Trong ngày và tuổi này, người dùng máy tính dễ bị trở nên hiếm hơn. Với giáo dục phần mềm độc hại phổ biến trên Internet, mọi người không dễ bị lừa bởi các email lừa đảo tuyên bố họ đã giành được hàng triệu đô la.

Điều đó không có nghĩa là tin tặc đã nhận được bất kỳ xác định ít hơn, tuy nhiên; nó chỉ có nghĩa là họ đã phải làm việc thông minh hơn. Từ việc gián điệp cơ sở hạ tầng công ty và gửi email cho nhân viên từ địa chỉ của sếp, để bắt cóc các tài khoản Facebook của người dùng và nhắn tin cho bạn bè, lạm dụng lòng tin là phương pháp được lựa chọn để hack vào những ngày này.

Một phương pháp họ có lên tay áo của họ là chuyển hướng máy tính của bạn từ một URL hợp pháp để một bản sao giả của nó, nơi họ có thể có được chi tiết đăng nhập khi bạn nhập thông tin của bạn vào trang web giả. Điều này được gọi là "pharming", và nó có thể khá đáng sợ trong các phương pháp của nó. Ở đây chúng tôi sẽ giải thích những gì pharming là và làm thế nào nó hoạt động?

Dược phẩm là gì?

Bởi chính nó, pharming là một quá trình hai bước kết hợp hai vector tấn công; Nhiễm độc DNS và lừa đảo. Bằng cách sử dụng những điểm mạnh của cả hai, nó tạo ra một cái bẫy rất đáng tin cậy cho mọi người rơi vào. Trong khi lừa đảo hoạt động bằng cách thả mồi và hy vọng mọi người lấy nó, dược phẩm có thể chiếm toàn bộ các máy chủ DNS và chuyển hướng mọi người đến các trang web giả mạo.

Vì vậy, để trả lời “pharming là gì?” Trước tiên chúng ta phải phân tích hai thành phần nó được xây dựng và xem cách chúng tương tác với nhau để tạo thành cuộc tấn công dược tổng thể.

Ngộ độc DNS

Bạn có thể nói làm thế nào bất chính này vector tấn công là bằng tên một mình! Sự nhiễm độc DNS hoạt động bằng cách chiếm đoạt một tra cứu DNS. Khi bạn nhập địa chỉ web (chẳng hạn như www.facebook.com), máy tính phải chuyển đổi địa chỉ đó thành địa chỉ IP. Điều này là do máy tính không hiểu “Facebook” là gì! URL ở đó để giúp mọi người dễ nhớ địa chỉ của trang web hơn. Tuy nhiên, máy tính biết địa chỉ IP là gì. Vì vậy, để nói chuyện với Facebook, một máy tính chuyển đổi URL thành địa chỉ IP.

Họ làm điều này bằng cách truy vấn một máy chủ DNS, hoạt động giống như sổ địa chỉ cho các URL và địa chỉ IP. Họ sử dụng máy chủ DNS để tìm địa chỉ IP của URL (www.facebook.com -> 157.240.1.35), và sau đó sử dụng nó để nói chuyện với các máy chủ Facebook. Khi một máy tính đã phát hiện địa chỉ IP của một URL, nó có thể ghi lại địa chỉ trong bộ nhớ cache. Điều này là để nó có thể tránh lãng phí thời gian tìm kiếm cùng một địa chỉ IP hơn và hơn nữa. Trong ví dụ này, nó sẽ lưu ý rằng www.facebook.com chuyển đến 157.240.1.35 trong bộ nhớ cache của nó.

Sự nhiễm độc DNS hoạt động theo hai cách: hoặc bằng cách vào cache trên một máy tính cá nhân và thay đổi địa chỉ IP để dẫn đến các trang web độc hại hoặc tự lây nhiễm các máy chủ DNS để máy tính thực hiện tra cứu có kết quả “bị nhiễm”. Trong cả hai trường hợp, lần sau khi người dùng nhập “www.facebook.com” vào trình duyệt của họ, họ sẽ tải địa chỉ IP giả mạo “bị nhiễm độc” thay vào đó.

