Le pharming expliqué : Comment les attaquants utilisent de faux sites web pour voler des données


Une attaque de pharming vise à rediriger le trafic web des victimes vers un site web contrôlé par des acteurs de la menace afin de récolter des informations et de diffuser des logiciels malveillants.

 

Définition du pharming

Une attaque de pharming vise à rediriger le trafic d'un site Web vers un faux site contrôlé par l'attaquant, généralement dans le but de collecter des informations sensibles auprès des victimes ou d'installer des logiciels malveillants sur leurs machines. Les attaquants ont tendance à se concentrer sur la création de sites de commerce électronique et de banque numérique ressemblant à s'y méprendre à des sites de commerce électronique et de banque numérique afin de récolter des informations d'identification et des informations sur les cartes de paiement.

Ces attaques manipulent des informations sur la machine de la victime ou compromettent le serveur DNS et le reroutage du trafic, ce dernier point étant beaucoup plus difficile à défendre pour les utilisateurs.

Comment fonctionnent les attaques de pharming

Bien qu'ils partagent des objectifs similaires, le pharming utilise une méthode différente du phishing. "Les attaques de pharming se concentrent sur la manipulation d'un système, plutôt que d'inciter les individus à se rendre sur un site web dangereux", explique David Emm, chercheur principal en sécurité chez Kaspersky. "Lorsqu'une attaque de phishing ou de pharming est menée à bien par un criminel, ils ont le même facteur de motivation pour amener les victimes sur un site corrompu, mais les mécanismes par lesquels cela est entrepris sont différents."

Les attaques de pharming consistent à rediriger les requêtes des utilisateurs en manipulant le protocole DNS (Domain Name Service) et en redirigeant la cible de l'adresse IP prévue vers une adresse contrôlée par le pirate. Cela peut se faire de deux manières.

Les attaquants compromettent la machine de la victime et modifient le fichier hosts local (un répertoire local d'adresses IP) sur l'appareil, qui redirige ensuite l'utilisateur la prochaine fois qu'il essaie d'accéder à un site (généralement déguisé pour ressembler à la destination prévue de la victime). Cette attaque est souvent précédée d'une attaque de phishing ou d'une autre méthode de déploiement de logiciels malveillants qui manipulent ensuite le fichier hôte. Les routeurs sont également un dispositif d'extrémité potentiel ciblé dans les attaques de pharming (parfois connues sous le nom de "drive-by" pharming).
Les attaquants redirigent le trafic par empoisonnement DNS en exploitant les vulnérabilités des serveurs DNS de sorte que les victimes soient redirigées vers l'adresse IP d'une machine contrôlée par l'attaquant. Il peut s'agir d'une menace particulièrement difficile car la victime n'a pas besoin de cliquer sur quoi que ce soit ou de faire une erreur pour être envoyée sur le faux site Web. C'est ce qu'on appelle parfois un hameçonnage sans leurre.

Si les serveurs DNS sont plus difficiles à compromettre parce qu'ils se trouvent sur le réseau d'une organisation et derrière ses défenses, l'attaque peut toucher beaucoup plus de victimes et offrir une plus grande récompense aux attaquants. L'empoisonnement peut également se propager à d'autres serveurs DNS. Si un fournisseur d'accès à Internet (FAI) reçoit des informations DNS d'un serveur empoisonné, l'entrée DNS corrompue peut être mise en cache sur les serveurs du FAI et se propager à d'autres routeurs et appareils. C'est ce qui s'est produit par erreur en 2010, lorsqu'un FAI a récupéré des informations DNS d'un serveur situé derrière le Grand Pare-feu chinois, qui a ensuite commencé à propager le blocage par la Chine de sites Web tels que Twitter à d'autres pays.

"Le piratage d'un serveur de nom de domaine peut être plus difficile à réaliser et c'est la raison pour laquelle nous ne voyons pas ce type d'attaques aussi souvent", explique Emm. "Alors que l'injection de logiciels malveillants sur l'appareil d'un individu limite les dommages à cette seule personne, l'infection d'un DNS a le potentiel d'affecter tous les appareils qui utilisent ce serveur pour accéder à des sites web et peut être extrêmement dommageable."


