Pharming é um tipo específico de phishing que envolve a redireção da
navegação do usuário para sites falsos, por meio de alterações no
serviço de DNS (Domain Name System). Neste caso, quando você tenta
acessar um site legítimo, o seu navegador Web é redirecionado, de forma
transparente, para uma página falsa.
Esta redireção pode ocorrer:
- por meio do comprometimento do servidor de DNS do provedor que você utiliza;
- pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de DNS do seu computador;
- pela ação direta de um invasor, que venha a ter acesso às
configurações do serviço de DNS do seu computador ou modem de banda
larga.
Prevenção:
- desconfie se, ao digitar uma URL, for redirecionado para outro site, o
qual tenta realizar alguma ação suspeita, como abrir um arquivo ou
tentar instalar um programa;
- desconfie imediatamente caso o site de comércio eletrônico ou Internet
Banking que você está acessando não utilize conexão segura. Sites
confiáveis de comércio eletrônico e Internet Banking sempre usam
conexões seguras quando dados pessoais e financeiros são solicitados .
Funcionamento
O comprometimento do DNS local ocorre quando o hacker introduz dados,
não oriundos de servidores DNS de hierarquia superior, no banco de dados
de cache. Pode ser uma tentativa deliberada de um ataque malicioso em
um servidor de nomes, o resultado de um erro de configuração de um cache
de DNS ou de um software vulnerável. Esse banco de dados de cache é
usado para otimização de desempenho, para que o IP do servidor destino
seja resolvido mais rapidamente. O DNS é considerado envenenado quando
fornece dados não autênticos para os clientes do servidor. Um servidor
de nome de domínio traduz uma URL (como example.com) em um endereço IP
de um servidor, que por sua vez, é fornecedor de recursos da Internet.
Se um servidor DNS é envenenado, ele pode retornar um endereço IP
incorreto, desviando o tráfego para outro computador.
Normalmente, um computador em rede utiliza um servidor de DNS fornecido
pela organização do usuário do computador ou um provedor de serviços da
Internet (ISP). Os servidores DNS locais são geralmente implantados na
rede de uma organização para melhorar o desempenho através de uma
resposta de resultados da consulta anteriormente obtidos, por caching.
Ataques de envenenamento em um único servidor DNS podem afetar os
usuários atendidos diretamente pelo servidor comprometido ou
indiretamente pelo seu(s) servidor(es) downstream (s). Para executar um
ataque de envenenamento de cache, o atacante explora uma falha no
software de DNS. Se o servidor não valida corretamente respostas DNS
para garantir que eles são de uma fonte autorizada (por exemplo,
utilizando DNSSEC ), o servidor vai acabar cacheando as entradas
incorretas localmente e servir aos usuários que fazem o mesmo pedido.
Esta técnica pode ser usada para direcionar os usuários de um site para
outro site de escolha do atacante. Por exemplo, um atacante falsifica as
entradas de endereço IP de DNS para um site destino em um servidor DNS
fornecido, substituindo uma dessas entradas por um endereço IP de um
servidor que ele controla. Em seguida, ele cria os arquivos do servidor
malicioso com páginas idênticas ao servidor de destino. Estes arquivos
podem conter programas maliciosos, como worms ou vírus. Um usuário cujo
computador tenha referenciado o servidor de DNS envenenado seria levado a
aceitar conteúdo vindo de um servidor não-autêntico e, sem saber,
baixar conteúdo malicioso.
Nenhum comentário:
Postar um comentário