Une attaque de pharming est un mécanisme sophistiqué qui escroque les utilisateurs (principalement) sans avoir besoin d'une "erreur stupide" de leur part. Décodons cela et voyons comment sauvegarder.
Imaginez que vous vous connectiez à votre banque en ligne à l'aide d'une adresse Web légitime et que les économies réalisées disparaissent peu de temps après.
C'est l'une des façons dont les attaques de pharming ressemblent.
Le terme pharming vient de une attaque par phishing) et l'agriculture 🚜.
Mettre tout simplement; le phishing nécessite que vous cliquiez sur un lien suspect (l'erreur stupide), qui télécharge des logiciels malveillants entraînant des pertes financières. De plus, il peut s'agir d'un e-mail de votre 'PDG' demandant d'effectuer un virement bancaire "urgent" à un "fournisseur", une arnaque de catégorie spéciale connue sous le nom de fraude par hameçonnage à la baleine.
En un mot, le phishing a besoin de votre participation active, contrairement aux attaques de pharming (dans la plupart des cas).
What is Pharming Attack?
Nous sommes habitués aux noms de domaine (comme geekflare.com), alors que les machines comprennent adresses IP (comme 24.237.29.182).
Lorsque nous tapons une adresse Web (nom de domaine), elle (la requête) va aux serveurs DNS (le répertoire d'Internet), qui la font correspondre à l'adresse IP associée.
Par conséquent, les noms de domaine ont peu à voir avec les sites Web réels.
Par exemple, si le serveur DNS a associé un nom de domaine à une adresse IP non authentique hébergeant un site Web usurpé, c'est tout ce que vous verrez, quelle que soit la « bonne » URL que vous avez saisie.
Ensuite, un utilisateur remet sans effort les détails - numéros de carte, numéros d'identification, identifiants de connexion, etc. - à la parodie, pensant que c'est légitime.
Cela rend les attaques de pharming dangereuses.
Ils sont extrêmement bien conçus, fonctionnent furtivement et l'utilisateur final ne sait rien jusqu'à ce qu'il reçoive des messages de «montant débité» de sa banque. Ou, ils obtiennent leurs informations personnellement identifiables vendues sur le web sombre.
Vérifions en détail leur modus operandi.
How Does Pharming Attack Works?
Celles-ci sont orchestrées à deux niveaux, avec l'utilisateur ou tout un serveur DNS.
# 1. Pharming au niveau de l'utilisateur
Ceci est similaire au phishing, et vous cliquez sur un lien suspect qui télécharge malware. Par la suite, le fichier de l'hôte (c'est-à-dire les enregistrements DNS locaux) est modifié et un utilisateur visite un sosie malveillant d'un site Web original.
Un fichier hôte est un fichier texte standard qui enregistre les enregistrements DNS gérés localement et ouvre la voie à des connexions plus rapides avec moins latence.
Généralement, les webmasters utilisent le fichier hôte pour tester les sites Web avant de modifier les enregistrements DNS réels chez le registraire de domaine.
Cependant, les logiciels malveillants peuvent écrire de fausses entrées dans le fichier hôte local de votre ordinateur. De cette façon, même la bonne adresse de site Web devient un site Web frauduleux.
# 2. Pharming au niveau du serveur
Ce qui est arrivé à un seul utilisateur peut également être fait à un serveur entier.
C'est ce qu'on appelle l'empoisonnement DNS ou l'usurpation de DNS, ou le détournement de DNS. Comme cela se produit au niveau du serveur, les victimes peuvent être des centaines ou des milliers, voire plus.
Les serveurs DNS cibles sont généralement plus difficiles à contrôler et constituent une manœuvre risquée. Mais si cela est fait, les récompenses sont exponentiellement plus élevées pour les cybercriminels.
Le pharming au niveau du serveur se fait en piratant physiquement les serveurs DNS ou en attaquant par l'homme du milieu (MITM).
Ce dernier est une manipulation logicielle entre un utilisateur et le serveur DNS ou entre des serveurs DNS et des serveurs de noms DNS faisant autorité.
De plus, un pirate pourrait modifier les paramètres DNS de votre Routeur Wi-Fi, connu sous le nom de positionnement DNS local.
Documented Pharming Attacks
Une attaque de pharming au niveau de l'utilisateur reste souvent cachée et est rarement signalée. Même s'il est enregistré, cela arrive à peine dans les médias.
De plus, la sophistication des attaques au niveau du serveur les rend également difficiles à remarquer à moins que les cybercriminels ne détruisent une somme d'argent substantielle, affectant de nombreuses personnes.
Vérifions-en quelques-uns pour voir comment cela a fonctionné dans la vraie vie.
# 1. Finance de courbe
Curve Finance est un crypto-monnaie plateforme d'échange qui a subi une attaque d'empoisonnement DNS le 9 août 2022.
Dans les coulisses, c'est iwantmyname, le fournisseur DNS de Curve, qui a été compromis, envoyant ses utilisateurs vers une parodie et provoquant pertes de plus de 550 XNUMX $.
# 2. MyEtherWallet
Le 24 avril 2018 a été une journée noire pour certains utilisateurs de MyEtherWallet. Il s'agit d'un logiciel gratuit et open-source Ethereum (une crypto-monnaie) portefeuille avec des protocoles de sécurité robustes.
Malgré toute la bonté, l'expérience a laissé un goût amer dans la bouche de ses utilisateurs avec un vol net de 17 millions de dollars.
