Cuộc tấn công dược phẩm là một cơ chế phức tạp nhằm lừa đảo người dùng (hầu hết) mà không cần phải mắc phải “sai lầm ngớ ngẩn” nào từ phía họ. Hãy giải mã nó và xem cách bảo mật nó.
Hãy tưởng tượng đăng nhập vào ngân hàng trực tuyến của bạn bằng một địa chỉ internet hợp pháp và ngay sau khi số tiền tiết kiệm cả đời của bạn biến mất.
Đây là những gì các cuộc tấn công dược phẩm trông như thế nào.
Thuật ngữ dược phẩm xuất phát từ lừa đảo (tấn công) và canh tác 🚜.
Chỉ cần đặt; lừa đảo yêu cầu bạn nhấp vào liên kết đáng ngờ (lỗi ngu ngốc) tải xuống phần mềm độc hại gây tổn thất tài chính. Ngoài ra, đó có thể là email từ “CEO” yêu cầu chuyển khoản ngân hàng “khẩn cấp” cho “nhà cung cấp”.
Nói tóm lại, lừa đảo đòi hỏi bạn phải tham gia tích cực, trong khi các cuộc tấn công lừa đảo (trong hầu hết các trường hợp) thì không.
Một cuộc tấn công dược phẩm là gì?
Chúng ta đã quen với tên miền (như newsblog.pl.com), trong khi máy móc hiểu được địa chỉ IP (như 24.237.29.182).
Khi chúng tôi nhập một địa chỉ Internet (tên miền), (truy vấn) này sẽ chuyển đến các máy chủ DNS (danh bạ điện thoại internet), khớp với địa chỉ IP được liên kết.
Như vậy, tên miền ít liên quan đến các trang web thực tế.
Ví dụ: nếu máy chủ DNS khớp tên miền với địa chỉ IP không xác thực lưu trữ một trang web giả mạo, đó là tất cả những gì bạn sẽ thấy bất kể URL “chính xác” mà bạn đã nhập.
Sau đó, người dùng dễ dàng chuyển các chi tiết – số thẻ, số ID, chi tiết đăng nhập, v.v. – vào tác phẩm nhại vì nghĩ rằng nó hợp pháp.
Điều này làm cho các cuộc tấn công dược phẩm trở nên nguy hiểm.
Chúng được sản xuất rất tốt, hoạt động bí mật và người dùng cuối không biết gì cho đến khi họ nhận được thông báo “số tiền bị tính phí” từ ngân hàng của họ. Hoặc họ lấy thông tin nhận dạng cá nhân được bán trên web đen.
Hãy kiểm tra chi tiết cách thức hoạt động của họ.
Cuộc tấn công dược phẩm hoạt động như thế nào?
Chúng được tổ chức theo hai cấp độ, với người dùng hoặc toàn bộ máy chủ DNS.
# 1. Dược phẩm ở cấp độ người dùng
Điều này tương tự như lừa đảo và liên quan đến việc nhấp vào liên kết đáng ngờ tải xuống phần mềm độc hại. Sau đó, tệp máy chủ (còn gọi là bản ghi DNS cục bộ) được thay đổi và người dùng truy cập vào bản sao độc hại của trang web gốc.
Tệp máy chủ là tệp văn bản tiêu chuẩn lưu các bản ghi DNS được quản lý cục bộ và mở đường cho các kết nối nhanh hơn, độ trễ thấp hơn.
Thông thường, quản trị viên web sử dụng tệp máy chủ để kiểm tra trang web trước khi sửa đổi bản ghi DNS thực tế với công ty đăng ký tên miền.
Tuy nhiên, phần mềm độc hại có thể ghi các mục nhập giả vào tệp máy chủ cục bộ trên máy tính của bạn. Bằng cách này, ngay cả một địa chỉ trang web hợp lệ cũng trở thành trang web giả mạo.
#2. Dược phẩm cấp máy chủ
Điều gì đã xảy ra với một người dùng có thể ảnh hưởng đến toàn bộ máy chủ.
Điều này được gọi là ngộ độc DNS hoặc giả mạo DNS hoặc chiếm quyền điều khiển DNS. Vì điều này xảy ra ở cấp độ máy chủ nên có thể có hàng trăm hoặc hàng nghìn nạn nhân, nếu không muốn nói là nhiều hơn.
Các máy chủ DNS đích thường khó kiểm soát hơn và thao tác nhiều rủi ro hơn. Nhưng nếu bạn làm vậy, phần thưởng dành cho tội phạm mạng sẽ cao hơn theo cấp số nhân.
