Home  Nieuws Beveiliging Pharming Pharming
Editorial
Nu er een golf nieuwe software over de mensheid uit gestort gaat worden, niet alleen door Microsoft, maar ook door de Open Source Software groep, Mozilla en anderen, zullen wij extra aandacht besteden aan deze nieuwe producten. Wij zullen met name focussen op ernstige gebreken en nieuwe -het leven aanzienlijk veraangenamende- features en navenante voordelen, alwaar wij onze bezoekers regelmatig kond van zullen doen.
N.B.: Wij vragen onze bezoekers zich te registreren via het login menu in de rechterkolom.
Een groeiend aantal artikelen zullen wij alleen specifiek ter beschikking stellen aan klanten van theHelpdesk.nl en aan onze geregistreerde bezoekers binnen de Registered User Section en het afgeschermde gedeelte van HackersWorld (full disclosure exploits). (te bereiken na registratie en/of login)
|
Written by Administrator
|
|
Sunday, 17 September 2006 |
Hierbij een stuk, overgenomen van Symantec, met een redelijk begrijpelijke beschrijving van Pharming.
“Pharming”: als phishers zich ontwikkelen en niet meer kunnen worden opgespoord.
Nu phishing een steeds bekender fenomeen wordt, schakelen bedriegers over naar een onopvallender maar zeer effectieve aanval: pharming. Ontdek hoe u het doelwit wordt van een "pharming"-aanval en hoe u zich ertegen kunt beschermen.
We weten allemaal wat phishing is: “Bij phishing worden e-mails, expresberichten of reclames gebruikt om consumenten uit te nodigen op een nagebootste (‘spoof’) website waar ze worden gevraagd hun wachtwoord en andere geheime gegevens in te vullen,” legt Bill Rosenkrantz, Group Product Manager van de afdeling voor internetbeveiligingsoplossingen van Symantec uit. Maar na een jarenlange, schijnbaar niet te stoppen groei, merken experts nu op dat het aantal phishing-aanvallen zich stabiliseert. “Consumenten leren phishing-aanvallen te ontwijken”, zegt Rosenkrantz. Piraten en bedriegers willen hun goudmijntje natuurlijk niet één-twee-drie laten gaan en hebben een nieuwe aanval bedacht die veel moeilijker is te detecteren dan een phishing-aanval: pharming. “Bij een pharming-aanval word je automatisch naar de nagebootste website gestuurd terwijl je denkt dat je naar een legale financiële of adverteerder-site gaat”, bevestigt Bill Rosenkrantz. Pharming, vertelt hij, “is vaak niet te detecteren. Het is nog niet wijdverbreid, maar het komt steeds vaker voor”.
Wat is pharming nu precies? In het simpelste geval manipuleert de pharming-aanval de "adressen" die een computer vraagt om de website die u zoekt te kunnen vinden, om er onopgemerkt een nagebootste versie van te maken. Het ergste is dat nadat de gebruiker op deze site terecht is gekomen, hij/zij nog steeds denkt dat dit de juiste site is.
Pharming werkt op drie manieren:
1) DNS-bedrog lokale computer
DNS-software (Domain Name Server) vertaalt de domeinnaam die u intikt naar het werkelijke adres van de website op het netwerk (het IP-adres) – bijvoorbeeld www.uwbank.comnaar 146.04.04.04. Maar omdat dit via het netwerk moet gebeuren, kan dit vertaalproces soms wat langer duren. Om het te versnellen, bewaart uw computer gewoonlijk een kopie van de DNS-resultaten van sites die u eerder heeft bezocht. Dit heet een "DNS-cache". Door voordat hij op het netwerk gaat zoeken eerst in de cache te kijken, bespaart uw computer u stelselmatig tijd en wordt het sturen van overtollige vragen aan het internet waarvan het antwoord al bekend, is vermeden.
Zo'n lokale DNS-cache kan ook worden misbruikt. Identiteitsdieven die gebruik maken van een Trojaans paard, kunnen proberen uw cache te wijzigen zodat wanneer u de naam van uw online-bank invult, u terechtkomt op een nagebootste site die er precies zo uitziet als de echte en u uw identiteitsgevens bij het inloggen ongewenst onthult. Dit werkt echt omdat uw computer op geen enkele manier kan weten of een adres in de cache staat omdat u het al eens eerder heeft bezocht, of omdat een schadelijk programma het daar heeft neergezet. In beide gevallen ziet uw computer de gegevens voor uw online-bank en zal hij er gewoon op vertrouwen.
