a.Vấn đề
Khi phishing mới ra đời nó hoạt động rất hiệu quả, tuy nhiên qua một thời gian khi các kỹ thuật phishing được phổ biến rộng rãi thì hiệu quả của phishing theo cách truyền thống ngày càng giảm, nhiều người dùng tỏ ra thận trọng khi không click vào các link có sẵn mà gõ trực tiếp địa chỉ trang web vào thanh address. Tuy nhiên cẩn thận như vậy vẫn là chưa đủ mới thời gian gần đây đã xuất hiện một hình thức phishing rất tinh vi có tên là pharming, pharming trở lên nguy hiểm hơn các hình thức phishing cổ điển rất nhiều bởi dù người dùng có gõ đúng địa chỉ trang web nhưng họ vẫn có thể bị dẫn tới website lừa đảo.
b.Thực tế
*50 ngân hàng bị lừa đảo trực tuyến kiểu pharming(2/2007)
Trong tháng 2 năm 2007, khách hàng của ít nhất 50 tổ chức tài chính ngân hàng của châu á, châu âu và Mỹ đã bị hacker lừa đảo thông tin cá nhân bằng một thủ đoạn phishing đặc biệt mới và nguy hiểm là pharming.
25
Vụ tấn công này dựa vào một lỗi nghiêm trọng của windows (đã được công bố bản sửa lỗi vào năm 2006). Các hệ thống chưa được vá lỗi sẽ tự động tải một trojan có tên iexplorer.exe và 5 file thực thi từ một máy chủ đặt tại Nga. Những trang web này cũng hiển thị một thông báo lỗi và yêu cầu người sử dụng tắt tường lửa cá nhân cũng như các phần mềm diệt virus trong máy. Thủ thuật phishing mới và nguy hiểm này có tên là pharming, nó nguy hiểm hơn phishing ở chỗ hướng người dùng tới trang web chứa mã độc ngay cả khi họ gõ đúng địa chỉ của nhà cung cấp dịch vụ internet thông qua lỗi DNS.
Các website giả trong vụ tấn công này có nguồn gốc từ Đức, Estonia và Anh đã bị các ISP vô hiệu hóa, tuy nhiên chưa có con số thống kê số khách hàng trở thành nạn nhân của vụ tấn công này.
*Pharming tấn công vào các ngân hàng trực tuyến(3/2005)
Một số chuyên giá bảo mật cảnh báo người dùng thận trọng với một loại mã độc mang tên Troj/BankAsh-A, mã độc nhằm vào mục đích pharming, có thể hướng khách hàng của các ngân hàng trực tuyến truy cập vào những website giả mạo trong các cuôc giao dịch và ăn cắp các thông tin cá nhân của khách hàng cho mục đích phi pháp.
Mã độc trên thường được đính kèm trong những thư rác được gửi đến người sử dụng trong những thư rác. Nếu người sử dụng tải các tập tin này xuống, nó sẽ án binh bất động chờ đến khi khách hàng truy cập vào website của một trong các ngân hàng đã được lập trình sẵn. Khi đó người sử dụng sẽ được hướng vào một trang web giả mạo có giao diện giống hệt với website ngân hàng thật, bọn tội phạm sẽ ăn trộm các thông tin cá nhân mà khách hàng nhập vào rồi dùng những thông tin cá nhân ấy để ăn trộm tiền từ tài khoản của họ.
Các chuyên gia cho biết có thể ngăn chặn sự đe dọa của loại virus này nếu các ngân hàng sử dụng nhận dạng các đặc tính của người sử dụng để truy cập tài khoản thay vì dựa vào mật khẩu của khách hàng.
c.Tìm hiểu về pharming *Khái niệm
Pharming là hành động của hacker nhằm chuyển hướng người truy cập từ một trang web đúng tới một trang web giả mạo mà người dùng không hề hay biết. Pharming có thể thực hiện dựa vào việc thay đổi đổi host file trong máy người bị hai (host file là tập tin ánh xạ tên host với địa chỉ IP) hoặc bằng cách lợi dụng những lỗi của máy chủ DNS.
26
Thuật ngữ pharming được ra đời dựa trên 2 từ phishing và farming, cả pharming và phishing đều được dùng để ăn cắp thông tin cá nhân của khác hàng. Pharming đang trở thành điều lo ngại chính của dịch vụ hosting và ngân hàng trực tuyến.Để chống lại pharming cần nhiều biện pháp phức tạp, và các phần mềm virus hay spyware thông thường thì không có khả năng bảo vệ máy tính người dùng trước pharming.
