27 de jun. de 2013

O que é o Pharming ?

Pharming é um tipo específico de phishing que envolve a redireção da navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando você tenta acessar um site legítimo, o seu navegador Web é redirecionado, de forma transparente, para uma página falsa.

Esta redireção pode ocorrer:
- por meio do comprometimento do servidor de DNS do provedor que você utiliza;
- pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de DNS do seu computador;
- pela ação direta de um invasor, que venha a ter acesso às configurações do serviço de DNS do seu computador ou modem de banda larga. 


Prevenção:
- desconfie se, ao digitar uma URL, for redirecionado para outro site, o qual tenta realizar alguma ação suspeita, como abrir um arquivo ou tentar instalar um programa;
- desconfie imediatamente caso o site de comércio eletrônico ou Internet Banking que você está acessando não utilize conexão segura. Sites confiáveis de comércio eletrônico e Internet Banking sempre usam conexões seguras quando dados pessoais e financeiros são solicitados .


Funcionamento
O comprometimento do DNS local ocorre quando o hacker introduz dados, não oriundos de servidores DNS de hierarquia superior, no banco de dados de cache. Pode ser uma tentativa deliberada de um ataque malicioso em um servidor de nomes, o resultado de um erro de configuração de um cache de DNS ou de um software vulnerável. Esse banco de dados de cache é usado para otimização de desempenho, para que o IP do servidor destino seja resolvido mais rapidamente. O DNS é considerado envenenado quando fornece dados não autênticos para os clientes do servidor. Um servidor de nome de domínio traduz uma URL (como example.com) em um endereço IP de um servidor, que por sua vez, é fornecedor de recursos da Internet. Se um servidor DNS é envenenado, ele pode retornar um endereço IP incorreto, desviando o tráfego para outro computador.


Normalmente, um computador em rede utiliza um servidor de DNS fornecido pela organização do usuário do computador ou um provedor de serviços da Internet (ISP). Os servidores DNS locais são geralmente implantados na rede de uma organização para melhorar o desempenho através de uma resposta de resultados da consulta anteriormente obtidos, por caching. Ataques de envenenamento em um único servidor DNS podem afetar os usuários atendidos diretamente pelo servidor comprometido ou indiretamente pelo seu(s) servidor(es) downstream (s). Para executar um ataque de envenenamento de cache, o atacante explora uma falha no software de DNS. Se o servidor não valida corretamente respostas DNS para garantir que eles são de uma fonte autorizada (por exemplo, utilizando DNSSEC ), o servidor vai acabar cacheando as entradas incorretas localmente e servir aos usuários que fazem o mesmo pedido.

Esta técnica pode ser usada para direcionar os usuários de um site para outro site de escolha do atacante. Por exemplo, um atacante falsifica as entradas de endereço IP de DNS para um site destino em um servidor DNS fornecido, substituindo uma dessas entradas por um endereço IP de um servidor que ele controla. Em seguida, ele cria os arquivos do servidor malicioso com páginas idênticas ao servidor de destino. Estes arquivos podem conter programas maliciosos, como worms ou vírus. Um usuário cujo computador tenha referenciado o servidor de DNS envenenado seria levado a aceitar conteúdo vindo de um servidor não-autêntico e, sem saber, baixar conteúdo malicioso.

Nenhum comentário: