การโจมตีด้วยยาเป็นกลไกที่ซับซ้อนซึ่งฉ้อโกงผู้ใช้ (ส่วนใหญ่) โดยไม่ต้องการ ‘ความผิดพลาดโง่ๆ’ จากฝ่ายผู้ใช้ มาถอดรหัสสิ่งนี้และดูวิธีป้องกัน
ลองนึกภาพการเข้าสู่ระบบธนาคารออนไลน์ของคุณโดยใช้ที่อยู่เว็บที่ถูกต้องและเงินออมในชีวิตก็หายไปหลังจากนั้นไม่นาน
นั่นเป็นหนึ่งในลักษณะการโจมตีของฟาร์มมิ่ง
คำว่าฟาร์มมิ่งมาจากฟิชชิ่ง (การโจมตี) และการทำฟาร์ม 🚜
พูดง่ายๆ ; ฟิชชิงต้องการให้คุณคลิกลิงก์ที่น่าสงสัย (ข้อผิดพลาดโง่ๆ) ซึ่งจะดาวน์โหลดมัลแวร์ซึ่งส่งผลให้เกิดการสูญเสียทางการเงิน นอกจากนี้ อาจเป็นอีเมลจาก ‘CEO’ ของคุณที่ขอให้ทำการโอนเงินผ่านธนาคารแบบ ‘เร่งด่วน’ ไปยัง ‘ผู้ขาย’ การหลอกลวงประเภทพิเศษที่เรียกว่าการฉ้อโกงฟิชชิ่งปลาวาฬ
กล่าวโดยสรุป ฟิชชิงต้องการการมีส่วนร่วมของคุณ ในขณะที่การโจมตีด้วยยา (ในกรณีส่วนใหญ่) ไม่ต้องการ
Pharming Attack คืออะไร?
เราคุ้นเคยกับชื่อโดเมน (เช่น admintrick.com.com) ในขณะที่เครื่องเข้าใจที่อยู่ IP (เช่น 24.237.29.182)
เมื่อเราพิมพ์ที่อยู่เว็บ (ชื่อโดเมน) ที่อยู่เว็บ (คำค้นหา) จะไปที่เซิร์ฟเวอร์ DNS (สมุดโทรศัพท์ของอินเทอร์เน็ต) ซึ่งจะจับคู่กับที่อยู่ IP ที่เกี่ยวข้อง
ดังนั้น ชื่อโดเมนจึงมีความเกี่ยวข้องเพียงเล็กน้อยกับเว็บไซต์จริง
ตัวอย่างเช่น หากเซิร์ฟเวอร์ DNS จับคู่ชื่อโดเมนกับที่อยู่ IP ที่ไม่ใช่ของแท้ซึ่งโฮสต์เว็บไซต์ปลอม นั่นคือทั้งหมดที่คุณจะเห็น โดยไม่คำนึงถึง URL ที่คุณป้อน “ถูกต้อง”
ต่อไป ผู้ใช้ส่งรายละเอียดต่างๆ อย่างง่ายดาย เช่น หมายเลขบัตร หมายเลขประจำตัวประชาชน ข้อมูลรับรองการเข้าสู่ระบบ ฯลฯ ให้กับการล้อเลียน โดยคิดว่ามันถูกต้องตามกฎหมาย
สิ่งนี้ทำให้การโจมตีด้วยฟาร์มเป็นอันตราย
พวกเขาทำมาดีมาก ทำงานอย่างลับๆ และผู้ใช้ปลายทางไม่รู้อะไรเลยจนกว่าจะได้รับข้อความ ‘หักจำนวนเงิน’ จากธนาคาร หรือพวกเขาได้รับข้อมูลที่สามารถระบุตัวบุคคลได้ซึ่งขายบนเว็บมืด
ตรวจสอบวิธีการดำเนินการโดยละเอียด
Pharming Attack ทำงานอย่างไร
สิ่งเหล่านี้ถูกจัดการในสองระดับ กับผู้ใช้หรือเซิร์ฟเวอร์ DNS ทั้งหมด
#1. Pharming ระดับผู้ใช้
สิ่งนี้คล้ายกับฟิชชิง และคุณคลิกลิงก์ที่น่าสงสัยซึ่งดาวน์โหลดมัลแวร์ ต่อจากนั้น ไฟล์ของโฮสต์ (หรือที่เรียกว่าระเบียน DNS ในเครื่อง) จะถูกแก้ไข และผู้ใช้เยี่ยมชมเว็บไซต์ดั้งเดิมที่มีลักษณะคล้ายกันซึ่งมุ่งร้าย
ไฟล์โฮสต์คือไฟล์ข้อความมาตรฐานที่บันทึกระเบียน DNS ที่จัดการในเครื่องและปูทางสำหรับการเชื่อมต่อที่เร็วขึ้นโดยมีเวลาแฝงน้อยลง
