Pharming

Označení pharming vzniklo kombinací slov phishing a farming, protože se jedná o systematické „pěstování“ obětí kybernetických útoků ve velkém měřítku. Zatímco phishing lze přirovnat k rybaření, kdy útočník rozesílá „návnady“ a čeká, až některá z obětí „zabere“, pharming se podobá spíše hromadnému farmaření, kdy útočník modifikuje základní infrastrukturu internetu, aby „sklidil“ citlivé údaje od mnoha obětí najednou. 

Typy pharmingových útoků 

Z technického hlediska lze pharmingové útoky rozdělit do dvou hlavních kategorií: napadení DNS serverů a manipulace s lokálními soubory nebo konfigurací zařízení oběti. První kategorie, označovaná jako DNS poisoning (otrávení DNS), představuje útok na DNS servery, které jsou odpovědné za překlad doménových jmen na příslušné IP adresy. Pokaždé, když uživatel zadá doménové jméno, obrátí se jeho prohlížeč na DNS server s dotazem na IP adresu tohoto webu. Pokud je DNS server kompromitován, může poskytovat falešnou IP adresu, která vede na podvodnou stránku.

Druhá kategorie, známá jako lokální pharming nebo host file poisoning, spočívá v modifikaci souborů nebo nastavení v zařízení konkrétního uživatele. Nejčastějším cílem je soubor „hosts“, který slouží jako lokální překladová tabulka pro doménová jména ještě předtím, než je kontaktován DNS server. Pozměněním tohoto souboru může malware přesměrovat specifické domény na útočníkovy servery. Tento typ pharmingu obvykle vyžaduje, aby si uživatel nejprve nevědomky nainstaloval škodlivý software, který provede tyto změny.

V posledních letech se pharming rozšířil i do mobilních zařízení a aplikací. Mobilní pharming může využívat zranitelnosti v operačních systémech iOS a Android, napadené aplikace nebo manipulaci s přístupovými body Wi-Fi sítí. Vzhledem k rostoucímu významu mobilního bankovnictví a plateb představuje tento trend významné riziko pro uživatele chytrých telefonů a tabletů.

Zranitelnost protokolu DNS

První významné pharmingové útoky se objevily kolem roku 2004, kdy kyberzločinci začali experimentovat s technikami DNS poisoningu a využívat známé zranitelnosti v DNS serverech. Jedním z prvních případů pharmingu byl útok v roce 2005, kdy byla kompromitována řada DNS serverů patřících poskytovatelům internetových služeb. To způsobilo přesměrování uživatelů snažících se přistupovat k webům několika velkých bank na podvodné stránky. Tento incident vedl k významnému posílení zabezpečení DNS infrastruktury.

V roce 2008 bezpečnostní výzkumník Dan Kaminsky odhalil zásadní zranitelnost v protokolu DNS, která umožňovala útočníkům relativně snadno provádět DNS poisoning. Toto odhalení vedlo ke koordinované akci vývojářů, poskytovatelů internetových služeb a správců serverů, kteří spolupracovali na rychlém nasazení záplat a aktualizací. Kaminskyho objev a následná reakce představují klíčový moment v historii zabezpečení internetu a významně přispěly k vývoji technologie DNSSEC (Domain Name System Security Extensions), která do systému DNS přidává kryptografickou autentizaci.

Cíle pharmingu

Pharmingové útoky jsou primárně motivovány finančním ziskem. Hlavními cíli jsou klienti bank, platebních systémů a e-shopů. Útočníci vytvářejí dokonalé kopie legitimních webů, které jsou často nerozeznatelné od originálů, a sbírají přihlašovací údaje, čísla platebních karet a další citlivé informace, které zadávají nic netušící uživatelé. Ve složitějších scénářích mohou podvodné stránky přeposílat data mezi uživatelem a legitimním webem v reálném čase, což umožňuje útočníkům zachytit i jednorázové kódy používané pro dvoufaktorovou autentizaci.

Pharming také představuje významnou hrozbu pro korporátní sítě, kde může být využit k získání přístupu k interním systémům a citlivým firemním datům. V některých případech jsou pharmingové útoky součástí sofistikovaných APT (Advanced Persistent Threat) kampaní prováděných hackerskými skupinami podporovanými nepřátelskými státy. Tyto útoky mohou být motivovány špionáží nebo může jít o sabotáž. Například v roce 2015 bylo odhaleno, že hackerská skupina spojovaná s čínskou vládou používala techniky pharmingu k cílení na americké obranné a technologické společnosti.

