Ein Pharming-Angriff ist ein ausgeklügelter Mechanismus, der Benutzer (meistens) betrügt, ohne dass von ihrer Seite ein „dummer Fehler“ erforderlich ist. Lassen Sie uns das entschlüsseln und sehen, wie man es sichert.
Stellen Sie sich vor, Sie melden sich mit einer legitimen Webadresse bei Ihrem Online-Banking an und die Lebensersparnisse sind kurz darauf verschwunden.
So sehen Pharming-Angriffe aus.
Der Begriff Pharming ist geprägt von Phishing (Angriff) und Farming 🚜.
Einfach ausgedrückt; Phishing erfordert, dass Sie auf einen verdächtigen Link klicken (der dumme Fehler), der Malware herunterlädt, was zu finanziellen Verlusten führt. Außerdem kann es sich um eine E-Mail von Ihrem „CEO“ handeln, in der Sie um eine „dringende“ Banküberweisung an einen „Anbieter“ gebeten werden, eine spezielle Betrugskategorie, die als Whaling-Phishing-Betrug bekannt ist.
Kurz gesagt erfordert Phishing Ihre aktive Teilnahme, während Pharming-Angriffe dies (in den meisten Fällen) nicht tun.
Inhaltsverzeichnis
Was ist ein Pharming-Angriff?
Wir sind an Domänennamen (wie wdzwdz.com) gewöhnt, während Maschinen IP-Adressen verstehen (wie 24.237.29.182).
Wenn wir eine Webadresse (Domainname) eingeben, geht diese (die Abfrage) an die DNS-Server (das Telefonbuch des Internets), die sie mit der zugehörigen IP-Adresse abgleichen.
Folglich haben Domainnamen wenig mit den eigentlichen Websites zu tun.
Wenn der DNS-Server beispielsweise einen Domänennamen mit einer nicht authentischen IP-Adresse abgeglichen hat, die eine gefälschte Website hostet, sehen Sie nur das, unabhängig von der „richtigen“ URL, die Sie eingegeben haben.
Als nächstes übergibt ein Benutzer mühelos die Details – Kartennummern, ID-Nummern, Anmeldeinformationen usw. – an die Parodie und hält sie für legitim.
Das macht Pharming-Angriffe gefährlich.
Sie sind extrem gut gemacht, arbeiten heimlich und der Endbenutzer weiß nichts, bis er von seinen Banken die Nachricht „Betrag abgebucht“ erhält. Oder sie lassen ihre persönlich identifizierbaren Informationen im Dark Web verkaufen.
Lassen Sie uns ihre Vorgehensweise im Detail überprüfen.
Wie funktioniert ein Pharming-Angriff?
Diese werden auf zwei Ebenen orchestriert, mit dem Benutzer oder einem ganzen DNS-Server.
#1. Pharming auf Benutzerebene
Dies ähnelt Phishing, und Sie klicken auf einen verdächtigen Link, der Malware herunterlädt. Anschließend wird die Datei des Hosts (auch bekannt als lokale DNS-Einträge) geändert, und ein Benutzer besucht ein böswilliges Doppelgänger einer Originalwebsite.
Eine Hostdatei ist eine Standardtextdatei, die lokal verwaltete DNS-Einträge speichert und den Weg für schnellere Verbindungen mit geringerer Latenz ebnet.
In der Regel verwenden Webmaster die Hostdatei, um Websites zu testen, bevor sie die eigentlichen DNS-Einträge beim Domain-Registrar ändern.
Malware könnte jedoch gefälschte Einträge in die lokale Hostdatei Ihres Computers schreiben. Auf diese Weise wird selbst die korrekte Website-Adresse zu einer betrügerischen Website.
#2. Pharming auf Serverebene
Was einem einzelnen Benutzer passiert ist, kann auch einem ganzen Server passieren.
Dies wird als DNS-Poisoning oder DNS-Spoofing oder DNS-Hijacking bezeichnet. Da dies auf Serverebene geschieht, können die Opfer Hunderte oder Tausende sein, wenn nicht sogar mehr.
Die Ziel-DNS-Server sind im Allgemeinen schwieriger zu kontrollieren und ein riskantes Manöver. Aber wenn dies geschehen ist, sind die Belohnungen für Cyberkriminelle exponentiell höher.
