كيف تحمي نفسك من هجوم Pharming

هجوم التزييف هو آلية متطورة تخدع المستخدمين (في الغالب) دون الحاجة إلى أي “خطأ سخيف” من جانبهم. دعونا نفك تشفير هذا ونرى كيف نحمي.

تخيل تسجيل الدخول إلى الخدمات المصرفية عبر الإنترنت باستخدام عنوان ويب شرعي واختفت مدخرات الحياة بعد فترة وجيزة.

هذه إحدى الطرق التي تبدو بها هجمات pharming.

مصطلح pharming مُبتكر من التصيد (الهجوم) و الزراعة.

ببساطة؛ يحتاج التصيد الاحتيالي إلى النقر فوق ارتباط مشبوه (الخطأ السخيف) ، والذي يقوم بتنزيل برامج ضارة تؤدي إلى خسائر مالية. بالإضافة إلى ذلك ، يمكن أن يكون بريدًا إلكترونيًا من “الرئيس التنفيذي” يطلب منك إجراء تحويل مصرفي “عاجل” إلى “بائع” ، وهي فئة خاصة من عمليات الاحتيال تُعرف باسم احتيال صيد الحيتان.

باختصار ، يحتاج التصيد الاحتيالي إلى مشاركتك النشطة ، بينما لا تحتاج هجمات التصيد الاحتيالي (في معظم الحالات).

ما هو هجوم فارمينغ؟

اعتدنا على استخدام أسماء النطاقات (مثل admingate.org.com) ، بينما تفهم الأجهزة عناوين IP (مثل 24.237.29.182).

عندما نكتب عنوان ويب (اسم المجال) ، ينتقل (الاستعلام) إلى خوادم DNS (دليل هاتف الإنترنت) ، والتي تطابقه مع عنوان IP المرتبط.

وبالتالي ، فإن أسماء النطاقات لا علاقة لها بالمواقع الفعلية.

على سبيل المثال ، إذا قام خادم DNS بمطابقة اسم مجال مع عنوان IP غير أصلي يستضيف موقع ويب مخادعًا – فهذا كل ما ستراه ، بغض النظر عن عنوان URL “الصحيح” الذي أدخلته.

بعد ذلك ، يسلم المستخدم التفاصيل – أرقام البطاقات ، وأرقام الهوية ، وبيانات اعتماد تسجيل الدخول ، وما إلى ذلك – دون عناء للمحاكاة الساخرة ، معتقدًا أنها شرعية.

هذا يجعل هجمات pharming خطيرة.

إنها مصنوعة بشكل جيد للغاية ، وتعمل خلسة ، ولا يعرف المستخدم النهائي شيئًا حتى يتلقى رسائل “المبلغ المخصوم” من بنوكه. أو يحصلون على معلومات التعريف الشخصية الخاصة بهم والتي تُباع على الويب المظلم.

دعونا نتحقق من طريقة عملهم بالتفصيل.

كيف يعمل هجوم فارمينغ؟

يتم تنظيمها على مستويين ، مع المستخدم أو خادم DNS بأكمله.

# 1. Pharming على مستوى المستخدم

يشبه هذا التصيد الاحتيالي ، ويمكنك النقر فوق ارتباط مريب يقوم بتنزيل برامج ضارة. بعد ذلك ، يتم تغيير ملف المضيف (المعروف أيضًا باسم سجلات DNS المحلية) ، ويزور المستخدم مظهرًا ضارًا يشبه موقع الويب الأصلي.

ملف المضيف هو ملف نصي قياسي يحفظ سجلات DNS المُدارة محليًا ويمهد الطريق لاتصالات أسرع مع زمن انتقال أقل.

عادةً ما يستخدم مشرفو المواقع الملف المضيف لاختبار مواقع الويب قبل تعديل سجلات DNS الفعلية في مسجل المجال.

ومع ذلك ، يمكن أن تكتب البرامج الضارة إدخالات مزيفة إلى ملف المضيف المحلي لجهاز الكمبيوتر الخاص بك. بهذه الطريقة ، حتى عنوان موقع الويب الصحيح يتحول إلى موقع ويب احتيالي.

# 2. Pharming على مستوى الخادم

ما حدث لمستخدم واحد يمكن أن يتم أيضًا على خادم بأكمله.

يُعرف هذا بإفساد نظام أسماء النطاقات أو انتحال نظام أسماء النطاقات أو اختطاف نظام أسماء النطاقات. نظرًا لأن هذا يحدث على مستوى الخادم ، يمكن أن يكون الضحايا مئات أو آلاف ، إن لم يكن أكثر.