โดยทั่วไป ผู้ดูแลเว็บจะใช้ไฟล์โฮสต์เพื่อทดสอบเว็บไซต์ก่อนที่จะแก้ไขระเบียน DNS จริงที่ผู้รับจดทะเบียนโดเมน
อย่างไรก็ตาม มัลแวร์อาจเขียนรายการปลอมลงในไฟล์โฮสต์ภายในเครื่องคอมพิวเตอร์ของคุณ ด้วยวิธีนี้ แม้แต่ที่อยู่เว็บไซต์ที่ถูกต้องก็สามารถแก้ไขเป็นเว็บไซต์หลอกลวงได้
#2. ฟาร์มมิ่งระดับเซิร์ฟเวอร์
สิ่งที่เกิดขึ้นกับผู้ใช้คนเดียวสามารถทำได้กับทั้งเซิร์ฟเวอร์
สิ่งนี้เรียกว่า DNS เป็นพิษหรือการปลอมแปลง DNS หรือการไฮแจ็ก DNS เนื่องจากเหตุการณ์นี้เกิดขึ้นที่ระดับเซิร์ฟเวอร์ เหยื่อจึงสามารถเป็นร้อยหรือเป็นพันได้ หากไม่มากกว่านั้น
โดยทั่วไปเซิร์ฟเวอร์ DNS เป้าหมายจะควบคุมได้ยากกว่าและเป็นการซ้อมรบที่มีความเสี่ยง แต่ถ้าทำสำเร็จ รางวัลจะสูงขึ้นเป็นทวีคูณสำหรับอาชญากรไซเบอร์
การทำฟาร์มระดับเซิร์ฟเวอร์ทำได้โดยการจี้เซิร์ฟเวอร์ DNS หรือการโจมตีแบบคนกลาง (MITM)
อย่างหลังคือการจัดการซอฟต์แวร์ระหว่างผู้ใช้กับเซิร์ฟเวอร์ DNS หรือระหว่างเซิร์ฟเวอร์ DNS และเซิร์ฟเวอร์ชื่อ DNS ที่มีสิทธิ์
นอกจากนี้ แฮ็กเกอร์ยังสามารถเปลี่ยนการตั้งค่า DNS ของเราเตอร์ WiFi ของคุณ ซึ่งเรียกว่าการกำหนดตำแหน่ง DNS ในเครื่อง
บันทึกการโจมตีของ Pharming
การโจมตีทางเภสัชกรรมในระดับผู้ใช้มักจะถูกซ่อนไว้และแทบไม่ได้รับการรายงาน แม้ว่าจะลงทะเบียนแล้วก็ตาม สิ่งนี้แทบจะไม่ได้ส่งไปยังสำนักข่าวเลย
นอกจากนี้ ความซับซ้อนของการโจมตีระดับเซิร์ฟเวอร์ยังทำให้ยากแก่การสังเกต เว้นแต่ว่าอาชญากรไซเบอร์จะกวาดล้างเงินจำนวนมาก ซึ่งส่งผลกระทบต่อผู้คนจำนวนมาก
ลองตรวจสอบดูว่ามันทำงานอย่างไรในชีวิตจริง
#1. การเงินโค้ง
Curve Finance เป็นแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัลที่ได้รับความเสียหายจากการโจมตี DNS เมื่อวันที่ 9 สิงหาคม 2022
เรามีรายงานสั้นๆ จาก @iwantmyname เกี่ยวกับสิ่งที่เกิดขึ้น โดยย่อ: พิษแคช DNS ไม่ใช่การประนีประนอมเซิร์ฟเวอร์https://t.co/PI1zR96M1Z
ไม่มีใครบนเว็บปลอดภัย 100% จากการโจมตีเหล่านี้ สิ่งที่เกิดขึ้นขอแนะนำให้เริ่มย้ายไปที่ ENS แทน DNS
– Curve Finance (@CurveFinance) วันที่ 10 สิงหาคม 2022
เบื้องหลังคือ iwantmyname ผู้ให้บริการ DNS ของ Curve ซึ่งถูกบุกรุก ส่งผู้ใช้ไปล้อเลียนและทำให้สูญเสียเงินกว่า 550,000 ดอลลาร์
#2. MyEtherWallet
วันที่ 24 เมษายน 2018 เป็นวันสีดำสำหรับผู้ใช้ MyEtherWallet บางราย นี่คือกระเป๋าเงิน Ethereum (สกุลเงินดิจิทัล) ฟรีและโอเพ่นซอร์สพร้อมโปรโตคอลความปลอดภัยที่แข็งแกร่ง