Lừa đảo

Việc đầu độc DNS cho phép kẻ tấn công hướng người dùng từ trang web hợp pháp đến trang web độc hại ngay cả khi người dùng đã nhập địa chỉ chính xác. Tuy nhiên, đây chỉ là bước một; sau khi tất cả, chỉ cần hướng người dùng đến một trang web khác không làm được gì nhiều! Kết hợp với việc đầu độc, tin tặc có thể sử dụng lừa đảo để biến một chuyển hướng đơn giản thành lợi ích.

Trong ví dụ của chúng tôi, kẻ tấn công đang chuyển hướng người dùng khỏi Facebook đến một trang web mà người tấn công chọn. Có nhiều tùy chọn mà kẻ tấn công có thể chọn, nhưng trong một cuộc tấn công bằng thuốc, kẻ tấn công sẽ chọn một trang web mà trước đây họ đã thiết lập để trông giống hệt với Facebook. Khi người dùng nhập www.facebook.com vào trình duyệt của họ, sự nhiễm độc DNS sẽ chuyển hướng họ đến Facebook giả mạo của hacker.

Bây giờ người dùng đang ở trên trang web giả mạo, sau đó nó sẽ nhắc người dùng cho thông tin đăng nhập Facebook của họ. Tin rằng họ đang ở trên trang Facebook thực sự, người dùng nhập các chi tiết đăng nhập của họ và truyền thông tin của họ đến các tin tặc, hoàn thành cuộc tấn công dược phẩm.

Những gì có thể được thực hiện

Trước tiên, rất hữu ích khi biết rằng các máy chủ DNS thường được sở hữu bởi ISP mà bạn sử dụng. Như vậy, để tránh các cuộc tấn công bằng thuốc chống lại các máy chủ DNS, hãy đảm bảo bạn chọn một ISP đáng tin cậy. Các ISP tốt sẽ biết về dược phẩm và sẽ có biện pháp đối phó để bảo vệ máy chủ của họ không bị nhiễm độc.

Nhưng điểm yếu của dược phẩm khi nói đến việc lây nhiễm các tệp của máy tính của bạn là gì? Trước tiên, hãy đảm bảo rằng bạn đã cài đặt giải pháp chống vi-rút hoặc chống phần mềm độc hại tốt. Những hy vọng này có thể phát hiện một bản chỉnh sửa vào tệp bộ đệm địa chỉ của máy tính của bạn và cảnh báo bạn trước khi bất kỳ thiệt hại nào được thực hiện.

Mặc dù không có antivirus, tuy nhiên, bạn có thể ngăn chặn một cuộc tấn công bằng cách sử dụng trí thông minh của bạn. Khi bạn truy cập một trang web phổ biến hoặc bảo mật, chẳng hạn như phương tiện truyền thông xã hội hoặc trang web ngân hàng, bạn sẽ thấy một ổ khóa trong thanh địa chỉ và “HTTPS” ở đầu URL. Điều này có nghĩa là trang web đã được xác nhận bởi một bên thứ ba có thẩm quyền để được xác nhận. Như vậy, nó đã được trao một chứng chỉ, và thông tin liên lạc của nó đã được mã hóa.

Tất nhiên, nếu cuộc tấn công dược phẩm đã chuyển hướng bạn đến một trang web giả mạo, trang web đó sẽ không có chứng chỉ nhận dạng nó là chính hãng. Ngay cả khi URL trông giống hệt với thực tế, thì hình ảnh của chứng chỉ còn thiếu là một giveaway chết. Khi đăng nhập vào một trang web phổ biến, hãy đảm bảo có chứng chỉ HTTPS. Nếu bạn đã nhận thấy rằng chứng chỉ đã đột nhiên "biến mất", có thể có gì đó đang diễn ra!

Fooling Pharming

Với nhiều bước để tạo ra một vectơ phức tạp của tấn công, việc dược có thể hơi đáng sợ. Bây giờ bạn đã biết chi tiết về dược phẩm là gì và nó hoạt động như thế nào. Thậm chí tốt hơn, nếu bạn sắc sảo và sử dụng một ISP an toàn, bạn có thể không cần phải lo lắng về việc nạn nhân bị nghiện.

Bạn hoặc ai đó bạn đã từng bị lừa bởi một trang web thực tế? Hãy cho chúng tôi biết dưới đây.