Les attaques de pharming sont-elles courantes ?

Les dommages potentiels d'une attaque de pharming dépendent des objectifs de l'attaquant. Le but peut être de collecter des informations financières pour en abuser ou les vendre, ou de récolter des identifiants de connexion qui pourraient être vendus. Des acteurs sophistiqués pourraient également utiliser le pharming comme une attaque de première phase pour voler des informations d'identification et utiliser ces informations pour lancer d'autres attaques contre une organisation.

Toutefois, en raison de la rentabilité moindre des attaques contre les particuliers et de la difficulté relative à les exploiter à grande échelle, les attaques de pharming restent rares par rapport aux attaques de phishing. "En général, les attaques de pharming sont moins fréquentes que le phishing car elles demandent beaucoup plus de travail aux attaquants", explique Emm. "Les attaques de phishing sont facilement réalisables, c'est pourquoi nous les voyons plus régulièrement."

En 2019, Kaspersky a identifié une attaque de pharming au Venezuela. "Le lendemain de l'annonce publique [du président Juan Guadio demandant aux gens de soumettre des détails à un site Web d'aide], un autre site Web presque identique est apparu avec un domaine et une structure très similaires", explique Emm. "Les deux domaines différents, avec des propriétaires différents, ont été enregistrés au Venezuela à la même adresse IP, appartenant aux pirates. En d'autres termes, il importait peu qu'un volontaire ouvre un nom de domaine légitime ou faux. Ses informations personnelles étaient alors introduites dans un faux site."

Blog

 

Parmi les autres cas notables, citons une attaque de pharming au Brésil, repérée par Proofpoint en 2015, au cours de laquelle des attaquants ont envoyé des courriels d'hameçonnage aux utilisateurs de routeurs domestiques UTStarcom ou TR-Link, se présentant comme provenant de la plus grande entreprise de télécommunications du Brésil. Les liens contenus dans les e-mails téléchargeaient des logiciels malveillants conçus pour exploiter les vulnérabilités des routeurs et permettre aux attaquants de modifier les paramètres du serveur DNS du routeur.

En 2016, Sucuri a découvert une attaque où les attaquants redirigeaient les visiteurs vers des sites qui utilisaient FreeDNS de NameCheap via des paramètres DNS modifiés. Bien qu'elle ne soit pas récente, une campagne particulièrement importante de 2007 a vu au moins 50 institutions financières subir une attaque de pharming qui construisait pour chaque cible de faux sites qui récoltaient les identifiants de connexion et renvoyaient ensuite la victime vers le site légitime.


Prévention des attaques de pharming

Les meilleures pratiques suivantes réduiront les risques de réussite d'une attaque par pharming :

  • Enseigner aux utilisateurs les bonnes pratiques d'hygiène en matière de sécurité, notamment comment repérer les liens suspects vers de faux sites Web. Par exemple, des certificats invalides ou périmés peuvent être le signe d'un site Web compromis, de même que des URL qui semblent similaires mais ne correspondent pas à ce qui est attendu.
  • Appliquez des correctifs aux appareils et effectuez régulièrement des analyses antivirus et des vidages de cache et de cookies de navigateur.
  • Appliquez des correctifs, effectuez des audits et surveillez les serveurs DNS afin de réduire le risque qu'ils soient exploités.
  • Déployer des certificats TLS sur les sites web d'entreprise pour réduire les risques d'usurpation de ces sites.
  • Exiger que les machines des employés soient corrigées et disposent de contrôles et d'une surveillance active de la sécurité des points d'accès.
  • Garantir une sécurité forte des mots de passe sur les routeurs pour aider à prévenir les attaques de type "drive-by".
  • Mettre en place une veille sur les menaces pour surveiller les domaines d'usurpation similaires aux vôtres.
  • Activez l'authentification à deux facteurs sur les services pour aider à réduire l'impact si les informations d'identification des utilisateurs sont collectées.