بشكل عام ، يصعب التحكم في خوادم DNS المستهدفة وهي مناورة محفوفة بالمخاطر. ولكن إذا تم ذلك ، فستكون المكافآت أعلى بشكل كبير لمجرمي الإنترنت.

تتم تزوير مستوى الخادم عن طريق الاستيلاء الفعلي على خوادم DNS أو هجمات الرجل في الوسط (MITM).

الأخير هو معالجة البرامج بين المستخدم وخادم DNS أو بين خوادم DNS وخوادم أسماء DNS الرسمية.

بالإضافة إلى ذلك ، يمكن للمخترق تغيير إعدادات DNS لجهاز توجيه WiFi الخاص بك ، والذي يُعرف باسم تحديد موقع DNS المحلي.

هجمات تزوير موثقة

غالبًا ما يظل هجوم التزييف على مستوى المستخدم مخفيًا ونادرًا ما يتم الإبلاغ عنه. حتى لو تم تسجيله ، فإن هذا بالكاد يصل إلى منافذ الأخبار.

علاوة على ذلك ، فإن تطور الهجمات على مستوى الخادم يجعل من الصعب ملاحظتها ما لم يقم المجرمون الإلكترونيون بالقضاء على مبلغ كبير من المال ، مما يؤثر على العديد من الأشخاص.

دعنا نتحقق من بعضها لنرى كيف نجحت في الحياة الواقعية.

# 1. كيرف للتمويل

Curve Finance هي عبارة عن منصة لتبادل العملات المشفرة تعرضت لهجوم تسمم DNS في 9 أغسطس 2022.

لدينا تقرير موجز منiwantmyname حول ما حدث. باختصار: إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات ، وليس اختراق خادم الأسماء. https: //t.co/PI1zR96M1Z

لا أحد على الويب في مأمن بنسبة 100٪ من هذه الهجمات. ما حدث يوحي بقوة بالبدء في الانتقال إلى ENS بدلاً من DNS

– Curve Finance (CurveFinance) 10 أغسطس 2022

وراء الكواليس ، كان iwantmyname ، مزود DNS الخاص بـ Curve ، الذي تم اختراقه ، مما أدى إلى إرسال مستخدميه إلى محاكاة ساخرة وتسبب في خسائر تزيد عن 550 ألف دولار.

# 2. MyEtherWallet

كان 24 أبريل 2018 يومًا أسودًا لبعض مستخدمي MyEtherWallet. هذه محفظة إيثريوم مجانية ومفتوحة المصدر (عملة مشفرة) مع بروتوكولات أمان قوية.

على الرغم من كل الخير ، إلا أن التجربة تركت طعمًا مريرًا في أفواه مستخدميها مع سرقة صافية قدرها 17 مليون دولار.

من الناحية الفنية ، تم إيقاف BGP Hijacking على خدمة Amazon Route 53 DNS – التي تستخدمها MyEtherWallet – والتي أعادت توجيه بعض مستخدميها إلى نسخة تصيد احتيالية. لقد أدخلوا تفاصيل تسجيل الدخول الخاصة بهم مما أتاح للمجرمين الوصول إلى محافظ العملات المشفرة الخاصة بهم مما تسبب في استنزاف مالي مفاجئ.

ومع ذلك ، كان هناك خطأ صارخ من جانب المستخدم وهو تجاهل تحذير SSL الخاص بالمتصفح.

بيان رسمي MyEtherWallet بخصوص عملية الاحتيال.

# 3. البنوك الكبرى

في عام 2007 ، تم استهداف مستخدمي ما يقرب من 50 مصرفاً بهجمات تزوير نتج عنها خسائر غير معروفة.

أرسل هذا الاختراق الكلاسيكي لنظام أسماء النطاقات المستخدمين إلى مواقع ويب ضارة حتى عند إدخالهم عناوين URL الرسمية.

ومع ذلك ، بدأ كل شيء بزيارة الضحايا لموقع ويب ضار قام بتنزيل حصان طروادة بسبب ثغرة أمنية في نظام التشغيل Windows (تم تصحيحه الآن).

بعد ذلك ، طلب الفيروس من المستخدمين إيقاف تشغيل برامج مكافحة الفيروسات وجدران الحماية وما إلى ذلك.

بعد ذلك ، تم إرسال المستخدمين إلى مواقع ويب محاكاة ساخرة للمؤسسات المالية الرائدة في جميع أنحاء الولايات المتحدة وأوروبا وآسيا والمحيط الهادئ. هناك المزيد من مثل هذه الأحداث ، لكنها تعمل بطريقة مماثلة.

علامات التصحر

يمنح Pharming بشكل أساسي التحكم الكامل في حساباتك المصابة عبر الإنترنت لممثل التهديد. يمكن أن يكون ملفك الشخصي على Facebook أو حسابك المصرفي عبر الإنترنت ، إلخ.