แม้จะมีความดีทั้งหมด แต่ประสบการณ์ก็ทิ้งรสชาติที่ขมขื่นไว้ในปากของผู้ใช้ด้วยการขโมยเงินสุทธิ 17 ล้านเหรียญ
ในทางเทคนิค การไฮแจ็ก BGP ถูกดึงออกจากบริการ DNS ของ Amazon Route 53 ซึ่งใช้โดย MyEtherWallet ซึ่งเปลี่ยนเส้นทางผู้ใช้บางส่วนไปยังแบบจำลองฟิชชิ่ง พวกเขาป้อนรายละเอียดการเข้าสู่ระบบซึ่งทำให้อาชญากรสามารถเข้าถึงกระเป๋าเงินดิจิทัลของพวกเขาได้ ทำให้เกิดการระบายทางการเงินอย่างกะทันหัน
อย่างไรก็ตาม ข้อผิดพลาดที่เห็นได้ชัดเจนที่ปลายทางของผู้ใช้คือการเพิกเฉยต่อคำเตือน SSL ของเบราว์เซอร์
แถลงการณ์อย่างเป็นทางการของ MyEtherWallet เกี่ยวกับการหลอกลวง
#3. ธนาคารรายใหญ่
ย้อนกลับไปในปี 2550 ผู้ใช้ธนาคารเกือบ 50 แห่งตกเป็นเป้าหมายของการโจมตีด้วยยา ส่งผลให้เกิดการสูญเสียโดยไม่ทราบจำนวน
การประนีประนอม DNS แบบคลาสสิกนี้ส่งผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย แม้ว่าพวกเขาจะป้อน URL อย่างเป็นทางการก็ตาม
อย่างไรก็ตาม ทั้งหมดเริ่มต้นจากผู้ที่ตกเป็นเหยื่อไปที่เว็บไซต์ที่เป็นอันตรายซึ่งดาวน์โหลดโทรจันเนื่องจากช่องโหว่ของ Windows (ตอนนี้ได้รับการแก้ไขแล้ว)
ต่อจากนั้น ไวรัสขอให้ผู้ใช้ปิดโปรแกรมป้องกันไวรัส ไฟร์วอลล์ ฯลฯ
หลังจากนั้น ผู้ใช้ถูกส่งไปยังเว็บไซต์ล้อเลียนสถาบันการเงินชั้นนำทั่วสหรัฐอเมริกา ยุโรป และเอเชียแปซิฟิก มีเหตุการณ์เช่นนี้อีกมาก แต่ดำเนินการในลักษณะเดียวกัน
สัญญาณของ Pharming
Pharming ให้การควบคุมบัญชีออนไลน์ที่ติดไวรัสของคุณกับผู้กระทำการคุกคามอย่างเต็มที่ อาจเป็นโปรไฟล์ Facebook บัญชีธนาคารออนไลน์ ฯลฯ
หากคุณตกเป็นเหยื่อ คุณจะเห็นกิจกรรมที่ไม่ได้รับการตรวจสอบ อาจเป็นโพสต์ การทำธุรกรรม หรือเพียงแค่เปลี่ยนรูปโปรไฟล์ของคุณแบบตลกๆ
ท้ายที่สุด คุณควรเริ่มด้วยวิธีการรักษาหากมีสิ่งใดที่คุณจำไม่ได้ว่าได้ทำไปแล้ว
การป้องกัน Pharming
ขึ้นอยู่กับประเภทการโจมตี (ระดับผู้ใช้หรือเซิร์ฟเวอร์) ที่คุณตกเป็นเป้าหมาย มีวิธีป้องกันอยู่สองสามวิธี
เนื่องจากการใช้งานระดับเซิร์ฟเวอร์ไม่ใช่ขอบเขตของบทความนี้ เราจึงจะเน้นไปที่สิ่งที่คุณสามารถทำได้ในฐานะผู้ใช้ปลายทาง
#1. ใช้โปรแกรมป้องกันไวรัสระดับพรีเมียม
โปรแกรมป้องกันไวรัสที่ดีคืองานที่ทำสำเร็จไปแล้วครึ่งหนึ่ง วิธีนี้ช่วยให้คุณได้รับการปกป้องจากลิงก์หลอกลวง การดาวน์โหลดที่เป็นอันตราย และเว็บไซต์หลอกลวง แม้ว่าจะมีโปรแกรมป้องกันไวรัสฟรีสำหรับพีซีของคุณ แต่โปรแกรมป้องกันไวรัสแบบชำระเงินมักทำงานได้ดีกว่า
