Pharming nedir?

tball

Pharming, kullanıcıları gerçek web sitelerinden sahte sitelere yönlendirerek şifreler ve finansal bilgiler gibi hassas verileri çalmayı amaçlayan bir siber saldırıdır. Genellikle, oltalama (phishing) e-postaları aracılığıyla bilgisayarlar veya yönlendiriciler ele geçirilir ve ardından web trafiği sahte sitelere yönlendirilir.

Pharming nasıl çalışır?

Pharming saldırıları, siber suçluların Alan Adı Sistemi’ni (DNS) manipüle etmesi veya bir kullanıcının cihazını ele geçirmesi sonucunda, kullanıcıların sahte bir web sitesine yönlendirilmesiyle gerçekleşir. DNS, alan adlarını (örneğin www.example.com) IP adreslerine çeviren bir sistemdir; böylece tarayıcılar doğru web sitesini yükleyebilir. Bir pharming saldırısında, saldırganlar kullanıcıları meşru olanları taklit eden kötü amaçlı web sitelerine yönlendirmek için bu süreci bozar. 

Pharming saldırıları genellikle iki şekilde gerçekleşir:

Yerel pharming

Saldırganlar, bir kullanıcının cihazına yerel DNS ayarlarını değiştiren kötü amaçlı yazılım bulaştırır. Cihazdaki ana bilgisayar dosyasını değiştirerek, saldırgan, doğru URL'yi girseler bile kullanıcıları sahte web sitelerine yönlendirebilir. 

DNS tabanlı pharming

Saldırganlar, doğrudan DNS sunucularını hedef alarak binlerce kullanıcının trafiğini bireysel cihazları ele geçirmeden kötü amaçlı sitelere yönlendirebilirler. 

Pharming saldırılarının fark edilmeden gerçekleşmesi, onları özellikle tehlikeli kılar; çünkü kullanıcılar genellikle sahte bir siteye yönlendirildiklerinin farkında olmazlar. Bu sahte web siteleri, gerçek sitelerle neredeyse aynı görünecek şekilde tasarlanır ve kullanıcıları hassas bilgilerini girmeleri için kandırır; bu bilgiler de saldırganlar tarafından çalınır.

Pharming Nedir

Pharming ve kimlik avı

Pharming genellikle kimlik avı ile karıştırılır, ancak iki siber saldırı türü temelde farklıdır. Kimlik avı, kullanıcıları aldatıcı e-postalar, mesajlar veya web siteleri aracılığıyla kişisel bilgi sağlamaları için kandırmak için sosyal mühendisliğe güvense de, pharming kullanıcıları doğrudan etkileşim gerektirmeden hileli sitelere sessizce yönlendirir. 

Bir kimlik avı saldırısında, bir kullanıcı bankasından olduğunu iddia eden bir e-posta alabilir ve bir bağlantıya tıklamalarını ve oturum açma kimlik bilgilerini girmelerini isteyebilir. Buna karşılık, pharming kullanıcıların bu tür eylemlerde bulunmasını gerektirmez. Bankalarının URL'sini doğru yazabilirler ancak yine de gerçek URL ile aynı görünen sahte bir siteye yönlendirilebilirler. Bu, kurbanların genellikle tehlikede olduklarının farkında olmadıklarından, pharming aktivitelerinin tespit edilmesini zorlaştırır. 

Gerçek dünya pharming saldırıları örnekleri

Bu tür siber saldırıların ne kadar büyük riskler taşıdığını gösteren birçok yüksek profilli pharming saldırısı yaşanmıştır:

2007 yılında pharming.org’a yönelik gerçekleştirilen pharming saldırısı

Saldırganlar, büyük bir DNS sunucusunu zehirleyerek büyük bir internet kullanıcısını hedef aldı. Binlerce kullanıcı kimlik bilgilerinin çalındığı sahte bankacılık web sitelerine yönlendirildi. Saldırı, DNS güvenliğindeki zayıflıkları ortaya çıkararak DNS güvenlik açıklarının daha fazla incelenmesini sağladı.

Brezilya'da 2015 DNS pharming saldırısı

Saldırganlar, Brezilya'daki ev kullanıcılarının yönlendiricilerini tehlikeye atarak popüler bankacılık web sitelerinin sahte sürümlerine yönlendirdi. Bu saldırı, yönlendiricilerin DNS ayarlarını hedef aldı ve çok sayıda kişinin farkında olmadan bankacılık bilgilerini saldırganlara teslim etmesine yol açtı.

