Uwaga na nowy rodzaj ataku: drive-by pharming
Nawet 50 procent użytkowników połączeń szerokopasmowych może być narażonych na atak "drive-by pharming" - twierdzą specjaliści od zabezpieczeń. Wystarczy tylko, by odwiedzić odpowiednio spreparowaną witrynę, która automatycznie dokona zmiany konfiguracji domowych routerów, jeśli te nie będą odpowiednio zabezpieczone.
O nowym rodzaju ataku poinformowała firma Symantec, która wykryła zagrożenie wspólnie z Wydziałem Informatyki na Uniwersytecie Indiana (USA). Z przeprowadzonych badań wynika, że dotyczy milionów użytkowników połączeń szerokopasmowych na całym świecie.
W przypadku tradycyjnego ataku typu "pharming" przestępca stara się przekierować użytkownika odwiedzającego określoną witrynę internetową do strony sfałszowanej. Może to osiągnąć, modyfikując plik hosts w komputerze ofiary lub wprowadzając zmiany w systemie DNS (Domain Name System).
Tymczasem atak "drive-by pharming" to nowy rodzaj zagrożenia polegający na tym, że po odwiedzeniu przez użytkownika destrukcyjnej witryny atakujący może zmienić ustawienia DNS na routerze użytkownika lub w punkcie dostępu bezprzewodowego. Zmiana dokonywana jest przy pomocy kodu napisanego w JavaScript po wejściu na fałszywą witrynę i jest możliwa w sytuacji, gdy router szerokopasmowy nie jest chroniony hasłem lub gdy atakujący jest w stanie je odgadnąć — na przykład korzystając ze znanego hasła domyślnego, które nie zostało zmienione przez użytkownika.
Profesor Markus Jakobsson z Wydziału Informatyki na Uniwersytecie stanu Indiana podkreśla, że w tego rodzaju ataku szczególnie wyraźnie widać wagę czynnika ludzkiego w dziedzinie bezpieczeństwa: "Choć atak typu drive-by pharming wynika z niedostatecznych zabezpieczeń, występuje w tym przypadku inny element ludzki: jeśli agresorowi uda się nakłonić użytkownika do odwiedzenia jego strony, może przeprowadzić sondowanie komputera."
Jak wyjaśnia Symantec, od momentu nieautoryzowanej zmiany, przestępca przeprowadza operację rozpoznawania nazw DNS stron odwiedzanych przez ofiarę. Jest to procedura, która umożliwia określenie adresu odpowiadającego potocznie używanej nazwie strony. Dzięki temu przestępca komputerowy uzyskuje pełną kontrolę nad tym, które witryny użytkownik odwiedza w internecie. Użytkownikowi może na przykład wydawać się, że odwiedza stronę swojego banku, gdy w rzeczywistości został przekierowany do spreparowanej witryny.
Fałszywe strony są wiernymi kopiami autentycznych witryn, dlatego użytkownik często nie będzie w stanie zauważyć żadnej różnicy. Po przekierowaniu do witryny "banku", wprowadzeniu przez użytkownika nazwy i hasła atakujący metodą "pharming" może wykraść te informacje. Dzięki temu będzie w stanie uzyskać dostęp do konta ofiary w prawdziwej witrynie banku i dokonać przelewu, utworzyć nowe konta lub wypisać czeki.
- Biorąc pod uwagę łatwość, z jaką można przeprowadzić atak typu "drive-by pharming", klienci indywidualni powinni jak najszybciej odpowiednio zabezpieczyć używane przez siebie routery i punkty dostępu bezprzewodowego — powiedział Oliver Friedrichs, dyrektor w ośrodku Symantec Security Response.
Najprostsze zabezpieczenie to zmiana w routerze hasła domyślnego na unikalne. Specjaliści ostrzegają, że większość tego typu sprzętu jest dostarczanych z domyślnym hasłem administratora, które agresorzy mogą łatwo odgadnąć.
Ponadto zalecane jest korzystanie z oprogramowania zabezpieczającego komputer, czyli antywirusa, zapory ogniowej (firewall), mechanizmów wykrywania włamań i chroniących przed lukami w zabezpieczeniach.
Eksperci przypominają również, by nie otwierać odnośników, które wydają się podejrzane — na przykład nadesłanych przez nieznane osoby wiadomości e-mail.
Szczegóły dotyczące ataku "Drive-by Pharming" dostępne są na stronach Symantec (dokument .pdf). Natomiast na blogu ośrodka Symantec Security Response można także zapoznać się z animacją opisującą krok po kroku kolejne etapy ataku typu "drive-by pharming" oraz poczytać o sposobach ochrony przed omawianym zagrożeniem.