*Pharming hoạt động như thế nào
DNS cache poisioning
Hình 9: DNS cache poisioning
Đây là kỹ thuật cơ bản và phổ biến nhất trong pharming. Giao thức DNS là giao thức phân giải địa chỉ, dùng để ánh xạ giữa tên miền sang địa chỉ IP. Máy chủ DNS khi nhận được yêu cầu phân giải địa chỉ từ máy khách, nó sẽ tra cứu trong bộ đệm và trả về địa chỉ IP tương ứng với tên miền mà máy trạm yêu cầu. Nếu không tìm thấy trong bộ đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu phân giải tới một máy chủ DNS khác. Đây là nhược điểm tồn tại trong giao thức DNS và trở thành lỗ hổng nghiêm trọng được khai thác trong phương thức tấn công DNS cache poisioning. Nhiều máy chủ DNS hiện nay chấp nhận xử lý đồng thời nhiều truy vấn của một tên miền duy nhất, đặc điểm này cho phép tin tặc dễ dàng tấn công vào các máy chủ DNS có chức
27
năng hỏi hộ và lưu giữ kết quả với mục đích làm thay đổi ánh xạ tên miền và hướng người dùng đến một địa chỉ IP bất hợp lệ theo mục đích của hacker.
Mô tả tổng quan cuộc tấn công: Đối tượng hacker nhắm đến là các máy chủ DNS có các đặc điểm sau:
Phục vụ nhiều người dùng (thông tin cá nhân của những người này là mục đích của cuộc tấn công).
Có chức năng hỏi hộ và lưu giữ kết quả.
Có điểm yếu, chấp nhận xử lý đồng thời nhiều truy vấn của một tên miền duy nhất.
Sử dụng một port nguồn cố định duy nhất cho các truy vấn. *Kịch bản tấn công
28
Bảng 1: Xác xuất thành công của mô hình tấn công trên Máy chủ DNS Sốlượng truy vấn gửi
đồng thời
Số lượng gói tin giả mạo tin tặc cần gửi (adsbygoogle = window.adsbygoogle || []).push({});
Không random port 1 32.7 nghìn
Không random port 4 10.4 nghìn
Không random port 200 427
Không random port Không giới hạn 426
Có random port 1 2.1 tỷ
Có random port 4 683 triệu
Có random port 200 15 triệu
Có random port Không giới hạn 109 nghìn
Số liệu trên lấy từ tính toán của Vagner Sacramento tại địa chỉ http://www.kb.cert.org/vuls/id/457875
Theo tính toán trên thì trong trường hợp không random port thì chỉ cần gửi 200 truy vấn đồng thời và 427 gói tin giả mạo thì tin tặc có xác xuất thành công là 50%, một xác suất khá cao .
Host file attack
Host file là tập tin trong máy lưu các giá trị tên miền và địa chỉ IP được sử dụng thường xuyên để có thể truy cập nhanh mà không cần thông qua DNS, đây là một mục tiêu của tấn công pharming.
Nếu như mục tiêu của phương pháp thứ nhất là các DNS server được bảo mật bởi các quản trị viên có kiến thức và kinh nghiệm thì việc tấn công vào host file trên máy của người dùng được coi là mục tiêu dễ dàng hơn nhiều. Pharmer thường dùng các phần mềm mã độc để thay đổi host file trên máy nạn nhân, các trang web ngân hàng mà người dùng truy cập sẽ được ánh xạ sang các địa chỉ giả, nếu người dùng truy cập các địa chỉ này thì sẽ bị mất thông tin cá nhân vào tay pharmer.
29
Hình 11: Host file
Local router attack
Tương tự như host file attrack, tấn công router nội bộ dễ dàng hơn nhiều so với so với tấn công DNS server tuy nhiên lại khó bị phát hiện. Có 2 cách tấn công router nội bộ dùng trong pharming: thay đổi cấu hình router bằng mã độc hay thay đổi cả firmware của router. Cả hai cách trên đều nhằm làm cho router trỏ sang các DNS độc hại của pharmer thay vì các DNS đúng ban đầu.
Phần lớn các router nội bộ đều không được bảo mật tốt, rất nhiều nơi sử dụng router mà không hề thay đổi các cấu hình, tên truy cập cũng như mật khẩu mặc định, pharmer là những kẻ nắm rõ được điểm yếu này và lợi dụng nó cho mục đích của mình.
Năm 2006 đã phát hiện được một đoạn mã javascript có thể thay đổi DNS của server mang tên Drive-By Pharming được phát hiện. Sau khi DNS server của router bị thay đổi thì các máy tính trong mạng nội bộ sẽ gửi các truy vấn này qua dns server giả mạo.
30
Ngoài ra với việc có thể thay đổi được firmware một cách dễ dàng nếu biết mật khẩu quản trị của router, pharmer có thể xây dựng một firmware giả có giao diện và các chức năng như firmware của nhà sản xuất ban đầu. Mọi thông số và cấu hình của firmware giả giống hệt firmware thật ngoại trừ việc nó sẽ dẫn người dùng đến dns giả mạo thay vì dns thật. Ngoài ra với việc sử dụng mạng không dây ngày càng phổ biến, việc tiếp cận với các router càng trở lên dễ dàng, việc chiếm quyềnđiều khiển router càng trở lên dễ dàng bởi các mật khẩu mặc định là dễ doán, ngoài ra pharmer cũng có thể dùng các phần mềm dò mã nếu mật khẩu đã bị thay đổi. Vì vậy mọi người cần cẩn trọng khi sử dụng Internet ở nơi công cộng, việc sử dụng mạng công cộng cho những việc quan trọng là không hề an toàn.