login no seu banco on-line usando um endereço da Web legítimo e ver as economias de uma vida desaparecerem logo depois.

Essa é uma das maneiras pelas quais os ataques de pharming se parecem.

O termo pharming é cunhado de phishing (ataque) e agricultura 🚜.

Simplificando; phishing exige que você clique em um link suspeito (o erro bobo), que baixa malware resultando em perdas financeiras. Além disso, pode ser um e-mail do seu ‘CEO’ pedindo para fazer uma transferência bancária ‘urgente’ para um ‘fornecedor’, um golpe de categoria especial conhecido como fraude de phishing baleeiro.

Resumindo, o phishing precisa da sua participação ativa, enquanto os ataques de pharming (na maioria dos casos) não.

O que é o ataque Pharming?

Estamos acostumados com nomes de domínio (como etechpt.com.com), enquanto as máquinas entendem endereços IP (como 24.237.29.182).

Quando digitamos um endereço web (nome de domínio), ele (a consulta) vai para os servidores DNS (lista telefônica da internet), que o correspondem ao endereço IP associado.

Consequentemente, os nomes de domínio têm pouco a ver com os sites reais.

Por exemplo, se o servidor DNS corresponder a um nome de domínio com um endereço IP não autêntico que hospeda um site falsificado, isso é tudo o que você verá, independentemente da URL ‘correta’ que você inseriu.

Em seguida, um usuário entrega sem esforço os detalhes – números de cartão, números de identificação, credenciais de login, etc. – para a paródia, pensando que é legítimo.

Isso torna os ataques de pharming perigosos.

Eles são extremamente bem feitos, funcionam furtivamente e o usuário final não sabe nada até receber mensagens de ‘valor debitado’ de seus bancos. Ou eles obtêm suas informações de identificação pessoal vendidas na dark web.

  As 8 principais soluções de software que testamos

Vamos verificar seu modus operandi em detalhes.

Como funciona o ataque Pharming?

Estes são orquestrados em dois níveis, com o usuário ou um servidor DNS inteiro.

#1. Pharming no nível do usuário

Isso é semelhante ao phishing e você clica em um link suspeito que baixa malware. Posteriormente, o arquivo do host (também conhecido como registros DNS locais) é alterado e um usuário visita uma aparência maliciosa de um site original.

Um arquivo host é um arquivo de texto padrão que salva registros DNS gerenciados localmente e abre caminho para conexões mais rápidas com menos latência.

Normalmente, os webmasters usam o arquivo host para testar sites antes de modificar os registros DNS reais no registrador de domínio.

No entanto, o malware pode gravar entradas falsas no arquivo host local do seu computador. Dessa forma, mesmo o endereço correto do site resulta em um site fraudulento.

#2. Pharming no nível do servidor

O que aconteceu com um único usuário também pode ser feito com um servidor inteiro.

Isso é denominado envenenamento de DNS ou falsificação de DNS ou sequestro de DNS. Como isso ocorre no nível do servidor, as vítimas podem ser centenas ou milhares, se não mais.

Os servidores DNS de destino geralmente são mais difíceis de controlar e são uma manobra arriscada. Mas, se feito, as recompensas são exponencialmente maiores para os cibercriminosos.

O pharming no nível do servidor é feito por sequestro físico de servidores DNS ou ataques man-in-the-middle (MITM).

O último é uma manipulação de software entre um usuário e o servidor DNS ou entre servidores DNS e servidores de nomes DNS autorizados.

Além disso, um hacker pode alterar as configurações de DNS do seu roteador WiFi, o que é conhecido como posicionamento de DNS local.

Ataques Pharming Documentados

Um ataque pharming no nível do usuário geralmente permanece oculto e raramente é relatado. Mesmo registrado, dificilmente chega aos meios de comunicação.

Além disso, a sofisticação dos ataques no nível do servidor também os torna difíceis de perceber, a menos que os cibercriminosos gastem uma quantia substancial de dinheiro, afetando muitas pessoas.

Vamos verificar alguns para ver como funcionou na vida real.

#1. Curve Finance

A Curve Finance é uma plataforma de troca de criptomoedas que sofreu um ataque de envenenamento de DNS em 9 de agosto de 2022.

Temos um breve relato de @iwantmyname sobre o que aconteceu. Resumindo: envenenamento do cache DNS, não comprometimento do servidor de nomes. https://t.co/PI1zR96M1Z

  Como encontrar média, mediana e moda em Python?

Ninguém na web está 100% a salvo desses ataques. O que aconteceu fortemente sugere começar a mudar para ENS em vez de DNS

— Curve Finance (@CurveFinance) 10 de agosto de 2022

Nos bastidores, foi o iwantmyname, provedor de DNS da Curve, que foi comprometido, enviando seus usuários para uma paródia e causando prejuízos de mais de US$ 550 mil.

#2. MyEtherWallet

24 de abril de 2018 foi um dia negro para alguns dos usuários do MyEtherWallet. Esta é uma carteira Ethereum (uma criptomoeda) gratuita e de código aberto com protocolos de segurança robustos.

