Pharming là gì? Làm thế nào để ngăn chặn Pharming?

Với những gì được khuyến cáo và cảnh báo về các phần mềm độc hại (malware) phổ biến trên Internet, người dùng đã “khá tỉnh” và không còn “dễ bị lừa” bởi các email lừa đảo, độc hại.

Tuy nhiên điều này không có nghĩa là các hacker “buông mặc” số phận, thay vào đó họ phải làm việc một cách thông minh hơn. Từ việc theo dõi cơ sở hạ tầng của công ty và gửi các email cho nhân viên từ địa chỉ của sếp, giả danh tài khoản Facebook người dùng và gửi tin nhắn cho bạn bè của họ, … là những phương thức mà các hacker lựa chọn và sử dụng ngày nay.

Pharming là gì? Làm thế nào để ngăn chặn Pharming?

Pharming là gì?

Bản thân Pharming là một quá trình gồm 2 bước tấn công: DNS poisoning (nhiễm độc bộ nhớ đệm DNS) và phishing. Bằng cách sử dụng “thế mạnh” của DNS poisoning và phising, Pharming tạo ra một cái bẫy “tin cậy” để người dùng “rơi vào bẫy”. Trong khi phishing hoạt động bằng cách thả mồi và hy vọng người dùng “ăn miếng mồi” đó, Pharming có thể chiếm toàn bộ máy chủ DNS và chuyển hướng người dùng đến trang web giả mạo.

Vì vậy để trả lời cho câu hỏi Pharming là gì? Trước tiên cần phải phân tích 2 thành phần “xây dựng” Pharming và xem những thành phần này tương tác như thế nào với nhau để tạo thành một cuộc tấn công tổng thể Pharming.

DNS Poisoning

DNS poisoning hoạt động bằng cách “chiếm đoạt” DNS lookup. Khi bạn nhập một địa chỉ web (chẳng hạn như www.facebook.com ), máy tính phải chuyển đổi địa chỉ đó sang địa chỉ IP. Điều này là bởi vì máy tính không hiểu Facebook là gì. URL giúp người dùng dễ dàng nhớ địa chỉ trang web hơn, nhưng máy tính chỉ biết và hiểu địa chủ IP của trang web đó. Do đó để truy cập Facebook, máy tính sẽ phải chuyển đổi URL thành một địa chỉ IP.

Để làm được điều này, máy tính truy vấn một máy chủ DNS, hoạt động như một sổ địa chỉ URL và địa chỉ IP. Máy tính sử dụng máy chủ DNS để tìm địa chỉ IP của URL (www.facebook.com => 157.240.1.35), và sau đó sử dụng nó để nói chuyện với các máy chủ của Facebook.

Khi một máy tính phát hiện ra địa chỉ IP của một URL, nó có thể ghi lại địa chỉ trong bộ nhớ cache. Điều này là để tiết kiệm thời gian tìm kiếm cùng một địa chỉ IP và nhiều hơn nữa. Trong ví dụ này, máy tính sẽ lưu ý rằng URL www.facebook.com đi tới địa chỉ 157.240.1.35 trong bộ nhớ cache.

DNS poisoning hoạt động theo 2 cách: hoặc là truy cập bộ nhớ cache trên máy tính cá nhân của người dùng và thay đổi địa chỉ IP để hướng đến các trang web độc hại, hoặc tự lây nhiễm các máy chủ DNS để máy tính thực hiện tìm kiếm các kết quả “bị nhiễm”. Trong cả 2 trường hợp, trong lần tiếp theo khi người dùng nhập "www.facebook.com" vào thanh địa chỉ trình duyệt, họ sẽ load địa chỉ IP giả mạo độc hại.

Phishing

DNS poisoning cho phép kẻ tấn công chuyển hướng người dùng từ một trang web hợp lệ sang một trang web độc hại, mặc dù người dùng nhập đúng địa chỉ trang web. Tuy nhiên đây mới chỉ là bước ban đầu, sau đó kẻ tấn công sẽ sử dụng phishing kết hợp với DNS poisoning để “biến” các chuyển hướng đơn giản đó thành lợi nhuận.

