Inaczej mówiąc, pharming jest zaawansowaną formą phishingu. Cyberprzestępca nie wysyła do użytkownika wiadomości e-mail, nakłaniających go do odwiedzenia spreparowanej witryny. Przekierowanie odbywa się automatycznie bez udziału i wiedzy użytkownika. Warto wiedzieć, jak do tego dochodzi.

"Zatruwanie" adresów DNS w komputerze użytkownika

Oprogramowanie serwera nazw domenowych (DNS) przekształca adresy znane internautom na adresy zrozumiałe dla urządzeń tworzących sieć komputerową, np. nazwa pl.wikipedia.org zostaje zamieniona na odpowiadający jej adres IP, czyli 145.97.39.155. Aby przyspieszyć wymianę danych, wykorzystuje się tzw. pamięć podręczną. Komputer zapisuje w niej kopię odpowiedzi DNS dla odwiedzonych wcześniej witryn.

Cyberprzestępcy stworzyli wiele koni trojańskich, które potrafią modyfikować pamięć podręczną DNS - nazywa się to "zatruwaniem" (ang. cache poisoning). Jeśli trojan wykona swoje zadanie, po wpisaniu adresu banku internetowego użytkownik zostaje przeniesiony do sfałszowanej witryny, gdzie może nieopatrznie ujawnić swoje dane. Ten sposób działa, ponieważ komputer nie rozpoznaje, czy adres znalazł się w pamięci podręcznej w wyniku wcześniejszych odwiedzin, czy też działania szkodliwego programu.

W obu przypadkach w przeglądarce będzie wyświetlany adres banku internetowego, który nie wzbudzi podejrzeń. Konie trojańskie używane do tego rodzaju ataków rozsyłane są w załącznikach wiadomości e-mail, bywają też zagnieżdżone w pobranych bezpłatnie materiałach, takich jak wygaszacze ekranu, gry czy programy pornograficzne.

Osadzanie szkodliwych skryptów w witrynach

Do przeprowadzenia ataku internetowi oszuści wykorzystują także destrukcyjne witryny, metoda ta nazywana jest drive-by pharming. Wystarczy odwiedzić odpowiednio spreparowaną stronę, a napastnik będzie mógł zmienić ustawienia DNS na routerze użytkownika lub w punkcie dostępu bezprzewodowego. Zmiana dokonywana jest przy pomocy kodu napisanego w języku JavaScript. Może do tego dojść, gdy router szerokopasmowy nie jest chroniony hasłem lub gdy atakujący jest w stanie je odgadnąć, np. korzystając ze znanego hasła domyślnego, które nie zostało zmienione przez użytkownika.

"Zatruwanie" adresów DNS w serwerze

Podobnie jak komputery indywidualnych użytkowników, które dla wygody zapisują żądania DNS, serwery używane przez usługodawców internetowych nie mogą się obejść bez pamięci podręcznej. Jeśli przestępcy uda się ją zmodyfikować, wtedy przez stosunkowo krótki okres czasu (zazwyczaj do kilku godzin) wszyscy, którzy wpiszą w przeglądarce adres obranego za cel banku, trafią na stronę oszusta. Jest to jeden z najskuteczniejszych sposobów na pozyskanie dużej ilości poufnych danych za jednym zamachem. Do niedawna uznawano go za najtrudniejszą metodę wykonania ataku typu pharming. Została jednak wykryta luka w protokole DNS - jej wykorzystanie umożliwia zafałszowanie pamięci podręcznej w ciągu zaledwie 10 sekund.

Najpoważniejsi dostawcy serwerów w lipcu opublikowali odpowiednie uaktualnienia. Znalazły się wśród nich takie firmy, jak Microsoft, Cisco, Red Hat, Sun Microsystems, a także Internet Software Consortium. Aktualizacja serwerów DNS w polskim Internecie przebiega jednak bardzo wolno, większość ciągle jest podatna na atak.