ในยุคนี้ผู้ใช้คอมพิวเตอร์ที่ใจง่ายเริ่มหายากขึ้น ด้วยการศึกษามัลแวร์ที่แพร่หลายบนอินเทอร์เน็ต ผู้คนจึงไม่หลงกลอีเมลหลอกลวงที่อ้างว่าได้รับเงินหลายล้านดอลลาร์
นั่นไม่ได้หมายความว่าแฮ็กเกอร์มีความมุ่งมั่นน้อยลง อย่างไรก็ตาม; มันหมายความว่าพวกเขาต้องทำงานอย่างชาญฉลาดขึ้น ตั้งแต่การสอดแนมโครงสร้างพื้นฐานของบริษัทและการส่งอีเมลถึงพนักงานจากที่อยู่ของเจ้านาย ไปจนถึงการลักพาตัวบัญชี Facebook ของผู้ใช้และการรับส่งข้อความถึงเพื่อน การละเมิดความไว้วางใจเป็นวิธีการทางเลือกสำหรับการแฮ็กในทุกวันนี้
วิธีหนึ่งที่พวกเขาทำได้คือเปลี่ยนเส้นทางคอมพิวเตอร์ของคุณจาก URL ที่ถูกต้องไปยังสำเนาปลอม ซึ่งพวกเขาสามารถรับรายละเอียดการเข้าสู่ระบบเมื่อคุณป้อนข้อมูลของคุณลงในไซต์ปลอม สิ่งนี้เรียกว่า "การทำฟาร์ม" และมันค่อนข้างน่ากลัวในวิธีการของมัน เราจะมาอธิบายว่า Pharming คืออะไรและทำงานอย่างไร
เภสัชคืออะไร
โดยตัวมันเอง pharming เป็นกระบวนการสองขั้นตอนที่รวมเวกเตอร์โจมตีสองตัวเข้าด้วยกัน พิษ DNS และฟิชชิ่ง โดยใช้จุดแข็งของทั้งสองอย่าง สร้างกับดักที่น่าเชื่ออย่างสูงสำหรับคนที่จะตกหลุมพราง แม้ว่าฟิชชิ่งจะทำงานโดยวางเหยื่อล่อและหวังว่าผู้คนจะจัดการ การทำฟาร์มก็สามารถเข้าควบคุมเซิร์ฟเวอร์ DNS ทั้งหมดและเปลี่ยนเส้นทางผู้คนไปยังเว็บไซต์ปลอมได้
เพื่อที่จะตอบว่า “เภสัชคืออะไร” ก่อนอื่นเราต้องวิเคราะห์องค์ประกอบทั้งสองที่สร้างขึ้นและดูว่าองค์ประกอบเหล่านี้โต้ตอบกันอย่างไรเพื่อสร้างการโจมตีทางเภสัชกรรมโดยรวม
DNS เป็นพิษ
คุณสามารถบอกได้ว่าเวกเตอร์การโจมตีนี้ชั่วร้ายเพียงใดโดยใช้ชื่อเพียงอย่างเดียว! การวางยาพิษ DNS ทำงานโดยการจี้การค้นหา DNS เมื่อคุณป้อนที่อยู่เว็บ (เช่น www.facebook.com) คอมพิวเตอร์จะต้องแปลงให้เป็นที่อยู่ IP เนื่องจากคอมพิวเตอร์ไม่เข้าใจว่า “Facebook” คืออะไร! URL มีไว้เพื่อช่วยให้มนุษย์จดจำที่อยู่ของเว็บไซต์ได้ง่ายขึ้น อย่างไรก็ตาม คอมพิวเตอร์รู้ว่าที่อยู่ IP คืออะไร ดังนั้นเพื่อที่จะคุยกับ Facebook คอมพิวเตอร์จะแปลง URL เป็นที่อยู่ IP
โดยดำเนินการค้นหาเซิร์ฟเวอร์ DNS ซึ่งทำหน้าที่เหมือนสมุดที่อยู่สำหรับ URL และที่อยู่ IP พวกเขาใช้เซิร์ฟเวอร์ DNS เพื่อค้นหาที่อยู่ IP ของ URL (www.facebook.com -> 157.240.1.35) แล้วใช้เพื่อพูดคุยกับเซิร์ฟเวอร์ Facebook เมื่อคอมพิวเตอร์ค้นพบที่อยู่ IP ของ URL คอมพิวเตอร์จะสามารถจดที่อยู่ในแคชได้ เพื่อหลีกเลี่ยงไม่ให้เสียเวลาค้นหาที่อยู่ IP เดิมซ้ำแล้วซ้ำอีก ในตัวอย่างนี้ จะสังเกตว่า www.facebook.com ไปที่ 157.240.1.35 ในแคช
การวางยาพิษ DNS ทำงานได้สองวิธี:โดยการเข้าไปในแคชบนพีซีแต่ละเครื่องและเปลี่ยนที่อยู่ IP เพื่อส่งตรงไปยังเว็บไซต์ที่เป็นอันตราย หรือโดยการติดไวรัสเซิร์ฟเวอร์ DNS เองเพื่อให้พีซีที่ทำการค้นหาได้รับผลลัพธ์ที่ "ติดไวรัส" ไม่ว่าในกรณีใด ในครั้งต่อไปที่ผู้ใช้พิมพ์ “www.facebook.com” ลงในเบราว์เซอร์ พวกเขาจะโหลดที่อยู่ IP ปลอมที่ “มีพิษ” แทน
ฟิชชิ่ง