De programma's met Trojaanse paarden die bij zulke aanvallen worden gebruikt, kunnen via e-mailbijlagen of weblinks worden verstuurd. De meest voorkomende methode is echter ze te implanteren wanneer computergebruikers gratis materiaal zoals screensavers, spelletjes of pornografische programma's downloaden, van die programma's die "gratis" toegang beloven naar twijfelachtige inhoud. Effectieve en bijgewerkte virusbescherming voorkomt dat Trojaanse paarden uw computer binnendringen; wanneer zo'n virus echter een onbeschermde computer inkomt, merkt de gebruiker de werking ervan hoogstwaarschijnlijk niet op.
2) Cross site scripting
DNS-bedrog met lokale computers is de meestvoorkomende manier van pharming, maar hackers hebben ook geprobeerd de code van legale websites te kraken. Dit doen ze gewoonlijk door een script in te voeren dat vervolgens de bezoekers van de site manipuleert. Het kan heel eenvoudig door het plaatsen van een link op de echte site die, als er op wordt geklikt, de gebruiker naar de nagebootste site stuurt. Het kan ook worden ontworpen als nagebootst browser-venster over de echte site (een pop-over). In het nagebootste venster kan dan om identiteitsgegevens worden gevraagd, bijvoorbeeld door een inlog-, account-, of enquete-venster dat voorwendt af te komen van de echte site.
Een laatste mogelijkheid is dat de aanvallers een schadelijk script gebruiken om een fout in de browser uit te buiten en daardoor de computer van de bezoekers van de site tijdens het surfen te infecteren. De afgelopen jaren is dit bij verschillende belangrijke websites al gebeurd. Deze taktiek lijkt misschien uitnodigend omdat met één enkele aanval grote aantallen onwetende slachtoffers in de val kunnen worden gelokt, maar omdat het moeilijk is zeer goed beveiligde websites binnen te dringen komt deze nog vrij zelden voor.
3) DNS-bedrog via servers
Net zoals uw computer het handig probeert aan te pakken door uw DNS-aanvragen te bewaren, plaatst de server van uw internetaanbieder ook de meeste DNS-vertalingen in een cache. Voor hen is een cache meer dan een nuttig middel: het is een levenswijze. Als alle abonnees van een belangrijke internetaanbieder meteen na een belangrijke gebeurtenis dezelfde website voor sportnieuws willen bezoeken, kan de DNS-server een hoop tijd besparen als hij al weet welke dit is. Tijdens de afgelopen maanden hebben dieven geprobeerd deze caches te “vergiftigen”, zodat gebruikers die de correcte URL intikken naar een nagebootste site worden gestuurd die de echte site lijkt te zijn. Deze sites kunnen de gebruiker vragen in te loggen en zo dus identiteitsgegevens te onthullen, of ze kunnen spyware voor het stelen van identiteitsgegevens of virussen met Trojaanse paarden naar de computer van de gebruiker downloaden.
Servers van internetaanbieders zijn zeer goed beveiligd en DNS-bedrog op dit niveau is de vorm van pharming die het moeilijkst te realiseren is, en het minste voorkomt. Desalniettemin biedt deze manier de beste mogelijkheden voor pharmers om in één enkele aanval een groot aantal identiteiten te stelen. Hij vormt dus een bedreiging waar de internetaanbieders en netwerkbeveiligingsindustrie de aandacht op zullen blijven richten. Omdat DNS-servers van internetaanbieders goed beveiligd zijn, zijn hackers er al mee begonnen zich te richten op kleinere, minder goed beveiligde DNS-servers van bedrijven. In de afgelopen jaren zijn er DNS-servers van verscheidene bedrijven aangevallen en vergiftigd. Die aanvallen deden nog erg gekunsteld aan: ongeacht de URL die werd ingetikt, werden de gebruikers naar een farmaceutische website voor populaire medicijnen gestuurd. Als de hackers met meer finesse zouden hebben gehandeld, hadden die voorvallen veel erger kunnen zijn.
