Pharming saldırganın hedef belirlenen uygulama ile tüm uçtaki kullanıcı etkileşimini engellemek amaçlanarak hedeflenen uygulamanın IP adresi veya domain adının ele geçirildiği saldırı türüdür. Pharming müdahelesi daha sonra hassas bilgileri, arka kapıları ve Truva atları da dahil kötü amaçlı yazılımları dağıtmak için kullanılabilir.
Bir pharming saldırısında, saldırgan birkaç uç kullanıcı ile bir hedef uygulama arasındaki tüm iletişimi engellemek için bir web sunucusu kurar. Bu işlem DNS hijackingte olan kullanıcı ve server arasındaki iletişimi kesmek gibidir. Saldırgan böylece hedefindeki ağ adresini ele geçirir ve hedef uygulama ile tüm son kullanıcı iletişimi saldırganın kendisinin kontrol ettiği sunucudan geçmesine neden olur. Bu saldırı yöntemiyle kullanıcıların kimlik bilgileri gibi bilgilerinin ve isteklerin ele geçirildiğini bilmeden hedef uygulamaya erişir. Saldırgan, istekleri hedef uygulamaya iletebilir ve kurbanlara geri dönen çok hassa bilgilerini yakalar veya kurbanın bilgisayarına kötü amaçlı yazılım yükleyerek sahte yanıtlar da oluşturabilir.
Kullanılan teknikler;
Bu yöntem ve teknikler güvenlik denetimi zayıf olan uç nokta bilgisayarlarını hedef almaktadır. Evlerinizde kullandığınız ev bilgisayarları saldırganların sevdiği profile uymaktadır. Örneğin; bilgisayarın host dosyasını, hedef uygulamanın domain adının saldırgan tarafından kontrol edilen bir sunucuyu işaret edecek şekilde karıştırıp kurcalamak örnek olarak verilebilir.
Trafiği yeniden yönlendirmenin diğer bir yöntemi ise; saldırganın DNS güvenlik açığından yararlandığı ve böylece DNS’nin döndürülen adresinin, doğru ve gerçek IP adresi yerine saldırgan tarafından kontrol edilen serverın IP adresinin kullanıldığı DNS-poisining” yöntemidir. Bu saldırı türü, etkilenen kullanıcı sayısı açısından daha etkili olsa da, DNS serverları güvenli olduğu için saldırının gerçekleştirilmesi ve yürütülmesi zordur.
Pharming Önlemek için ne yapmalısınız?
Kullanıcı bilgisayarındaki hosts dosyasını değiştirmek popüler bir pharmin yöntemidir. Bu yüzden bunu önleyebilmek adına yapmanız gerekenler;
- Kişisel bilgisayar güvenliği uygulamalarını kullanılmalısınız.
- Varsayılan kullanıcı adlarının ve parolaların kullanmak yerine daha zorlayıcı şifreler seçin.
- Bilgisayarınızın konfigüre edildiğinden ve çalışmakta olan bir ağ firewallu bulunduğundan emin olun.
- Kullanıcı ayrıca, kullanıcı kimlik bilgilerini isteyen web sitesinin güvenlik sertifikasını kontrol edin. Çünkü, güvenlik sertifikası güncel değil veya geçersizse, “pharming” saldırısı ihtimalinden şüphelenmelisiniz.