Pharming auf Serverebene erfolgt durch physisches Hijacking von DNS-Servern oder Man-in-the-Middle (MITM)-Angriffen.
Letzteres ist eine Softwaremanipulation zwischen einem Benutzer und dem DNS-Server oder zwischen DNS-Servern und autoritativen DNS-Nameservern.
Außerdem könnte ein Hacker die DNS-Einstellungen Ihres WLAN-Routers ändern, was als lokale DNS-Positionierung bekannt ist.
Dokumentierte Pharming-Angriffe
Ein Pharming-Angriff auf Benutzerebene bleibt oft verborgen und wird kaum gemeldet. Auch wenn es registriert ist, gelangt es kaum in die Nachrichtenagenturen.
Darüber hinaus macht die Raffinesse der Angriffe auf Serverebene sie auch schwer zu bemerken, es sei denn, die Cyberkriminellen vernichten einen erheblichen Geldbetrag, der viele Menschen betrifft.
Schauen wir uns ein paar an, um zu sehen, wie es im wirklichen Leben funktioniert hat.
#1. Kurvenfinanzierung
Curve Finance ist eine Plattform für den Austausch von Kryptowährungen, die am 9. August 2022 einen DNS-Vergiftungsangriff erlitten hat.
Wir haben einen kurzen Bericht von @iwantmyname darüber, was passiert ist. Kurz gesagt: DNS-Cache-Poisoning, nicht Nameserver-Kompromittierung.https://t.co/PI1zR96M1Z
Niemand im Web ist 100 % sicher vor diesen Angriffen. Was passiert ist, legt STARK nahe, auf ENS statt auf DNS umzusteigen
– Curve Finance (@CurveFinance) 10. August 2022
Hinter den Kulissen war es iwantmyname, der DNS-Anbieter von Curve, der kompromittiert wurde, seine Benutzer in eine Parodie schickte und Verluste von über 550.000 US-Dollar verursachte.
#2. MyEtherWallet
Der 24. April 2018 war ein schwarzer Tag für einige der MyEtherWallet-Benutzer. Dies ist eine kostenlose und Open-Source-Wallet für Ethereum (eine Kryptowährung) mit robusten Sicherheitsprotokollen.
Trotz aller Güte hinterließ die Erfahrung einen bitteren Geschmack im Mund der Benutzer mit einem Netto-Diebstahl von 17 Millionen Dollar.
Technisch gesehen wurde BGP Hijacking auf dem Amazon Route 53 DNS-Dienst abgezogen – der von MyEtherWallet verwendet wird – der einige seiner Benutzer auf eine Phishing-Replik umleitete. Sie gaben ihre Anmeldedaten ein, die den Kriminellen Zugang zu ihren Kryptowährungs-Geldbörsen verschafften, was zu einem abrupten finanziellen Abfluss führte.
Ein eklatanter Fehler seitens des Benutzers bestand jedoch darin, die SSL-Warnung des Browsers zu ignorieren.
Offizielle Erklärung von MyEtherWallet bezüglich des Betrugs.
#3. Große Banken
Im Jahr 2007 wurden Benutzer von fast 50 Banken Ziel von Pharming-Angriffen, die zu Verlusten in unbekannter Höhe führten.
Diese klassische DNS-Kompromittierung leitete Benutzer auf bösartige Websites weiter, selbst wenn sie die offiziellen URLs eingaben.
Alles begann jedoch damit, dass die Opfer eine bösartige Website besuchten, die aufgrund einer Windows-Schwachstelle (jetzt gepatcht) einen Trojaner herunterlud.
Anschließend forderte der Virus die Benutzer auf, Antivirus, Firewalls usw.
Anschließend wurden die Benutzer auf Parodie-Websites führender Finanzinstitute in den USA, Europa und im asiatisch-pazifischen Raum geschickt. Es gibt noch mehr solcher Veranstaltungen, aber sie funktionieren auf ähnliche Weise.
Anzeichen für Pharming
Pharming gibt dem Angreifer im Wesentlichen die volle Kontrolle über Ihre infizierten Online-Konten. Dies kann Ihr Facebook-Profil, Ihr Online-Banking-Konto usw. sein.
Wenn Sie ein Opfer sind, sehen Sie nicht erfasste Aktivitäten. Das kann ein Beitrag, eine Transaktion oder auch nur eine lustige Veränderung in deinem Profilbild sein.