Nog een andere vorm van DNS-manipulatie, bekend als "wildcard DNS-bedrog", gebruikt conventionele phishing-lokmiddelen om consumenten een site met een schijnbaar legale URL te laten bezoeken. (Zie bijgaand artikel.) Dit soort bedrog is, in tegenstelling tot pharming, gemakkelijk te detecteren en te vermijden, vertelt Rosenkrantz: "“Beantwoord NOOIT een e-mail, expresbericht, reclamebericht of pop-up-verzoek om een website te bezoeken of identiteitsgegevens af te geven".
Blijf op uw hoede en blijf veilig
“Net als bij alle andere vormen van mogelijke identiteitsdiefstal, zegt Rosenkrantz, is de belangrijkste voorzorgsmaatregel die u kunt nemen dat u uw gezond verstand gebruikt en uw maandelijkse bank- en creditcardafschriften iedere maand controleert op verdachte transacties. In de meeste gevallen wordt u volledig terugbetaald zolang u maar direct melding maakt van het probleem”.
Rosenkrantz raadt aan de volgende voorzorgsmaatregelen tegen pharming te nemen:
- Controleer de URL of sites die u vragen identiteitsgegevens in te vullen. Zorg dat de sessie begint bij het bekende, authentieke adres van de site, zonder extra tekens eraan toegevoegd.
- Zorg te allen tijde voor een effectieve en bijgewerkte virusbeveiliging. (Klik hier om te controleren of uw beveiliging bijgewerkt is).
- Gebruik een legale internetaanbieder die u kunt vertrouwen. Uiterst zorgvuldige beveiliging bij de internetaanbieder is uw eerste afweermiddel tegen pharming.
- Controleer het certificaat. Het kost maar een paar seconden om te bepalen of de site echt is. In de nieuwste versie van Internet Explorer en in de meeste algemeen beschikbare webbrowsers gaat u naar "Bestand" in het hoofdmenu en vervolgens naar "Eigenschappen". U kunt ook ergens in het browservenster rechtsklikken en in het menu dat dan verschijnt, naar "Eigenschappen" gaan. Klik in "Eigenschappen" op "Certificaten" en controleer of de site een veilig certificaat heeft van de legale eigenaar, en of het nog geldig is.
- Als u een vertrouwelijke website moet bezoeken, klik dan nooit rechtstreeks op een link uit een e-mail of vanaf een webpagina. Kopieer (knippen en plakken) de tekst van die link altijd naar een nieuw browservenster of gebruik uw favorieten.
|
|
Last Updated ( Thursday, 12 October 2006 )
|
|
Over deze Website
Zowel deze NIEUWS site als het bijbehorende eZine zullen voor een groot deel, qua inhoud, bestuurd kunnen worden door onze klanten en de bezoekers van onze website(-s).
Wij nodigen U dan ook uit, op dit moment nog via e-mail,
This e-mail address is being protected from spam bots, you need JavaScript enabled to view it
, om de voor U interessante onderwerpen aan te melden. U kunt hierbij denken aan de vaste rubrieken op beveiligingsgebied, onderzoek en technologie (zowel fundamenteel als toegepast onderzoek), waarschuwingen uit de praktijk. Daarnaast kan men denken aan, bij voorbeeld, uitleg van bepaalde zaken, zoals protocollen, technieken, methodieken, maar ook commentaren op ontwikkelingen e.d.
Als onze klanten en bezoekers zelf ook een bijdrage willen en kunnen leveren, worden zij hiertoe hartelijk uitgenodigd. Het delen van kennis, zowel vanuit een professioneel-, als een gebruikersperspectief, is de missie van deze nieuwsvoorziening.
Het e-Zine zal maandelijks worden toegezonden aan de klanten van theHelpdesk.nl en aan geregistreerde bezoekers van deze website. Daarnaast kunnen zij Alerts en Waarschuwingen verwachten, buiten de reguliere verzending van het e-Zine om, indien het nieuws dit nodig mocht maken.
News Feeds / Syndication / links.
Wij hebben als extra service aan onze bezoekers besloten de syndication e/o news feeds aanzienlijk uit te breiden.
Ook het aantal overige news feeds en links zal in de nabije toekomst aanzienlijk worden uitgebreid. Voorts verwachten wij op grond van de binnengekomen e-mails binnenkort een aantal rubrieken toe te kunnen voegen.
|
|
|
