Aby przekierować internautę np. na sfałszowaną stronę logowania do konta bankowego, cyberprzestępcy nie muszą wysyłać mu żadnych wiadomości. Wystarczy, że zmienią adresy DNS na komputerze lub serwerze ofiary. Podstawowym zadaniem systemu nazw domenowych jest przekształcanie adresów stron znanych internautom na adresy zrozumiałe dla urządzeń tworzących sieć komputerową. Załóżmy, że użytkownik chce odwiedzić witrynę banku, z którego usług korzysta. W pasku adresu przeglądarki wpisze www.mojbank.pl. DNS zamieni tę nazwę na odpowiadający jej adres IP mający postać np. 147.89.37.122 (zob. „Jak to działa? Czyli więcej o systemie DNS” – http:// di.com.pl/porady/25984. html).

Aby przyspieszyć wymianę danych, wykorzystuje się pamięć podręczną (ang. cache). Są w niej zapisywane odpowiedzi DNS dla odwiedzonych wcześniej witryn. Jeżeli cyberprzestępca zmodyfikuje te zapisy (zamiast 147.89.37.122 wprowadzi adres IP podrobionej strony, np. 205.35.67.153), to po wpisaniu przez użytkownika adresu www.mojbank.pl system nazw domenowych przekieruje go na spreparowaną witrynę. Cyberprzestępca dołoży oczywiście starań, żeby na pierwszy rzut oka nie różniła się ona od oryginalnej strony banku. Użytkownik nie zorientuje się wówczas, że został oszukany. Jeżeli zaloguje się na takiej stronie, wprowadzone przez niego dane (przede wszystkim identyfikator i hasło) trafią w ręce oszusta.

Strategie ataku

Istnieje kilka sposobów zatruwania pamięci DNS. Najbardziej rozpowszechniony polega na zarażeniu systemu ofiary odpowiednim koniem trojańskim. Kreatywność twórców szkodliwego oprogramowania zdaje się nie mieć granic – specjaliści z firmy McAfee obliczyli, że codziennie pojawia się około 55 tys. nowych złośliwych aplikacji (zob. „McAfee: Ilość spamu ustabilizowała się, szkodniki nadal się mnożą” – http://di.com.pl/news/33151.html). Nie brakuje wśród nich szkodników storzonych w celu modyfikowania ustawień DNS na zainfekowanym komputerze użytkownika. W wyniku ich działania zmianie ulega mapowanie nazw domen do konkretnych adresów IP. Użytkownik, jak w zaprezentowanym wyżej przykładzie, po wpisaniu adresu swojego banku może znaleźć się na stronie, która będzie wierną kopią oryginalnej witryny. Zalogowanie się na niej będzie skutkować kradzieżą realnych środków zgromadzonych na jego koncie.

Inną metodą, nazywaną driveby pharming, jest zagnieżdżanie w kodzie tworzonych przez cyberprzestępców stron skryptów pisanych w języku JavaScript. Odnośniki do tych witryn są publikowane w serwisach społecznościowych, takich jak Facebook czy Twitter. Oszuści starają się też wypozycjonować je w wynikach wyszukiwania, używając do tego celu aktualnych, wzbudzających zainteresowanie tematów. Jeżeli internauta nabierze się i odwiedzi którąś z nich, zaimplementowany na stronie skrypt zmieni ustawienia DNS na jego routerze lub w punkcie dostępu bezprzewodowego. Może do tego dojść, jeśli router nie będzie chroniony hasłem albo hasło okaże się łatwe do odgadnięcia (zob. „Uwaga na nowy rodzaj ataku: driveby pharming” – http://di.com.pl/news/15883.html).

Stosunkowo najtrudniej jest zatruć pamięć podręczną na serwerze dostawcy internetu. Podobnie jak komputery użytkowników indywidualnych zapisuje on w niej żądania DNS. Jeżeli cyberprzestępcy uda się je sfałszować, to przez pewien czas (nieprzekraczający zwykle kilku godzin) użytkownicy, którzy wpiszą w przeglądarce adres obranego za cel banku, będą przekierowywani na podrobioną stronę. Umożliwi to pozyskanie dużej ilości poufnych danych za jednym zamachem. Na tego typu ataki narażeni są usługodawcy, którzy niesystematycznie aktualizują oprogramowanie zainstalowane na używanych urządzeniach. Przykładowo w 2008 roku odkryto poważną lukę w protokole DNS. Według ekspertów, sfałszowanie jednego cache’a z jej wykorzystaniem zajmuje tylko 10 sekund (zob. „Dwa exploity na lukę w DNS gotowe” – http://di.com.pl/news/22508.html).

Sposoby obrony

Przede wszystkim warto korzystać z usług zaufanego dostawcy internetu – stosowane przez niego zabezpieczenia są pierwszą linią obrony przed pharmingiem. Nie należy też samemu zaniedbywać regularnego aktualizowania programu antywirusowego i zapory ogniowej (firewalla), które utrudnią koniom trojańskim przeniknięcie do komputera. Kolejnym krokiem jest włączenie automatycznych aktualizacji systemu Windows, niezałatane dziury są bowiem często wykorzystywaną drogą infekcji. Nie należy również zapominać o uaktualnianiu przeglądarki i zainstalowanych w niej wtyczek (w szczególności Flasha i Javy – ich przestarzałe wersje są szczególnie podatne na ataki).

Nie mniej ważne jest upewnienie się, czy nasz router jest chroniony unikalnym, silnym hasłem (zob. „Jak tworzyć silne hasła” – http://di.com.pl/news/28165.html). Większość routerów jest dostarczana z domyślnym hasłem administratora łatwym do odgadnięcia dla cyberprzestępcy.

Przed zalogowaniem się do swojego konta bankowego należy się upewnić, że w prawym dolnym rogu na pasku stanu albo w górnej części ekranu obok adresu widnieje symbol zamkniętej kłódki, a adres strony zaczyna się od https://, a nie http://. Podejrzane będzie żądanie jednorazowych haseł już przy logowaniu. Należy zachować szczególną ostrożność, jeśli witryna wygląda inaczej niż zwykle. Za każdym razem warto zweryfikować jej certyfikat bezpieczeństwa (wystarczy podwójne kliknięcie na symbol kłódki). Sprawdzić należy ważność certyfikatu oraz to, czy został on wystawiony na oryginalnego operatora danej strony.

Dobrym pomysłem może być także logowanie się do bankowego konta przy użyciu specjalnej płyty CD/DVD z zainstalowanym na niej systemem operacyjnym. W internecie znajdziemy kilka darmowych dystrybucji Live CD opartych na środowisku Linux. Korzystają one tylko z pamięci tymczasowej komputera, a nie z dysku twardego. Dzięki temu nawet najbardziej zainfekowany komputer staje się czysty na czas urochomienia alternatywnego systemu (zob. „Bezpieczniejsza e-bankowość z Linuksem na LiveCD” – http://di.com.pl/ news/29119.html).