Letztendlich sollten Sie mit dem Mittel beginnen, wenn Sie sich nicht erinnern, etwas getan zu haben.
Schutz vor Pharming
Je nach Angriffstyp (Benutzer- oder Serverebene), dem Sie ausgesetzt sind, gibt es mehrere Möglichkeiten, sich zu schützen.
Da die Implementierung auf Serverebene nicht Gegenstand dieses Artikels ist, konzentrieren wir uns darauf, was Sie als Endbenutzer tun können.
#1. Verwenden Sie einen Premium-Antivirus
Ein guter Virenschutz ist die halbe Arbeit. Dadurch bleiben Sie vor den meisten betrügerischen Links, schädlichen Downloads und betrügerischen Websites geschützt. Obwohl es ein kostenloses Antivirenprogramm für Ihren PC gibt, schneiden die kostenpflichtigen im Allgemeinen besser ab.
#2. Legen Sie ein sicheres Router-Passwort fest
WLAN-Router können auch als Mini-DNS-Server fungieren. Daher ist ihre Sicherheit von entscheidender Bedeutung, und dies beginnt mit der Abschaffung der vom Unternehmen gelieferten Passwörter.
#3. Wählen Sie einen seriösen ISP
Für die meisten von uns fungieren Internetdienstanbieter auch als DNS-Server. Und nach meiner Erfahrung bietet das DNS des ISP im Vergleich zu kostenlosen öffentlichen DNS-Diensten wie Google Public DNS einen kleinen Geschwindigkeitsschub. Es ist jedoch wichtig, den besten verfügbaren ISP nicht nur für die Geschwindigkeiten, sondern auch für die allgemeine Sicherheit auszuwählen.
#4. Verwenden Sie einen benutzerdefinierten DNS-Server
Der Wechsel zu einem anderen DNS-Server ist nicht schwierig oder ungewöhnlich. Sie können kostenloses öffentliches DNS von OpenDNS, Cloudflare, Google usw. verwenden. Wichtig ist jedoch, dass der DNS-Anbieter Ihre Webaktivitäten sehen kann. Sie sollten also wachsam sein, wem Sie Zugriff auf Ihre Webaktivitäten gewähren.
#5. Verwenden Sie VPN mit privatem DNS
Die Verwendung von VPN setzt viele Sicherheitsebenen, einschließlich ihres benutzerdefinierten DNS. Dies schützt Sie nicht nur vor Cyberkriminellen, sondern auch vor ISPs oder staatlicher Überwachung. Dennoch sollten Sie sicherstellen, dass das VPN für den bestmöglichen Schutz über verschlüsselte DNS-Server verfügen sollte.
#6. Sorgen Sie für eine gute Cyber-Hygiene
Das Klicken auf betrügerische Links oder Werbung, die zu gut ist, um wahr zu sein, ist eine der Hauptmethoden, um betrogen zu werden. Während ein guter Antivirus seine Aufgabe erfüllt, Sie zu warnen, garantiert kein Cybersicherheitstool eine 100-prozentige Erfolgsquote. Schließlich liegt die Verantwortung auf Ihren Schultern, sich selbst zu schützen.
Zum Beispiel sollte man jeden verdächtigen Link in Suchmaschinen einfügen, um die Quelle zu sehen. Darüber hinaus sollten wir HTTPS sicherstellen (angezeigt durch ein Vorhängeschloss in der URL-Leiste), bevor wir einer Website vertrauen.
Darüber hinaus hilft es sicherlich, Ihren DNS regelmäßig zu leeren.
In acht nehmen!
Pharming-Angriffe sind uralt, aber wie sie funktionieren, ist zu subtil, um sie genau zu bestimmen. Die Hauptursache solcher Angriffe sind die nativen DNS-Unsicherheiten, die nicht vollständig angegangen werden.
Folglich liegt dies nicht immer an Ihnen. Dennoch helfen die aufgeführten Schutzmaßnahmen, insbesondere bei der Verwendung eines VPN mit verschlüsseltem DNS wie ProtonVPN.
Obwohl Pharming DNS-basiert ist, wissen Sie, dass Betrug auch auf Bluetooth basieren kann? Springen Sie zu diesem Bluesnarfing 101, um zu sehen, wie es gemacht wird und wie Sie sich schützen können.