Rhybaření střídá pharming

Není tomu zase až tak dávno, co Internetu vládly zprávy o fenoménu s názvem phishing. Původ tohoto označení má kořeny v anglickém slově fishing, značícím rybaření, což je více než výstižné, protože jeho podstatou je nachytávání počítačových uživatelů na falešné e-maily, podobně jako se chytají ryby na lákavou návnadu.

Ve vodách Internetu takovouto návnadou phishingu bývají na první pohled důvěryhodné zprávy, v nichž je na místě odesílatele uvedena například uživatelova banka, administrator@i­netbanka.com. V textu e-mailové zprávy se pak nic netušící oběť dočte, že se vyskytly problémy s jeho přihlašovacím heslem, a musí proto vyplnit speciálně pro tento účel vytvořený WWW formulář. Design, grafika, údaje, text a další informace na stránce s tímto formulářem přesně odpovídají zvykům dané banky, takže ani v tomto závěrečném kroku mnoho uživatelů nepojme podezření a ochotně vyplní i odešle všechny požadované informace. Ty ale díky této umně vykonstruované návnadě neputují do banky, protože ryba-uživatel se chytla na háček a citlivé informace putují bez větších problémů k útočníkovi.

Takový je příklad scénáře phishingu. Většina čtenářů si v tuto chvíli asi říká, že člověk musí být hodně naivní, aby léčku neprohlédl. To samé vás ale přece napadne, když slyšíte o takzvaných nigerijských dopisech – a kolik lidí se nachytalo. V případě phishingu tedy vina z nezanedbatelné části padá na důvěřivost uživatelů a útočník z této lidské slabosti promyšleně těží. Co kdyby ale existovala podobná technika umožňující ještě více skrýt nekalou činnost? Proč se piplat se sociálním inženýrstvím – je tu pharming!

Pharming je takovým bratříčkem phishingu, mladším, sofistikovanějším a především nebezpečnějším. Ke své činnosti využívá překladu jména serveru na odpovídající IP adresu, útočí tedy na DNS (Domain Name System). Pokud pak uživatel ve svém internetovém prohlížeči zadá adresu například www.lupa.cz, nedojde k překladu na odpovídající IP adresu 81.31.5.18, nýbrž nějakou jinou, podvrženou – a zde je kámen úrazu. Pokud by se totiž útočníkovi podařilo změnit DNS záznam výše zmiňované imaginární banky www.inetbanka.com, přesměruje se komunikace na jiný stroj, jiné stránky, které však na první pohled nelze rozpoznat od originálu. Nic netušící uživatel tedy zadá požadované přihlašovací údaje a bez větších překážek jimi obdaruje útočníka.

Pokud vám celý postup nápadně připomíná techniku DNS spoofingu, máte pravdu. Pharming lze s trochou „štěstí“ provést také lokálně modifikací souboru hosts a případným vytvořením podvržené WWW stránky. Zmiňovaný soubor hosts můžete pod operačním systémem Windows nalézt v adresáři C:%WINDIR%system32driversetc, kde %WINDIR% je instalační adresář Windows. Hosts může obsahovat například tyto údaje:

127.0.0.1           localhost
81.31.5.18          www.lupa.cz

(v prvním sloupci jsou uvedeny IP adresy odpovídající názvům vpravo).

Pokud uživatel zadá ve svém webovém prohlížeči URL www.lupa.cz, pak bude přesně podle údaje v souboru hosts kontaktován stroj s adresou 81.31.5.18. Phar­ming spočívající v modifikaci souboru hosts by pak mohl vypadat takto:

1. Útočník si vytvoří na první pohled identickou kopii stránek www.inetbanka.com, díky které bude po nic netušícím uživateli požadovat zadání citlivých údajů o jeho osobě.
2. Tyto podvodné stránky umístí například na stroj s IP adresou 111.222.33.44.
3. Přidá do souboru hosts na vybraném počítači řádek

    111.222.33.44 www.inetbanka.com

4. Čeká, až se oběť přihlásí ke „svému“ účtu na adrese www.inetbanka.com.

Přístup do souboru hosts na vzdáleném počítači může útočník získat například použitím trojského koně, kterého předtím uživateli podstrčil.

Proti tomuto způsobu se můžete bránit kvalitním antivirovým systémem a jeho pravidelnou aktualizací. Cestu za úspěchem útočníkovi dále může ztížit správně nakonfigurovaný firewall, nicméně obrana proti pharmingu není v globále vůbec jednoduchá.

Za vyzkoušení stojí také aplikace Netcraft Toolbar, která však funguje bohužel pouze v prohlížeči Internet Explorer – její rozšíření také pro jiné browsery by „nebylo od věci“. Při jejím použití se u každé zobrazované stránky vypíší doplňující informace – např. země, do které navštívená adresa náleží, nebo hodnocení jiných uživatelů. S Netcraft Toolbar se zvyšují vaše šance na odhalení snah o phishing a pharming, případně rovnou můžete nějaký nově odhalený podvodnický server udat.