การวางยาพิษ DNS ช่วยให้ผู้โจมตีสั่งผู้ใช้จากไซต์ที่ถูกต้องไปยังไซต์ที่เป็นอันตราย แม้ว่าผู้ใช้จะพิมพ์ที่อยู่อย่างถูกต้อง นี่เป็นเพียงขั้นตอนเดียว อย่างไรก็ตาม; ท้ายที่สุด เพียงแค่นำผู้ใช้ไปยังเว็บไซต์อื่นไม่ได้ช่วยอะไรมาก! แฮ็กเกอร์สามารถใช้ฟิชชิงเพื่อเปลี่ยนเส้นทางธรรมดาให้เป็นกำไรได้
เมื่อใช้ร่วมกับการเป็นพิษในตัวอย่างของเรา ผู้โจมตีเปลี่ยนเส้นทางผู้ใช้ออกจาก Facebook ไปยังเว็บไซต์ที่ผู้โจมตีเลือก มีตัวเลือกมากมายที่ผู้โจมตีสามารถเลือกได้ แต่ในการโจมตีเชิงเภสัชกรรม ผู้โจมตีจะเลือกเว็บไซต์ที่พวกเขาเคยตั้งค่าให้มีลักษณะเหมือนกับ Facebook ก่อนหน้านี้ เมื่อผู้ใช้พิมพ์ www.facebook.com ลงในเบราว์เซอร์ การเป็นพิษของ DNS จะเปลี่ยนเส้นทางไปยัง Facebook ปลอมของแฮ็กเกอร์
เมื่อผู้ใช้อยู่ในไซต์ปลอมแล้ว จะแจ้งให้ผู้ใช้ระบุข้อมูลรับรองการเข้าสู่ระบบ Facebook ของตน เชื่อว่าอยู่ในไซต์ Facebook จริง ผู้ใช้ป้อนรายละเอียดการเข้าสู่ระบบและส่งข้อมูลไปยังแฮกเกอร์ เพื่อทำการโจมตีทางเภสัชกรรมให้เสร็จสิ้น
สิ่งที่สามารถทำได้
ก่อนอื่น คุณควรรู้ว่าเซิร์ฟเวอร์ DNS มักจะเป็นของ ISP ที่คุณใช้ ดังนั้น เพื่อหลีกเลี่ยงการโจมตีทางเภสัชกรรมกับเซิร์ฟเวอร์ DNS ตรวจสอบให้แน่ใจว่าคุณเลือก ISP ที่เชื่อถือได้ ISP ที่ดีจะทราบเกี่ยวกับการทำฟาร์มและจะมีมาตรการรับมือเพื่อปกป้องเซิร์ฟเวอร์ของตนจากการถูกวางยาพิษ
แต่อะไรคือจุดอ่อนของ Pharming เมื่อพูดถึงการติดไฟล์ในคอมพิวเตอร์ของคุณเอง? อันดับแรก ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งโปรแกรมป้องกันไวรัสหรือโปรแกรมป้องกันมัลแวร์ที่ดีไว้เสมอ หวังว่าสิ่งเหล่านี้จะสามารถตรวจจับการแก้ไขไฟล์แคชที่อยู่ของคอมพิวเตอร์ของคุณและแจ้งเตือนคุณก่อนที่จะเกิดความเสียหายใดๆ
แม้จะไม่มีโปรแกรมป้องกันไวรัส แต่คุณสามารถหยุดการโจมตีทางเภสัชกรรมได้โดยใช้ปัญญาของคุณ เมื่อคุณเข้าถึงเว็บไซต์ยอดนิยมหรือเว็บไซต์ที่ปลอดภัย เช่น โซเชียลมีเดียหรือเว็บไซต์ธนาคาร คุณจะเห็นแม่กุญแจในแถบที่อยู่และ “HTTPS” ที่จุดเริ่มต้นของ URL ซึ่งหมายความว่าเว็บไซต์ได้รับการตรวจสอบโดยบุคคลที่สามที่เชื่อถือได้ว่าเป็นสิ่งที่อ้างว่าเป็น ด้วยเหตุนี้ จึงได้รับใบรับรองและการสื่อสารได้รับการเข้ารหัส
แน่นอน หากการโจมตีทางเภสัชกรรมได้เปลี่ยนเส้นทางคุณไปยังไซต์ปลอม ไซต์นั้นก็ไม่ควรมีใบรับรองที่ระบุว่าเป็นของแท้ แม้ว่า URL จะดูเหมือนของจริง แต่การเห็นใบรับรองที่ขาดหายไปนั้นเป็นของแถม เมื่อลงชื่อเข้าใช้เว็บไซต์ยอดนิยม ตรวจสอบให้แน่ใจว่ามีใบรับรอง HTTPS หากคุณสังเกตเห็นว่าใบรับรอง "หายไป" ในทันใด อาจมีบางอย่างเกิดขึ้น!
ยาหลอก
ด้วยหลายขั้นตอนในการสร้างเวกเตอร์การโจมตีที่ซับซ้อน การทำฟาร์มอาจดูน่ากลัวเล็กน้อย ตอนนี้คุณทราบรายละเอียดว่าการทำฟาร์มคืออะไรและทำงานอย่างไร ยิ่งไปกว่านั้น หากคุณเฉียบแหลมและใช้ ISP ที่ปลอดภัย คุณอาจไม่ต้องกังวลว่าจะตกเป็นเหยื่อของ Pharming
คุณหรือคนที่คุณรู้จักเคยถูกเว็บไซต์ที่ดูสมจริงหลอกหรือไม่? แจ้งให้เราทราบด้านล่าง