Việc tấn công ở cấp độ máy chủ được thực hiện bằng cách chiếm quyền điều khiển vật lý các máy chủ DNS hoặc các cuộc tấn công trung gian (MITM).
Sau này là thao tác theo chương trình giữa người dùng và máy chủ DNS hoặc giữa máy chủ DNS và máy chủ tên DNS có thẩm quyền.
Ngoài ra, tin tặc có thể thay đổi cài đặt DNS của bộ định tuyến WiFi, được gọi là định vị DNS cục bộ.
Các cuộc tấn công dược phẩm được ghi lại
Dược phẩm ở cấp độ người dùng thường bị ẩn và hiếm khi được báo cáo. Ngay cả khi nó đã được đăng ký, nó cũng khó có thể xuất hiện trên các trang tin tức.
Hơn nữa, sự tinh vi của các cuộc tấn công cấp máy chủ khiến chúng khó bị phát hiện trừ khi tội phạm mạng quét sạch một số tiền đáng kể, điều này ảnh hưởng đến nhiều người.
Chúng ta hãy kiểm tra một vài để xem nó hoạt động như thế nào trong cuộc sống thực.
# 1. Đường cong tài chính
Curve Finance là một nền tảng trao đổi tiền điện tử 9 Tháng 8 năm 2022 là nạn nhân của một cuộc tấn công đầu độc DNS.
Chúng tôi có một báo cáo ngắn từ @iwantmyname về những gì đã xảy ra. Nói tóm lại: ngộ độc bộ đệm DNS, không phải xâm phạm máy chủ tên. https://t.co/PI1zR96M1Z
Không ai trên mạng được an toàn 100% trước các cuộc tấn công này. Điều đã xảy ra thực sự gợi ý rằng bạn nên bắt đầu chuyển sang ENS thay vì DNS
– Curve Finance (@CurveFinance) Ngày 10 tháng 8 năm 2022
Đằng sau hậu trường, nhà cung cấp DNS iwantmyname của Curve đã bị tấn công, khiến người dùng rơi vào tình trạng nhại lại và gây thiệt hại hơn 550.000 USD.
#2. Ví ether của tôi
Ngày 24 tháng 4 năm 2018 là một ngày đen đủi đối với một số người dùng MyEtherWallet. Đây là ví Ethereum (tiền điện tử) miễn phí và mã nguồn mở với các giao thức bảo mật mạnh mẽ.
Bất chấp tất cả những điều tốt đẹp, trải nghiệm này đã để lại vị đắng trong miệng người dùng với vụ trộm ròng 17 triệu USD.
Về mặt kỹ thuật, việc tiếp quản BGP được thực hiện ở dịch vụ Amazon Route 53 DNS – được sử dụng bởi MyEtherWallet – đã chuyển hướng một số người dùng đến một bản sao lừa đảo. Họ đã nhập thông tin đăng nhập của mình, điều này cho phép bọn tội phạm truy cập vào ví tiền điện tử của họ, gây ra tình trạng cạn kiệt tài chính đột ngột.
Tuy nhiên, việc bỏ qua cảnh báo SSL của trình duyệt là một lỗi rõ ràng về phía người dùng.
Tuyên bố gian lận chính thức của MyEtherWallet.
#3. Các ngân hàng lớn
Năm 2007, người dùng của gần 50 ngân hàng đã trở thành mục tiêu của các cuộc tấn công dược phẩm, dẫn đến những tổn thất chưa xác định.
Sự xâm phạm DNS cổ điển này đã đưa người dùng đến các trang web độc hại ngay cả khi họ nhập URL chính thức.
Tuy nhiên, mọi chuyện bắt đầu từ việc nạn nhân truy cập một trang web độc hại đã tải xuống Trojan do lỗ hổng trong hệ thống. Windows (hiện đã được vá).
Sau đó, vi-rút yêu cầu người dùng vô hiệu hóa phần mềm chống vi-rút, tường lửa, v.v.
Sau đó, người dùng được giới thiệu đến các trang web nhại lại các tổ chức tài chính hàng đầu ở Mỹ, Châu Âu và khu vực Châu Á – Thái Bình Dương. Có nhiều sự kiện như vậy hơn, nhưng chúng hoạt động theo cách tương tự.
Dấu hiệu của dược phẩm
Về cơ bản, Pharming trao toàn quyền kiểm soát các tài khoản trực tuyến bị xâm nhập cho tác nhân đe dọa. Đây có thể là hồ sơ Facebook, tài khoản ngân hàng trực tuyến của bạn, v.v.
Nếu bạn là nạn nhân, bạn sẽ thấy hoạt động không được lập hóa đơn. Đó có thể là một bài đăng, một giao dịch hoặc chỉ là một thay đổi hài hước cho ảnh đại diện của bạn.