Apesar de toda a bondade, a experiência deixou um gosto amargo na boca de seus usuários com um roubo líquido de US$ 17 milhões.

Tecnicamente, o BGP Hijacking foi executado no serviço Amazon Route 53 DNS – usado pela MyEtherWallet – que redirecionou alguns de seus usuários para uma réplica de phishing. Eles inseriram seus detalhes de login, o que deu aos criminosos acesso às suas carteiras de criptomoedas, causando uma drenagem financeira abrupta.

No entanto, um erro flagrante do usuário foi ignorar o aviso de SSL do navegador.

Declaração oficial da MyEtherWallet sobre o golpe.

#3. Principais Bancos

Em 2007, usuários de quase 50 bancos foram alvo de ataques de pharming, resultando em perdas desconhecidas.

Esse comprometimento clássico do DNS enviava os usuários para sites maliciosos mesmo quando eles inseriam os URLs oficiais.

No entanto, tudo começou com as vítimas visitando um site malicioso que baixou um trojan por causa de uma vulnerabilidade do Windows (agora corrigida).

Posteriormente, o vírus pediu aos usuários que desligassem o antivírus, firewalls, etc.

Posteriormente, os usuários foram enviados para sites de paródia das principais instituições financeiras nos EUA, Europa e Ásia-Pacífico. Existem mais eventos desse tipo, mas eles operam de maneira semelhante.

Sinais de Pharming

O pharming essencialmente dá controle total de suas contas online infectadas ao agente da ameaça. Pode ser o seu perfil do Facebook, conta bancária online, etc.

Se você for uma vítima, verá atividades não contabilizadas. Pode ser uma postagem, uma transação ou apenas uma mudança engraçada na foto do seu perfil.

Por fim, você deve começar com o remédio se houver algo que não se lembre de ter feito.

Proteção contra Pharming

Com base no tipo de ataque (nível de usuário ou servidor) ao qual você está sujeito, existem algumas maneiras de se proteger.

  Como adicionar uma nota a um arquivo de esboço

Como a implementação no nível do servidor não é o escopo deste artigo, vamos nos concentrar no que você pode fazer como usuário final.

#1. Use um Antivírus Premium

Um bom antivírus é metade do trabalho feito. Isso ajuda você a ficar protegido da maioria dos links não autorizados, downloads maliciosos e sites fraudulentos. Embora exista um antivírus gratuito para o seu PC, os pagos geralmente funcionam melhor.

#2. Defina uma senha de roteador forte

Os roteadores WiFi também podem funcionar como mini servidores DNS. Conseqüentemente, sua segurança é crucial e começa com a eliminação das senhas enviadas pela empresa.

#3. Escolha um ISP respeitável

Para a maioria de nós, os provedores de serviços de Internet também atuam como servidores DNS. E com base na minha experiência, o DNS do ISP oferece um pequeno aumento de velocidade em comparação com os serviços DNS públicos gratuitos, como o DNS público do Google. No entanto, é importante escolher o melhor ISP disponível não apenas pelas velocidades, mas também pela segurança geral.

#4. Use um servidor DNS personalizado

Mudar para um servidor DNS diferente não é difícil ou incomum. Você pode usar DNS público gratuito do OpenDNS, Cloudflare, Google, etc. No entanto, o importante é que o provedor de DNS possa ver sua atividade na web. Portanto, você deve estar atento a quem está concedendo acesso à sua atividade na web.

#5. Use VPN com DNS privado

O uso de VPN coloca muitas camadas de segurança, incluindo seu DNS personalizado. Isso não apenas protege você de cibercriminosos, mas também de ISP ou vigilância governamental. Ainda assim, você deve verificar se a VPN deve ter servidores DNS criptografados para a melhor proteção possível.

#6. Mantenha uma boa higiene cibernética

Clicar em links desonestos ou anúncios bons demais para ser verdade é uma das principais maneiras de ser enganado. Embora um bom antivírus faça seu trabalho de alertá-lo, nenhuma ferramenta de segurança cibernética garante uma taxa de sucesso de 100%. Finalmente, a responsabilidade de se proteger recai sobre seus ombros.

Por exemplo, deve-se colar qualquer link suspeito nos mecanismos de pesquisa para ver a fonte. Além disso, devemos garantir o HTTPS (indicado por um cadeado na barra de URL) antes de confiar em qualquer site.

Além disso, a limpeza periódica do seu DNS certamente ajudará.

Cuidado!

Os ataques de pharming são antigos, mas como eles operam é muito sutil para identificar. A causa raiz de tais ataques são as inseguranças do DNS nativo que não são abordadas na totalidade.

Conseqüentemente, isso nem sempre depende de você. Ainda assim, as proteções listadas ajudarão, especialmente usando uma VPN com DNS criptografado como o ProtonVPN.

Embora o pharming seja baseado em DNS, você sabia que os golpes também podem ser baseados em Bluetooth? Salte para este bluesnarfing 101 para verificar como é feito e como se proteger.