إذا كنت ضحية ، فسترى نشاطًا غير محسوب. يمكن أن يكون منشورًا أو معاملة أو تغييرًا طريفًا في صورة ملفك الشخصي.

في النهاية ، يجب أن تبدأ بالعلاج إذا كان هناك أي شيء لا تتذكر القيام به.

الحماية من التزييف

بناءً على نوع الهجوم (المستخدم أو مستوى الخادم) الذي تتعرض له ، هناك عدة طرق للحماية.

نظرًا لأن التنفيذ على مستوى الخادم ليس نطاق هذه المقالة ، فسنركز على ما يمكنك القيام به كمستخدم نهائي.

# 1. استخدم Premium Antivirus

مكافحة الفيروسات الجيدة هي نصف العمل المنجز. يساعدك هذا في البقاء محميًا من معظم الروابط المارقة والتنزيلات الضارة ومواقع الاحتيال. على الرغم من وجود برنامج مكافحة فيروسات مجاني لجهاز الكمبيوتر الخاص بك ، إلا أن البرامج المدفوعة تؤدي بشكل أفضل بشكل عام.

# 2. قم بتعيين كلمة مرور قوية لجهاز التوجيه

يمكن أيضًا أن تتضاعف أجهزة توجيه WiFi كخوادم DNS صغيرة. وبالتالي ، فإن سلامتهم أمر بالغ الأهمية ، ويبدأ بالتخلص من كلمات المرور التي تقوم الشركة بشحنها.

# 3. اختر مزود خدمة إنترنت ذائع الصيت

بالنسبة لمعظمنا ، يعمل مزودو خدمة الإنترنت أيضًا كخوادم DNS. واستنادًا إلى تجربتي ، يوفر DNS الخاص بـ ISP زيادة صغيرة في السرعة مقارنة بخدمات DNS العامة المجانية مثل Google Public DNS. ومع ذلك ، من المهم اختيار أفضل مزود خدمة إنترنت متاح ليس فقط للسرعات ولكن للأمان العام.

# 4. استخدم خادم DNS مخصص

التحول إلى خادم DNS مختلف ليس بالأمر الصعب أو غير المألوف. يمكنك استخدام DNS العام المجاني من OpenDNS و Cloudflare و Google وما إلى ذلك. ومع ذلك ، فإن الشيء المهم هو أن مزود DNS يمكنه رؤية نشاط الويب الخاص بك. لذلك ، يجب أن تكون متيقظًا لمن تمنح الوصول إلى نشاط الويب الخاص بك.

# 5. استخدم VPN مع DNS الخاص

يؤدي استخدام VPN إلى وضع العديد من طبقات الأمان ، بما في ذلك DNS المخصص الخاص بهم. هذا لا يحميك فقط من مجرمي الإنترنت ولكن أيضًا من ISP أو المراقبة الحكومية. ومع ذلك ، يجب عليك التحقق من أن VPN يجب أن يكون لها خوادم DNS مشفرة للحصول على أفضل حماية ممكنة.

# 6. الحفاظ على النظافة السيبرانية الجيدة

يعد النقر فوق الروابط المارقة أو الإعلانات التي لا يمكن تصديقها إحدى الطرق الأساسية للخداع. بينما يقوم برنامج مكافحة الفيروسات الجيد بعمله في تنبيهك ، لا توجد أداة للأمن السيبراني تضمن معدل نجاح بنسبة 100٪. أخيرًا ، تقع المسؤولية على عاتقك لحماية نفسك.

على سبيل المثال ، يجب على المرء لصق أي رابط مشبوه في محركات البحث لمعرفة المصدر. بالإضافة إلى ذلك ، يجب علينا ضمان HTTPS (المشار إليه بقفل في شريط URL) قبل الوثوق بأي موقع ويب.

علاوة على ذلك ، فإن مسح DNS الخاص بك بشكل دوري سيساعد بالتأكيد.

احذر!

هجمات Pharming قديمة ، لكن طريقة عملها دقيقة للغاية ولا يمكن تحديدها بدقة. السبب الجذري لمثل هذه الهجمات هو عدم أمان DNS الأصلي الذي لم تتم معالجته بالكامل.

وبالتالي ، لا يعود الأمر إليك دائمًا. ومع ذلك ، ستساعد الحماية المدرجة ، خاصة باستخدام VPN مع DNS مشفر مثل ProtonVPN.

بينما يعتمد التزييف على DNS ، هل تعلم أن عمليات الاحتيال يمكن أن تستند إلى تقنية Bluetooth أيضًا؟ انتقل إلى لعبة bluesnarfing 101 هذه لتتفقد كيف يتم ذلك وكيف تحمي نفسك.