Pharming, kullanıcıları gerçek web sitelerinden sahte sitelere yönlendirerek şifreler ve finansal bilgiler gibi hassas verileri çalmayı amaçlayan bir siber saldırıdır. Genellikle, oltalama (phishing) e-postaları aracılığıyla bilgisayarlar veya yönlendiriciler ele geçirilir ve ardından web trafiği sahte sitelere yönlendirilir.
İçindekiler
Pharming saldırıları, siber suçluların Alan Adı Sistemi’ni (DNS) manipüle etmesi veya bir kullanıcının cihazını ele geçirmesi sonucunda, kullanıcıların sahte bir web sitesine yönlendirilmesiyle gerçekleşir. DNS, alan adlarını (örneğin www.example.com) IP adreslerine çeviren bir sistemdir; böylece tarayıcılar doğru web sitesini yükleyebilir. Bir pharming saldırısında, saldırganlar kullanıcıları meşru olanları taklit eden kötü amaçlı web sitelerine yönlendirmek için bu süreci bozar.
Pharming saldırıları genellikle iki şekilde gerçekleşir:
Saldırganlar, bir kullanıcının cihazına yerel DNS ayarlarını değiştiren kötü amaçlı yazılım bulaştırır. Cihazdaki ana bilgisayar dosyasını değiştirerek, saldırgan, doğru URL'yi girseler bile kullanıcıları sahte web sitelerine yönlendirebilir.
Saldırganlar, doğrudan DNS sunucularını hedef alarak binlerce kullanıcının trafiğini bireysel cihazları ele geçirmeden kötü amaçlı sitelere yönlendirebilirler.
Pharming saldırılarının fark edilmeden gerçekleşmesi, onları özellikle tehlikeli kılar; çünkü kullanıcılar genellikle sahte bir siteye yönlendirildiklerinin farkında olmazlar. Bu sahte web siteleri, gerçek sitelerle neredeyse aynı görünecek şekilde tasarlanır ve kullanıcıları hassas bilgilerini girmeleri için kandırır; bu bilgiler de saldırganlar tarafından çalınır.
Pharming genellikle kimlik avı ile karıştırılır, ancak iki siber saldırı türü temelde farklıdır. Kimlik avı, kullanıcıları aldatıcı e-postalar, mesajlar veya web siteleri aracılığıyla kişisel bilgi sağlamaları için kandırmak için sosyal mühendisliğe güvense de, pharming kullanıcıları doğrudan etkileşim gerektirmeden hileli sitelere sessizce yönlendirir.
Bir kimlik avı saldırısında, bir kullanıcı bankasından olduğunu iddia eden bir e-posta alabilir ve bir bağlantıya tıklamalarını ve oturum açma kimlik bilgilerini girmelerini isteyebilir. Buna karşılık, pharming kullanıcıların bu tür eylemlerde bulunmasını gerektirmez. Bankalarının URL'sini doğru yazabilirler ancak yine de gerçek URL ile aynı görünen sahte bir siteye yönlendirilebilirler. Bu, kurbanların genellikle tehlikede olduklarının farkında olmadıklarından, pharming aktivitelerinin tespit edilmesini zorlaştırır.
Bu tür siber saldırıların ne kadar büyük riskler taşıdığını gösteren birçok yüksek profilli pharming saldırısı yaşanmıştır:
Saldırganlar, büyük bir DNS sunucusunu zehirleyerek büyük bir internet kullanıcısını hedef aldı. Binlerce kullanıcı kimlik bilgilerinin çalındığı sahte bankacılık web sitelerine yönlendirildi. Saldırı, DNS güvenliğindeki zayıflıkları ortaya çıkararak DNS güvenlik açıklarının daha fazla incelenmesini sağladı.
Saldırganlar, Brezilya'daki ev kullanıcılarının yönlendiricilerini tehlikeye atarak popüler bankacılık web sitelerinin sahte sürümlerine yönlendirdi. Bu saldırı, yönlendiricilerin DNS ayarlarını hedef aldı ve çok sayıda kişinin farkında olmadan bankacılık bilgilerini saldırganlara teslim etmesine yol açtı.
Saldırganlar, genel DNS sunucularını zehirleyerek küçük işletmeleri hedef aldı. Şirket web sitelerinde ve e-posta portallarında oturum açan çalışanlar, bu sitelerin sahte sürümlerine yönlendirildi ve saldırganların oturum açma kimlik bilgilerini ve hassas iş bilgilerini çalmasına izin verdi. Bu saldırı, DNS tabanlı pharming'in her ölçekteki işletmeye neden olabileceği potansiyel hasarı vurguladı.
Bildiğiniz bir URL girerseniz ancak başka bir siteye yönlendirilirseniz, bu bir pharming saldırısının işareti olabilir.
