Symantec ha annunciato che Symantec Security Response, in combinato disposto con l'Indiana University School of Informatics ha scoperto una grave minaccia alla sicurezza nuova. In questo attacco, chiamato "Drive-by Pharming," i consumatori possono cadere vittima di pharming avendo il proprio router a banda larga a casa riconfigurato da un sito Web dannoso. Secondo uno studio separato informale condotto da Indiana University, fino al 50 per cento degli utenti a banda larga a casa sono sensibili a questo tipo di attacco.
Con pharming tradizionali, un utente malintenzionato mira a reindirizzare un utente che tenta di visitare un sito web, a un altro sito web fasullo. Pharming può essere eseguita sia modificando il file host sul computer della vittima o attraverso la manipolazione del Domain Name System (DNS). Drive-by pharming è un nuovo tipo di minaccia, in cui un utente visita un sito Web dannoso e un utente malintenzionato è quindi in grado di modificare le impostazioni DNS sul router a banda larga di un utente o un access point wireless. I server DNS sono responsabili i computer per risolvere i nomi Internet nel loro reale "Internet Protocol" o gli indirizzi IP, che funzionano come i cartelli "di Internet. Al fine di due computer per connettersi l'un l'altro su Internet, hanno bisogno di conoscere i rispettivi indirizzi IP. Drive-by pharming è resa possibile quando un router a banda larga non è protetto da password oppure un utente malintenzionato è in grado di indovinare la password - per esempio, maggior parte dei router sono dotati di una password di default ben noto che un utente non cambia mai.
Drive-by pharming implica l'uso di JavaScript per modificare le impostazioni del router di un utente a banda larga a casa. Una volta che l'utente fa clic su un link maligno, il codice JavaScript maligno viene utilizzato per modificare le impostazioni DNS sul router dell'utente. Da questo punto in poi, ogni volta che l'utente accede a un sito Web, la risoluzione DNS verrà effettuata da un aggressore. La risoluzione DNS è il processo attraverso il quale si determina l'indirizzo Internet corrispondente al nome comune di un sito web. Questo dà l'attaccante completa discrezione su cui i siti web delle visite vittima su Internet. Per esempio, l'utente può pensare che stanno visitando il loro sito web on-line banking, ma in realtà sono stati reindirizzati al sito dell'attaccante.
Questi siti fraudolenti sono una replica quasi esatta del sito stesso modo che l'utente non può riconoscere la differenza. Una volta che l'utente viene indirizzato alla "pharmer bancario" del sito, ed entra il loro nome utente e la password, l'utente malintenzionato può rubare tali informazioni. L'attaccante sarà quindi in grado di accedere conto della vittima sulla "vera" del sito della banca e trasferire dei fondi, creare nuovi account, e scrivere i controlli.
Symantec Security Response raccomanda agli utenti di utilizzare una strategia multi-protezione multilivello:
- Assicurarsi che i router sono protetti da password in modo univoco. Maggior parte dei router sono dotati di una password di amministratore di default, che è facile per pharmers da indovinare
- Utilizzare una soluzione di sicurezza Internet che unisce antivirus, firewall, intrusion detection e protezione delle vulnerabilità
- Evitare di fare clic sui link che sembrano sospetti - per esempio, quelli inviati in una e-mail da qualcuno che non si riconoscono
Soluzioni di sicurezza esistenti oggi sul mercato non può proteggere contro questo tipo di attacco dal drive-by pharming obiettivi router dell'utente direttamente, e le soluzioni esistenti solo proteggere il sistema informatico dell'utente. Symantec Consumer Business Unit è stato attivamente lavorando su tecnologie per contribuire ad affrontare questo problema con tecnologia client-side. Obiettivo di Symantec è quello di sviluppare i mezzi per impedire l'attacco automaticamente utilizzando una serie di tecniche embedded in esecuzione sul client, incorporata nel stack di rete, e nel browser.