Trong ví dụ này, kẻ tấn công đang chuyển hướng người dùng ra khỏi Facebook và truy cập một trang web mà kẻ tấn công lựa chọn. Có rất nhiều lựa chọn mà kẻ tấn công có thể lựa chọn, tuy nhiên trong cuộc tấn công Pharming, kẻ tấn công sẽ lựa chọn một trang web mà họ đã thiết kế trước đó trông giống hệt với Facebook. Khi người dùng nhập www.facebook.com vào thanh địa chỉ trình duyệt của họ, DNS poisoning sẽ chuyển hướng người dùng tới Facebook giả mạo của các hacker.

Khi đang ở trên trang web giả mạo, người dùng sẽ được nhắc nhở sử dụng các thông tin để đăng nhập Facebook. Người dùng “tin rằng” đây là trang web Facebook “chính thức” và đăng nhập các thông tin của họ, các thông tin này sẽ được “gửi” đến các hacker để hoàn thành cuộc tấn công Pharming.

Làm thế nào để ngăn chặn Pharming?

Trước tiên, bạn nên biết rằng các máy chủ DNS thường thuộc sở hữu của ISP (nhà cung cấp dịch vụ Internet) mà bạn sử dụng. Như vậy, để tránh các cuộc tấn công Pharming đối với các máy chủ DNS, đảm bảo bạn đã lựa chọn một ISP đáng tin cậy. Các ISP tin cậy sẽ biết về Pharming và họ sẽ có biện pháp đối phó để bảo vệ máy chủ của họ không bị nhiễm độc.

Điểm yếu của Pharming khi nó lây nhiễm các file của máy tính là dễ bị phát hiện bởi các chương trình, phần mềm diệt virus, anti-malware. Trước tiên cần đảm bảo rằng bạn đã cài đặt một chương trình, phần mềm diệt virus hoặc phần mềm anti-malware. Các phần mềm, chương trình này có thể phát hiện ra một bản chỉnh sửa file địa chỉ bộ nhớ cache của máy tính và cảnh báo trước cho bạn trước khi xảy ra bất kỳ một thiệt hại nào cho máy tính.

Ngay cả khi không có chương trình, phần mềm diệt virus bạn cũng có thể nhăn các cuộc tấn công Pharming bằng cách sử dụng “cái đầu” của mình. Khi truy cập các trang web phổ biến hoặc các trang web an toàn, chẳng hạn như các trang web mạng xã hội hoặc trang web của ngân hàng, trên thanh địa chỉ bạn sẽ nhìn thấy một biểu tường ổ khóa và HTTPS ở đầu URL.

Điều này có nghĩa là trang web đã được xác nhận bởi một bên thứ ba có thẩm quyền để xác minh đó là trang web hợp lệ. Trang web đó đã được cấp certificate (chứng chỉ), và các thông tin liên lạc của trang web đã được mã hóa.

Tất nhiên, nếu một cuộc tấn công Pharming đã chuyển hướng bạn đến một trang giả mạo, trang web đó không được cung cấp certificate (chứng chỉ) để nhận dạng đó là trang web hợp lệ. Ngay cả khi URL giả mạo trông giống hệt với URL thật, nó cũng không được cung cấp certificate. Khi đăng nhập một trang web phổ biến nào đó, hãy đảm bảo rằng trang web đó có chứng chỉ HTTPS. Nếu nhận thấy rằng certificate (chứng chỉ) đã "mất tích", hãy cẩn thận.

https://thuthuat.taimienphi.vn/pharming-la-gi-lam-the-nao-de-ngan-chan-pharming-25008n.aspx
Với một quá trình gồm nhiều bước như thế, có thể nói Pharming là cuộc tấn công khá đáng sợ. Sau khi tham khảo bài viết pharming là gì? Làm thế nào để ngăn chặn Pharming? của Taimienphi.vn, hy vọng bạn đã biết thêm các thông tin về Pharming cũng như cách thức hoạt động của nó và làm thế nào để ngăn chặn Pharming. Bạn cũng không cần phải lo lắng mình sẽ trở thành một trong những nạn nhân của Pharming nữa.