Techniquement, Détournement de BGP a été retiré du service DNS Amazon Route 53, utilisé par MyEtherWallet, qui a redirigé certains de ses utilisateurs vers une réplique de phishing. Ils ont entré leurs informations de connexion qui ont permis aux criminels d'accéder à leur portefeuilles de crypto-monnaie causant l'épuisement financier brutal.
Cependant, une erreur flagrante de la part de l'utilisateur a été d'ignorer l'avertissement SSL du navigateur.
Déclaration officielle de MyEtherWallet concernant l'arnaque.
# 3. Grandes banques
En 2007, les utilisateurs de presque 50 banques visées par des attaques de pharming entraînant un montant inconnu de pertes.
Ce compromis DNS classique a envoyé les utilisateurs vers des sites Web malveillants même lorsqu'ils ont saisi les URL officielles.
Cependant, tout a commencé avec les victimes visitant un site Web malveillant qui a téléchargé un cheval de Troie à cause d'une vulnérabilité Windows (maintenant corrigée).
Par la suite, le virus a demandé aux utilisateurs de désactiver l'antivirus, pare-feu, etc.
Par la suite, les utilisateurs ont été envoyés sur des sites Web parodiques d'institutions financières de premier plan aux États-Unis, en Europe et en Asie-Pacifique. Il existe d'autres événements de ce type, mais ils fonctionnent de la même manière.
Signs of Pharming
Le pharming donne essentiellement le contrôle total de vos comptes en ligne infectés à l'acteur de la menace. Il peut s'agir de votre profil Facebook, de votre compte bancaire en ligne, etc.
Si vous êtes une victime, vous verrez une activité non comptabilisée. Il peut s'agir d'une publication, d'une transaction ou d'un simple changement amusant dans votre photo de profil.
En fin de compte, vous devriez commencer par le remède s'il y a quelque chose que vous ne vous souvenez pas avoir fait.
Protection Against Pharming
Selon le type d'attaque (niveau utilisateur ou serveur) auquel vous êtes soumis, il existe plusieurs façons de vous protéger.
Étant donné que l'implémentation au niveau du serveur n'entre pas dans le cadre de cet article, nous nous concentrerons sur ce que vous pouvez faire en tant qu'utilisateur final.
# 1. Utilisez un antivirus premium
Le bon antivirus c'est la moitié du travail fait. Cela vous aide à rester protégé contre la plupart des liens malveillants, des téléchargements malveillants et des sites Web frauduleux. Bien qu'il y ait un antivirus gratuit pour votre PC, les payants fonctionnent généralement mieux.
# 2. Définir un mot de passe de routeur fort
Les routeurs WiFi peuvent également servir de mini serveurs DNS. Par conséquent, leur sécurité est cruciale, et cela commence par la suppression des mots de passe fournis par l'entreprise.
# 3. Choisissez un FAI réputé
Pour la plupart d'entre nous, les fournisseurs de services Internet agissent également en tant que serveurs DNS. Et d'après mon expérience, le DNS du FAI donne un petit coup de pouce à la vitesse par rapport aux services DNS publics gratuits tels que Google Public DNS. Cependant, il est important de choisir le meilleur FAI disponible non seulement pour les vitesses mais aussi pour la sécurité globale.
# 4. Utiliser un serveur DNS personnalisé
Passer à un autre serveur DNS n'est ni difficile ni rare. Vous pouvez utiliser le DNS public gratuit d'OpenDNS, Cloudflare, Google, etc. Cependant, l'important est que le fournisseur DNS puisse voir votre activité Web. Vous devez donc être vigilant à qui vous donnez accès à votre activité Web.
# 5. Utiliser un VPN avec un DNS privé
L'utilisation de VPN met de nombreuses couches de sécurité, y compris leur DNS personnalisé. Cela vous protège non seulement des cybercriminels, mais également de la surveillance des FAI ou du gouvernement. Néanmoins, vous devez vérifier que le VPN doit avoir des serveurs DNS cryptés pour la meilleure protection possible.
# 6. Maintenir une bonne cyber-hygiène
Cliquer sur des liens malveillants ou des publicités trop belles pour être vraies est l'un des principaux moyens d'être victime d'une arnaque. Bien qu'un bon antivirus fasse son travail pour vous alerter, non cybersécurité outil garantit un taux de réussite de 100 %. Enfin, la responsabilité repose sur vos épaules pour vous protéger.
Par exemple, il faut coller tout lien suspect dans moteurs de recherche pour voir la source. De plus, nous devons assurer HTTPS (indiqué par un cadenas dans la barre d'URL) avant de faire confiance à un site Web.
De plus, périodiquement vider votre DNS aidera sûrement.
Méfiez-vous!
Les attaques de pharming sont séculaires, mais leur fonctionnement est trop subtil pour être identifié. La cause profonde de ces attaques est les insécurités DNS natives qui ne sont pas traitées dans leur intégralité.
Par conséquent, cela ne dépend pas toujours de vous. Néanmoins, les protections répertoriées aideront, en particulier en utilisant un VPN avec un DNS crypté comme ProtonVPN.
Bien que le pharming soit basé sur le DNS, savez-vous que les escroqueries peuvent également être basées sur le Bluetooth ? Saute sur ça bluesnarf 101 pour vérifier comment c'est fait et comment vous protéger.