Pharming siteleri, gerçek siteleri taklit eder; ancak saldırganlar genellikle URL’de küçük değişiklikler yapar—fazladan karakter ekleyebilir veya bir kelimeyi yanlış yazabilirler.
Özellikle banka bilgileri gibi hassas verileri işleyen meşru web siteleri HTTPS bağlantılarını kullanır. Tanıdık bir web sitesinin aniden HTTPS veya asma kilit simgesi olmadığını fark ederseniz, sahte bir sitede olabilirsiniz.
Bazı pharming siteleri, meşru sitenin istemeyeceği kişisel bilgileri isteyen olağandışı açılır pencereler veya istemler gösterebilir.
Bu işaretlere karşı tetikte olmak, bir pharming saldırısının kurbanı olmanızı önlemeye yardımcı olabilir.
Saldırganlar, oturum açma kimlik bilgileri, kredi kartı numaraları veya sosyal güvenlik numaraları gibi hassas bilgileri çalarak kimlik hırsızlığı ve diğer dolandırıcılık türlerini gerçekleştirebilir.
Pharming saldırıları genellikle bankacılık sitelerini veya çevrimiçi ödeme portallarını hedef alır; böylece saldırganlar, kurbanların hesaplarından fark edilmeden para çalabilirler.
İşletmeler için pharming saldırıları, müşteri bilgilerini, kurumsal sırları veya diğer hassas verileri açığa çıkaran yaygın veri ihlallerine yol açabilir.
Pharming saldırılarına maruz kalan işletmeler, özellikle müşteri verilerinin tehlikeye girmesi durumunda ciddi itibar zararı yaşayabilir. Bu, güven kaybına, yasal işleme ve önemli mali kayıplara neden olabilir.
Güvenlik yazılımını düzenli olarak güncellemek, bir Pharming saldırısının gerçekleşmesine izin vermek için DNS ayarlarını değiştirebilecek kötü amaçlı yazılımları tespit etmeye ve kaldırmaya yardımcı olabilir.
DNSSEC (DNS Güvenlik Uzantıları) sunan saygın, güvenli DNS hizmetlerine güvenmek, DNS kayıtlarında yetkisiz değişiklikleri önleyebilir ve DNS düzeyinde pharming girişimlerini engelleyebilir.
2FA, çevrimiçi hesaplara ekstra bir koruma katmanı ekleyerek, saldırganların oturum açma kimlik bilgilerini çalmış olsalar bile hassas bilgilere erişmesini zorlaştırır.
Hassas verileri işleyen web sitelerinin her zaman geçerli bir SSL sertifikasına sahip olduğundan emin olun (bunu, URL’de "HTTPS" ifadesi ve kilit simgesiyle kontrol edebilirsiniz). Bu, cihazınız ve web sitesi arasında güvenli, şifreli bir bağlantı sağlar.
İşletmeler, bir pharming saldırısına işaret edebilecek olağandışı DNS değişikliklerini veya yeniden yönlendirmelerini tespit etmek için ağ izleme araçlarını uygulamalıdır.
DNS filtreleme araçları, DNS isteklerini gerçek zamanlı olarak analiz ederek bilinen kötü amaçlı web sitelerine erişimi engeller. Bu, DNS ayarları kurcalanmış olsa bile kullanıcıların sahte sitelere yeniden yönlendirilmesini önleyebilir.
Sağlam bir güvenlik duvarı sistemi, bir ağa giren ve çıkan trafiği izleyebilir ve kontrol edebilir, pharming saldırılarını kullanıcılara ulaşmadan durdurabilir.
Bu araçlar, Pharming saldırıları için hedeflenen yerel DNS ayarlarını değiştirmek için kullanılabilecek kötü amaçlı yazılım gibi tehditleri tanımlayarak ve azaltarak bireysel cihazlar için kapsamlı koruma sağlar.
Varsayılan olarak hiçbir kullanıcıya veya cihaza güvenilmezse, bu aynı zamanda pharming risklerini en aza indirmeye yardımcı olabilir. Zero Trust modelleri, kullanıcıların ve cihazların kimliğini sürekli olarak doğrulayarak, ağ kaynaklarına yalnızca meşru bağlantıların erişmesine izin verilmesini sağlar.
Trend Vision One™ Email and Collaboration Security, e-posta ve işbirliği platformlarını hedefleyen gelişmiş tehditlere karşı sektör lideri koruma sağlar. Yapay zeka tabanlı tehdit tespiti ve dinamik sandbox analizi sayesinde, oltalama (phishing), iş e-postası güvenliği ihlali (BEC), fidye yazılımı ve diğer hedefli saldırıları engeller.
Gönderen kimliğini doğrulayarak, URL’leri ve ekleri gerçek zamanlı olarak tarayarak ve nesiller arası tehdit önleme tekniklerinden yararlanarak, bulut tabanlı iletişim kanallarınızda kapsamlı görünürlük ve kontrol sağlar.