#2. ตั้งรหัสผ่านเราเตอร์ที่รัดกุม
เราเตอร์ WiFi สามารถเพิ่มเป็นสองเท่าของเซิร์ฟเวอร์ DNS ขนาดเล็ก ดังนั้น ความปลอดภัยจึงเป็นสิ่งสำคัญ และเริ่มต้นด้วยการยกเลิกรหัสผ่านที่บริษัทจัดส่งให้
#3. เลือก ISP ที่มีชื่อเสียง
สำหรับพวกเราส่วนใหญ่ ผู้ให้บริการอินเทอร์เน็ตยังทำหน้าที่เป็นเซิร์ฟเวอร์ DNS และจากประสบการณ์ของฉัน DNS ของ ISP ให้ความเร็วเพิ่มขึ้นเล็กน้อยเมื่อเทียบกับบริการ DNS สาธารณะฟรี เช่น Google Public DNS อย่างไรก็ตาม สิ่งสำคัญคือต้องเลือก ISP ที่ดีที่สุด ไม่เพียงแต่ความเร็วเท่านั้น แต่ยังรวมถึงความปลอดภัยโดยรวมอีกด้วย
#4. ใช้เซิร์ฟเวอร์ DNS แบบกำหนดเอง
การเปลี่ยนไปใช้เซิร์ฟเวอร์ DNS อื่นไม่ใช่เรื่องยากหรือผิดปกติ คุณสามารถใช้ DNS สาธารณะได้ฟรีจาก OpenDNS, Cloudflare, Google และอื่นๆ อย่างไรก็ตาม สิ่งสำคัญคือผู้ให้บริการ DNS สามารถเห็นกิจกรรมบนเว็บของคุณได้ ดังนั้น คุณควรระแวดระวังผู้ที่ให้สิทธิ์เข้าถึงกิจกรรมบนเว็บของคุณ
#5. ใช้ VPN ด้วย DNS ส่วนตัว
การใช้ VPN ทำให้มีชั้นความปลอดภัยมากมาย รวมถึง DNS ที่กำหนดเอง สิ่งนี้ไม่เพียงแต่ปกป้องคุณจากอาชญากรไซเบอร์เท่านั้น แต่ยังปกป้องจาก ISP หรือการเฝ้าระวังของรัฐบาลอีกด้วย ถึงกระนั้น คุณควรตรวจสอบว่า VPN ควรมีเซิร์ฟเวอร์ DNS ที่เข้ารหัสเพื่อการป้องกันที่ดีที่สุด
#6. รักษาสุขอนามัยไซเบอร์ที่ดี
การคลิกลิงก์หลอกลวงหรือโฆษณาที่ดีเกินจริงเป็นหนึ่งในวิธีหลักที่จะถูกหลอกลวง แม้ว่าโปรแกรมป้องกันไวรัสที่ดีจะทำงานแจ้งเตือนคุณ แต่ไม่มีเครื่องมือรักษาความปลอดภัยทางไซเบอร์ใดรับประกันอัตราความสำเร็จ 100% ในที่สุดความรับผิดชอบก็อยู่บนบ่าของคุณเพื่อปกป้องตัวคุณเอง
ตัวอย่างเช่น เราควรวางลิงก์ที่น่าสงสัยลงในเครื่องมือค้นหาเพื่อดูแหล่งที่มา นอกจากนี้ เราควรตรวจสอบ HTTPS (ระบุโดยแม่กุญแจในแถบ URL) ก่อนเชื่อถือเว็บไซต์ใดๆ
ยิ่งไปกว่านั้น การล้าง DNS ของคุณเป็นระยะจะช่วยได้อย่างแน่นอน
ระวัง!
การโจมตีของ Pharming นั้นมีมานานแล้ว แต่วิธีการทำงานนั้นละเอียดอ่อนเกินกว่าจะระบุได้ ต้นตอของการโจมตีดังกล่าวคือความไม่ปลอดภัยของ DNS ดั้งเดิมซึ่งไม่ได้ระบุทั้งหมด
ดังนั้น สิ่งนี้ไม่ได้ขึ้นอยู่กับคุณเสมอไป ถึงกระนั้น การป้องกันที่ระบุไว้จะช่วยได้ โดยเฉพาะอย่างยิ่งการใช้ VPN ที่มี DNS ที่เข้ารหัส เช่น ProtonVPN
ในขณะที่ Pharming ใช้ DNS คุณรู้หรือไม่ว่ากลโกงอาจใช้ Bluetooth ได้เช่นกัน ข้ามไปที่ bluesnarfing 101 เพื่อตรวจสอบวิธีการดำเนินการและวิธีการป้องกันตัวเอง