Vývoj pharmingu

Pharmingové útoky jsou stále sofistikovanější a cílenější. Současné pharmingové kampaně často kombinují různé techniky útoku včetně malwaru, sociálního inženýrství a zneužívání zranitelností v síťové infrastruktuře. Útočníci stále častěji využívají pro své podvodné stránky SSL/TLS certifikáty, což u obětí vytváří falešný pocit bezpečí. Některé pokročilé pharmingové útoky dokonce zahrnují geolokační filtrování, personalizovaný obsah a další techniky pro zvýšení důvěryhodnosti podvodných stránek.

Jedním z nejznámějších a nejsofistikovanějších pharmingových útoků v posledních letech byl případ z roku 2017, kdy skupina útočníků úspěšně napadla brazilské DNS servery a přesměrovala uživatele několika velkých bank na dokonalé kopie legitimních webů. Tento útok trval několik hodin a zasáhl miliony uživatelů.

V roce 2019 odhalili bezpečnostní výzkumníci pharmingovou kampaň označovanou jako Sea Turtle, která byla připisována státem podporovaným útočníkům. V tomto případě útočníci kompromitovali poskytovatele DNS služeb, aby získali přístup k cílovým doménám a přesměrovali komunikaci na své servery. Mimořádně sofistikovaná kampaň zahrnovala útoky na registrátory domén, telekomunikační společnosti a další subjekty zapojené do DNS infrastruktury. Kampaň Sea Turtle představovala významný posun ve složitosti a rozsahu pharmingových útoků a zdůraznila potřebu komplexního přístupu k zabezpečení internetové infrastruktury.

Obrana před pharmingem 

Na úrovni infrastruktury je klíčovým opatřením proti pharmingu implementace technologie DNSSEC, která poskytuje kryptografické ověření DNS záznamů a zabraňuje jejich neoprávněné modifikaci. DNSSEC byl navržen jako řešení problému DNS poisoningu, ale jeho globální nasazení postupuje zatím relativně pomalu. Další důležité technologie jsou DNS over HTTPS (DoH) a DNS over TLS (DoT), které šifrují DNS komunikaci a chrání ji před odposlechem a manipulací.

Preventivní opatření zahrnují pravidelné bezpečnostní audity, monitorování DNS provozu s detekcí anomálií, důsledné aktualizace síťových zařízení a serverů a implementaci pokročilých bezpečnostních řešení. Mnoho organizací také používá vícefaktorové ověřování, biometrickou autentizaci a pokročilé systémy detekce podvodů k minimalizaci rizika i v případě úspěšného pharmingového útoku.

Pro individuální uživatele představuje nejúčinnější ochranu kombinace technologických řešení a zvýšeného povědomí o bezpečnosti. Důležitými opatřeními jsou používání aktualizovaných prohlížečů a operačních systémů, instalace bezpečnostního softwaru, který může detekovat pokusy o modifikaci nastavení DNS, a obezřetnost při zadávání citlivých informací na webových stránkách. Uživatelé by měli věnovat pozornost indikátorům zabezpečení webových stránek, jako jsou správné URL adresy a platné SSL certifikáty, a využívat dvoufaktorovou autentizaci všude, kde je to možné.

Různá opatření pro ochranu svých zákazníků zavádějí také finanční instituce a další cíle pharmingových útoků. Patří mezi ně pokročilé techniky detekce podvodů, které mohou identifikovat neobvyklé pokusy o přihlášení nebo transakce, používání vícefaktorové autentizace a vzdělávací kampaně zaměřené na zvyšování povědomí o bezpečnostních hrozbách. 

AI ve pharmingu 

Také pharmingové kampaně budou stále častěji zneužívat technologii umělé inteligence – ať už pro odhalování zneužitelných zranitelností, nebo pro automatizaci vytváření přesných kopií legitimních webových stránek. S rozvojem technologií, jako je internet věcí (IoT), sítě 5G a decentralizované finanční systémy (DeFi), se objevují i nové vektory útoku a potenciální cíle. Moderní technologie jako AI, blockchain a kvantová kryptografie ale mohou na druhé straně pomoci s detekcí a prevencí pharmingových útoků.