Blogue

O que é pharming e como você pode prevenir ataques de pharming?

Pharming parece uma prática bastante inocente, mas não é o tipo que envolve animais e colheitas. Pharming refere-se a um tipo de crime cibernético em que o usuário é enviado para um site falso em vez de um site legítimo. Depois que a vítima acessa o site falso, o objetivo final geralmente é entregar informações pessoais, por exemplo, credenciais de login da conta ou informações bancárias . Essas informações podem então ser usadas em crimes como fraude de controle de conta e roubo de identidade.

Parece muito com phishing, certo? Entraremos em mais detalhes abaixo, mas uma grande diferença entre os dois é que um site de phishing estará em um URL diferente do site que está imitando, enquanto o pharming envolve o redirecionamento no nível do DNS.

Como você não está clicando ou inserindo o URL errado, o pharming pode ser muito difícil de detectar. No entanto, temos algumas dicas para ajudar a garantir que você não seja pego de surpresa. Nesta postagem, discutiremos exatamente o que é pharming e suas semelhanças com o phishing. Também forneceremos conselhos para ajudar a garantir que você não entregue informações em um ataque pharming.

Qual é a definição de pharming?

A palavra “pharming” é derivada de “phishing” e “farming”. Esse tipo de ataque também é chamado de “phishing sem isca”.

Para entender o pharming, precisamos discutir o Sistema de Nomes de Domínio (DNS). Cada site é indicado por pelo menos um endereço IP (uma sequência de caracteres numéricos). Mas não inserimos um endereço IP para visitar um site; em vez disso, usamos nomes de domínio. Os servidores DNS são responsáveis por traduzir nomes de domínio em endereços IP. Assim que o endereço IP for conhecido, seu navegador se conectará ao servidor com esse endereço IP.

Os servidores DNS são normalmente operados por provedores de serviços de Internet, empresas de tecnologia como o Google e provedores de VPN.

Para evitar que seu computador tenha que verificar um servidor DNS sempre que você visita um site, os endereços IP conhecidos geralmente são armazenados localmente em um cache DNS no roteador ou no próprio computador.

Existem dois tipos principais de pharming: baseado em malware e baseado em servidor DNS.

Farmacêutico baseado em malware

Nesse tipo de ataque, o código pharming malicioso chega ao seu computador. Pode ser entregue por download ou clique em link, por exemplo, em um e-mail. Depois que o código estiver instalado nos arquivos host locais do seu dispositivo, cada vez que você tentar visitar um site específico, você será automaticamente redirecionado para um site falso.

Clicar em um link malicioso parece muito com um ataque de phishing simples. No entanto, quando você clica em um link de um e-mail de phishing, esse link leva você diretamente ao site de phishing, em vez de instalar malware no seu dispositivo. E para visitar o site falso uma segunda vez, você teria que clicar novamente no link malicioso.

Com o pharming, uma vez instalado o malware, toda vez que você tenta visitar o site legítimo , você será redirecionado para o falso. Na verdade, mesmo que você se livre do malware, devido ao cache DNS, você ainda chegará ao site falso. Isto é, até você limpar o cache DNS.

O pharming baseado em malware foi usado em grande parte Ataque de 2007 contra clientes de 50 instituições financeiras. As vítimas foram atraídas a visitar um site que hospedava código projetado para explorar uma vulnerabilidade do Windows. Os computadores vulneráveis foram então infectados com malware que incluía arquivos de um servidor russo.

Se a vítima tentasse visitar um dos sites bancários afetados, seria redirecionada para um site falso, onde inseriria as credenciais de login. As credenciais foram enviadas ao servidor russo e a vítima estaria logada no site real. Tudo parecia normal para o usuário, tornando o ataque muito difícil de detectar.

Com as credenciais de login em mãos, os hackers poderiam fazer login e sequestrar as contas bancárias das vítimas.

Pharming via envenenamento de DNS

Esse tipo de pharming é mais difícil de ser evitado pelo usuário comum porque ocorre no nível do servidor DNS e não no nível do dispositivo. Os cibercriminosos podem explorar vulnerabilidades para corromper um servidor DNS. Uma vez corrompido, os hackers podem redirecionar qualquer tráfego que passe pelo servidor para endereços alternativos de sua escolha, por exemplo, versões falsas de sites legítimos.

