Przeglądając strony internetowe w poszukiwaniu treści, które mogą przykuć naszą uwagę, choć na chwilę odwracając ją od trudów życia codziennego często odwiedzamy witryny czy portale, których zawartość pozostawia wiele do życzenia przynajmniej pod względem bezpieczeństwa. Właśnie w takich miejscach czyha na internautów wiele zagrożeń w postaci trojanów czy wirusów. Negatywne konsekwencje zainfekowania się malware'm najczęściej są widoczne natychmiast po jego zainstalowaniu. Jedną z konsekwencji jest możliwość wykonania ataku, którego nazwa zawarta została w tytule artykułu.

Pharming swoją strukturą bardzo przypomina phishing. Atakujący tak jak w phishing-u musi zadbać o to, by przygotować stronę internetową, która będzie identyczna jak oryginalna. Może być to strona banku, portalu społecznościowego czy też ulubionego forum. Cel atakującego jest prosty – zdobyć dane uwierzytelniające danego użytkownika. To jak odnośnik do fałszywej strony zostanie rozpowszechniony wśród potencjalnych ofiar zależy tylko i wyłącznie od pomysłowości atakującego. W pharming-u została wyeliminowana jedna z podstawowych słabości ataku phishing-owego – widoczna fałszywa nazwa strony. W phishing-u zastosowanie typosquatting-u pozwalało na mniej lub bardziej skuteczne maskowanie wspomnianej fałszywej nazwy strony internetowej.

Rysunek 1: Użycie typosquatting-u w celu podszycia się pod stronę www.mcafee.com. Źródło: www.purevpn.com

W pharming-u ofiara nawet po wpisaniu prawidłowego adresu strony internetowej w pasku adresu przeglądarki, zostanie przekierowana na serwer oferujący fałszywą stronę. Aby było to możliwe atakujący musi najpierw zatruć globalny serwer DNS w celu powiązania prawidłowego adresu URL ze stroną, której zadaniem jest kradzież danych uwierzytelniających. Drugim z możliwych sposobów jest modyfikacja plików systemowych odpowiedzialnych za wstępne rozwiązywanie nazw serwerów na odpowiadające im adresy IP, z pominięciem serwera DNS. Przypisanie do prawidłowej nazwy domeny adresu serwera udostępniającego fałszywą stronę internetową sprawi, że internauta może skompromitować swoje dane uwierzytelniające logując się na fałszywej witrynie. Przykładem takiego pliku w systemach Microsoft Windows jest plik C:\Windows\System32\drivers\hosts, w systemach Linux /etc/hosts.

Na rysunku numer dwa zaprezentowano przykład pharming-u.

Rysunek 2: Zastosowanie pharming-u. Źródło: www.ctrustnetwork.com

Klientowi Citizens Bank of Edmond po wpisaniu prawidłowego adresu swojego banku ukazywała się strona zaprezentowana na powyższym rysunku. Strona banku jest oczywiście idealnym odwzorowaniem oryginału. Da się jednak zauważyć okno pop-up, widoczne w prawym rogu strony. Atakujący proszą w nim o uzupełnienie kilku pól formularza. Świadczy to o tym, że znaleźliśmy się na fałszywym serwerze. Banki nigdy na swoich stronach nie proszą o PIN do karty kredytowej, podanie okresu ważności karty czy numer CVV2. Ponadto w pasku adresu przeglądarki widoczny jest jedynie protokół http co przy dostępie do konta bankowości elektronicznej zawsze powinno wzbudzać podejrzenia. Szanujący siebie i swoich klientów bank obecnie nie pozwoliłby sobie na zaniechanie szyfrowania uwierzytelniania. Dodatkowo w oknie pop-up możemy znaleźć informację „Your information is protected by 128-bit SSL encryption”, dowodów potwierdzających to stwierdzenie jednak brak.

Przed pharming-iem możemy bronić się w bardzo prosty sposób – posiadając zawsze aktualne oprogramowanie antywirusowe. Warto też pamiętać o dobrych praktykach takich jak weryfikacja adresów URL, sprawdzenie poprawności certyfikatu danej witryny czy aktualizacja przeglądarki internetowej. Skoro w tak łatwy sposób można dbać o swoje bezpieczeństwo w Sieci to nie wahajmy się tego robić.