Cuối cùng, bạn nên bắt đầu dùng thuốc nếu có điều gì bạn không thể nhớ được.
Bảo vệ dược phẩm
Tùy thuộc vào loại tấn công (cấp độ người dùng hoặc máy chủ) mà bạn gặp phải, có một số cách để tự bảo vệ mình.
Vì việc triển khai ở cấp máy chủ không phải là trọng tâm của bài viết này nên chúng tôi sẽ tập trung vào những gì bạn có thể làm với tư cách là người dùng cuối.
# 1. Sử dụng phần mềm diệt virus cao cấp
Một phần mềm diệt virus tốt là một nửa trận chiến. Điều này giúp bảo vệ bạn khỏi hầu hết các liên kết lừa đảo, nội dung tải xuống độc hại và các trang web lừa đảo. Mặc dù có phần mềm diệt virus miễn phí cho máy tính của bạn nhưng các chương trình trả phí thường hoạt động tốt hơn.
#2. Đặt mật khẩu bộ định tuyến mạnh
Bộ định tuyến WiFi cũng có thể được sử dụng làm máy chủ DNS mini. Do đó, tính bảo mật của họ rất quan trọng và bắt đầu bằng việc loại bỏ mật khẩu do công ty gửi.
#3. Lựa chọn nhà cung cấp dịch vụ internet uy tín
Đối với hầu hết chúng ta, ISP cũng đóng vai trò là máy chủ DNS. Theo kinh nghiệm của tôi, ISP DNS cung cấp tốc độ tăng nhẹ so với các dịch vụ DNS công cộng miễn phí như Google Public DNS. Tuy nhiên, điều quan trọng là phải chọn ISP tốt nhất hiện có không chỉ về tốc độ mà còn về bảo mật tổng thể.
#4. Sử dụng máy chủ DNS tùy chỉnh
Việc chuyển sang một máy chủ DNS khác không khó hoặc không phổ biến. Bạn có thể sử dụng DNS công cộng miễn phí với OpenDNS, Cloudflare, Google, v.v. Tuy nhiên, điều quan trọng là nhà cung cấp DNS của bạn có thể thấy hoạt động web của bạn. Vì vậy, bạn nên thận trọng về người mà bạn cấp quyền truy cập vào hoạt động trực tuyến của mình.
#5. Sử dụng VPN có DNS riêng
Sử dụng VPN cung cấp nhiều lớp bảo mật, bao gồm cả DNS tùy chỉnh. Điều này không chỉ bảo vệ bạn khỏi tội phạm mạng mà còn khỏi sự giám sát của ISP hoặc chính phủ. Tuy nhiên, bạn nên kiểm tra xem VPN có nên có máy chủ DNS được mã hóa hay không để có được sự bảo vệ tốt nhất có thể.
#6. Duy trì vệ sinh mạng tốt
Nhấp vào các liên kết lừa đảo hoặc quảng cáo quá tốt là một trong những cách chính để bị lừa. Mặc dù một phần mềm diệt virus tốt sẽ cảnh báo bạn nhưng không có công cụ an ninh mạng nào đảm bảo hiệu quả 100%. Cuối cùng, trách nhiệm bảo vệ chính bạn là trên vai bạn.
Ví dụ: bạn cần dán một liên kết đáng ngờ vào công cụ tìm kiếm để xem nguồn. Ngoài ra, chúng ta nên đảm bảo HTTPS (được biểu thị bằng ổ khóa trên thanh URL) trước khi tin tưởng bất kỳ trang web nào.
Hơn nữa, việc xóa DNS định kỳ chắc chắn sẽ có ích.
Hãy coi chừng!
Các cuộc tấn công bằng dược phẩm đã được biết đến từ nhiều thế kỷ, nhưng cách thức hoạt động của chúng quá tinh vi để có thể xác định chính xác. Nguyên nhân cốt lõi của các cuộc tấn công như vậy là các lỗ hổng DNS gốc chưa được giải quyết đầy đủ.
Vì vậy, nó không phải lúc nào cũng tùy thuộc vào bạn. Tuy nhiên, các biện pháp bảo vệ được đề cập sẽ hữu ích, đặc biệt khi sử dụng VPN có DNS được mã hóa như ProtonVPN.
Mặc dù hoạt động lừa đảo dựa trên DNS nhưng bạn có biết rằng gian lận cũng có thể dựa trên Bluetooth không? Hãy tham gia bluesnarfing 101 này để xem nó được thực hiện như thế nào và cách bảo vệ chính bạn.