Ao contrário dos ataques de phishing ou do pharming baseado em malware, não há necessidade de engenharia social para levar o usuário ao site falso, o que elimina um grande obstáculo para os invasores. A vítima só precisa acreditar que o site falso é legítimo. Ao envenenar um grande servidor DNS, os criminosos poderiam atingir um grande número de vítimas simultaneamente. É aqui que entra a parte da “agricultura”.

Qual é a diferença entre phishing e pharming?

Embora o pharming e o phishing estejam intimamente relacionados, aqui está um resumo das principais diferenças:

URL	URL diferente do site real	O URL na barra de endereço é igual ao do site real	O URL na barra de endereço é igual ao do site real
Vetor de ataque	Um link em um e-mail que leva você a um site malicioso*	Um anexo de e-mail ou link que instala malware em seu dispositivo (depois, visitar um URL legítimo leva você ao site falso)	O servidor DNS é atacado, portanto nenhuma ação do usuário é necessária (visitar um URL legítimo leva você ao site falso)
Complexidade	Simples para qualquer pessoa configurar, mas bastante fácil de detectar	Mais difícil de executar e mais difícil de identificar	Requer técnicas avançadas e difíceis de detectar
Frequência e escopo	Ataque único a um único usuário (cada instância requer ação do usuário, embora muitas vítimas possam ser alvo simultaneamente de um e-mail em massa)	Ataque repetido a um único usuário (uma vez que o malware é instalado no dispositivo, nenhuma ação adicional do usuário é necessária)	Ataque repetido a vários usuários (uma vez que o servidor DNS é envenenado, qualquer pessoa que tente visitar o site legítimo será afetada)

*Observe que existem outros tipos de phishing que não envolvem cliques em links, por exemplo, um e-mail que simplesmente pede que você responda com informações pessoais.

Como você pode evitar esquemas de pharming

Embora alguns esquemas de pharming possam ser difíceis de detectar, existem medidas que você pode tomar para se proteger.

Veja como evitar ataques pharming:

Cuidado com e-mails maliciosos
Verifique se há bandeiras vermelhas em sites
Use um software antivírus e firewalls
Faça atualizações regulares
Use autenticação de dois fatores
Altere a senha do seu roteador

Vejamos isso com mais detalhes:

1. Cuidado com e-mails maliciosos

Com phishing e os e-mails pharming estão cada vez mais sofisticados, pode ser difícil identificá-los. Dito isto, existem alguns indicadores comuns a serem observados. Por exemplo, ortografia e gramática inadequadas definitivamente deveriam causar espanto. Além disso, verifique o endereço de e-mail do remetente para garantir que corresponde exatamente ao nome de domínio da empresa de onde supostamente vem.

Você deve evite clicar em links em e-mails , mas se ficar tentado, você pode verificar para onde o link está apontando passando o ponteiro do mouse sobre o texto âncora.

Em caso de dúvida sobre a autenticidade de um e-mail, entre em contato diretamente com a empresa relevante. Mas lembre-se de usar as informações de contato encontradas em uma pesquisa independente na web, pois o e-mail pode incluir informações falsas, como um número de telefone ou endereço de e-mail fraudulento.

2. Verifique se há sinais de alerta em sites

Se você clicar em um site, verifique se é real. Em sites de phishing, um URL com um leve erro ortográfico costuma ser um indicador claro de que algo está errado. Mas, como aprendemos acima, você não terá essa pista com um site pharming. Uma coisa que você pode verificar é se o site é seguro (começa com “https” em vez de “http”). Embora alguns invasores possam ser sorrateiros o suficiente para usar HTTPS, isso nem sempre é confiável.

O símbolo HTTPS no site do Facebook. — O site do Facebook possui “https” e um símbolo de cadeado.

Embora os cibercriminosos criem alguns sites muito convincentes, eles podem ter perdido alguns dos detalhes mais sutis . Exemplos de sinais de alerta comuns incluem informações de direitos autorais desatualizadas, páginas ausentes e navegação deficiente. Claro, essas coisas são mais fáceis de detectar se for um site que você visita regularmente.

