Pharming polega na przekierowaniu użytkownika do sfałszowanej strony internetowej, wyglądającej jak autentyczna. Częstym obiektem takiego ataku są witryny banków, sklepów oraz serwisów aukcyjnych. Warto zauważyć, że cyberprzestępca nie musi wysyłać do użytkownika e-maili, nakłaniających go do odwiedzenia spreparowanej witryny. Przekierowanie odbywa się automatycznie. Jak do tego dochodzi?

Oprogramowanie serwera nazw domenowych (DNS) przekształca adresy znane internautom na adresy zrozumiałe dla urządzeń tworzących sieć komputerową, np. nazwa pl.wikipedia.org zostaje zamieniona na odpowiadający jej adres IP, czyli 145.97.39.155. Aby przyspieszyć wymianę danych, wykorzystuje się tzw. pamięć podręczną. Komputer zapisuje w niej kopię odpowiedzi DNS dla odwiedzonych wcześniej witryn.

Cyberprzestępcy stworzyli wiele koni trojańskich, które potrafią modyfikować pamięć podręczną DNS - nazywa się to "zatruwaniem" (ang. cache poisoning). Jeśli trojan wykona swoje zadanie, po wpisaniu adresu banku internetowego użytkownik zostaje przeniesiony do sfałszowanej witryny. Ten sposób działa, ponieważ komputer nie rozpoznaje, czy adres znalazł się w pamięci podręcznej w wyniku wcześniejszych odwiedzin, czy też działania szkodliwego programu.

fot. Panda Labs - Zrzut ekranu strony, którą otwiera trojan Banker.LKC

Manipulowanie plikiem hostów nie wywołuje żadnych podejrzanych zmian w działaniu komputera. Nieświadomi niczego użytkownicy padają ofiarą ataku, gdy wprowadzają adres internetowy banku. Dlatego atak jest tak niebezpieczny. Jego celem jest okradanie kont użytkowników, a informacja o iPhone stanowi tylko przynętę, która ma zachęcić użytkowników do uruchomienia pliku zawierającego złośliwy kod - wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa Panda Security w Polsce.

Jak uchronić się przed pharmingiem?

1. Należy używać regularnie aktualizowanego oprogramowania antywirusowego oraz zapory ogniowej (firewalla). Wykluczy to możliwość zmiany ustawień naszego komputera przez konie trojańskie lub wirusy.


2. Trzeba sprawdzać adres każdej strony, która żąda podania informacji identyfikacyjnych. Należy upewnić się, że sesja jest nawiązywana pod znanym autentycznym adresem witryny i że nie są do niego dołączone żadne dodatkowe znaki.


3. Zaleca się szczególną ostrożność, jeżeli z okna przeglądarki nagle znikną symbole bezpiecznego połączenia (np. mała kłódka pasku statusu, litera "s" w "https://" przed internetowym adresem banku) lub gdy strona wygląda inaczej niż zwykle. Wtedy najlepiej jest przerwać transakcję i zawiadomić bank o incydencie.


4. Należy również pamiętać, że w przypadku banków bardzo podejrzany jest fakt żądania jednorazowych haseł już przy logowaniu.


5. Dodatkowej pewności dostarczy kontrola certyfikatu bezpieczeństwa danej strony (wystarczy podwójne kliknięcie na symbol kłódki). Każda wiarygodna firma z branży e-commerce posiada certyfikat bezpieczeństwa własnych serwerów, wydany przez uprawniony do tego organ, np. Verisign.


6. Aby otworzyć poufną witrynę internetową, nie należy nigdy bezpośrednio klikać łączy w wiadomościach e-mail lub na stronach internetowych. Trzeba zawsze skopiować odnośnik i wkleić go w nowym oknie przeglądarki bądź korzystać z zakładek.


7. Ważne jest też sprawdzanie comiesięcznych wyciągów bankowych i kredytowych pod kątem podejrzanych transakcji. W większości przypadków niezwłoczne zgłoszenie nieprawidłowości pozwala uniknąć strat.