3. Use software antivírus e firewalls

O software antivírus normalmente inclui antimalware que impedirá a entrada de software malicioso reconhecido em seu sistema. Ele também pode detectar códigos pharming maliciosos quando já estiverem no sistema. Além disso, impedirá que você visite sites conhecidos por serem inseguros.

Se você ainda não possui um antivírus sólido, McAfee, Norton e Bitdefender são algumas opções populares.

Os firewalls também são úteis; eles agir como uma linha de defesa fechando portas para evitar que tráfego malicioso entre em seu dispositivo. Eles também podem impedir o vazamento de dados do seu dispositivo. Os sistemas operacionais geralmente possuem um firewall de software integrado e muitos roteadores possuem firewalls de hardware integrados.

Se necessário, existem muitas opções de firewall de terceiros, como ofertas de Firewall AVS e Firewall gratuito ZoneAlarm 2019 .

4. Faça atualizações regulares

Embora as atualizações possam parecer um aborrecimento, geralmente elas têm bons motivos. Mais importante ainda, novas iterações de software corrigem vulnerabilidades de segurança, para manter seu dispositivo seguro.

Se você for solicitado a atualizar seu sistema operacional ou software aplicativo, é melhor fazê-lo mais cedo ou mais tarde. Isso ajudará a protegê-lo não apenas contra esquemas de pharming, mas também contra outras formas de malware projetadas para explorar vulnerabilidades em seu sistema.

5. Use autenticação de dois fatores

Autenticação de dois fatores (2FA) e a verificação em duas etapas (2SV) são oferecidas por um número crescente de plataformas. Quando ativados, estes requer uma etapa adicional ser levado para fazer login em uma conta. Por exemplo, além de inserir as credenciais de login, talvez você também precise inserir um código único que recebe por mensagem de texto ou e-mail. Ou uma segunda etapa poderia ser algo como uma impressão digital ou digitalização de retina.

Isso significa que mesmo que um cibercriminoso obtenha seu nome de usuário e senha por meio de um esquema pharming, ele não conseguirá acessar sua conta.

Esse também é um bom motivo para usar senhas diferentes em cada conta. Dessa forma, se uma conta for comprometida, você não precisa se preocupar com o acesso de outras pessoas via preenchimento de credenciais técnicas. Se você estiver tendo problemas para lidar com várias senhas, um gerenciador de senhas como LastPass ou KeepPass pode ajudar.

6. Altere a senha do seu roteador

Alguns esquemas pharming envolvem ataques em o nível do roteador . Os roteadores são os principais alvos dos cibercriminosos, pois são frequentemente protegido com credenciais padrão , tornando-os fáceis de serem comprometidos pelos invasores.

Se você não alterou a senha do roteador quando o instalou pela primeira vez ou não tem certeza, é aconselhável fazer isso o mais rápido possível. Há outras etapas que você pode seguir para tornar seu roteador mais seguro, incluindo manter o firmware atualizado, usar a criptografia mais forte disponível e desligar o WPS (Wifi Protected Setup).

O que fazer se você for vítima de pharming

Mesmo se você seguir todas as etapas acima, ainda é possível ser vítima de um ataque pharming. Se você suspeitar que se deparou com um ataque, aqui estão algumas etapas que você deve seguir:

Execute o seu software antivírus ou um scanner de malware para verificar se há malware em seu sistema.
Use um ferramenta de remoção de malware se você descobrir software malicioso.
Limpe seu cache DNS . Mesmo que o malware agressor tenha sido removido, você poderá continuar sendo redirecionado para o site falso até que seu cache seja limpo.
Informe o seu provedor de serviços de Internet (ISP) se você acredita que há um ataque no nível do servidor.
Mude para um provedor de servidor DNS de terceiros se você não estiver satisfeito com aqueles que seu ISP usa. Cloudflare é uma opção , mas outros incluem OpenDNS, Google Public DNS e Comodo Secure DNS.

3D-Online

Informações, Ferramentas, Revisões E Comparações, Para Ajudar Os Leitores A Melhorar Sua Segurança Cibernética E Confidencialidade Na Internet.