2019'da DNS tabanlı pharming

Saldırganlar, genel DNS sunucularını zehirleyerek küçük işletmeleri hedef aldı. Şirket web sitelerinde ve e-posta portallarında oturum açan çalışanlar, bu sitelerin sahte sürümlerine yönlendirildi ve saldırganların oturum açma kimlik bilgilerini ve hassas iş bilgilerini çalmasına izin verdi. Bu saldırı, DNS tabanlı pharming'in her ölçekteki işletmeye neden olabileceği potansiyel hasarı vurguladı.

Bir pharming saldırısının belirtileri

  • Bir pharming saldırısının belirtilerini fark etmek zor olabilir, ancak dikkat edebileceğiniz birkaç tehlike işareti vardır:

Olağandışı yönlendirme

Bildiğiniz bir URL girerseniz ancak başka bir siteye yönlendirilirseniz, bu bir pharming saldırısının işareti olabilir.

Değiştirilen URL'ler

Pharming siteleri, gerçek siteleri taklit eder; ancak saldırganlar genellikle URL’de küçük değişiklikler yapar—fazladan karakter ekleyebilir veya bir kelimeyi yanlış yazabilirler. 

Eksik HTTPS veya SSL sertifikaları

Özellikle banka bilgileri gibi hassas verileri işleyen meşru web siteleri HTTPS bağlantılarını kullanır. Tanıdık bir web sitesinin aniden HTTPS veya asma kilit simgesi olmadığını fark ederseniz, sahte bir sitede olabilirsiniz. 

Garip açılır pencereler veya uyarılar

Bazı pharming siteleri, meşru sitenin istemeyeceği kişisel bilgileri isteyen olağandışı açılır pencereler veya istemler gösterebilir. 

Bu işaretlere karşı tetikte olmak, bir pharming saldırısının kurbanı olmanızı önlemeye yardımcı olabilir.

FarminPharmingg riskleri

  • Pharming, hem bireyler hem de işletmeler için birçok ciddi risk oluşturur: 

Kimlik hırsızlığı

Saldırganlar, oturum açma kimlik bilgileri, kredi kartı numaraları veya sosyal güvenlik numaraları gibi hassas bilgileri çalarak kimlik hırsızlığı ve diğer dolandırıcılık türlerini gerçekleştirebilir. 

Finansal dolandırıcılık

Pharming saldırıları genellikle bankacılık sitelerini veya çevrimiçi ödeme portallarını hedef alır; böylece saldırganlar, kurbanların hesaplarından fark edilmeden para çalabilirler. 

Veri ihlalleri

İşletmeler için pharming saldırıları, müşteri bilgilerini, kurumsal sırları veya diğer hassas verileri açığa çıkaran yaygın veri ihlallerine yol açabilir. 

İtibar hasarı

Pharming saldırılarına maruz kalan işletmeler, özellikle müşteri verilerinin tehlikeye girmesi durumunda ciddi itibar zararı yaşayabilir. Bu, güven kaybına, yasal işleme ve önemli mali kayıplara neden olabilir.

Pharming saldırılarını önleme

  • Neyse ki, bireylerin ve kuruluşların Pharming saldırılarına karşı koruma sağlamak için atabilecekleri birkaç adım vardır:

Antivirüs ve kötü amaçlı yazılımdan koruma yazılımını güncelleyin

Güvenlik yazılımını düzenli olarak güncellemek, bir Pharming saldırısının gerçekleşmesine izin vermek için DNS ayarlarını değiştirebilecek kötü amaçlı yazılımları tespit etmeye ve kaldırmaya yardımcı olabilir. 

Güvenli DNS hizmetlerini kullanın

DNSSEC (DNS Güvenlik Uzantıları) sunan saygın, güvenli DNS hizmetlerine güvenmek, DNS kayıtlarında yetkisiz değişiklikleri önleyebilir ve DNS düzeyinde pharming girişimlerini engelleyebilir. 

İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin

2FA, çevrimiçi hesaplara ekstra bir koruma katmanı ekleyerek, saldırganların oturum açma kimlik bilgilerini çalmış olsalar bile hassas bilgilere erişmesini zorlaştırır. 

SSL sertifikalarını kontrol edin

Hassas verileri işleyen web sitelerinin her zaman geçerli bir SSL sertifikasına sahip olduğundan emin olun (bunu, URL’de "HTTPS" ifadesi ve kilit simgesiyle kontrol edebilirsiniz). Bu, cihazınız ve web sitesi arasında güvenli, şifreli bir bağlantı sağlar. 

Ağ etkinliğini düzenli olarak izleyin

İşletmeler, bir pharming saldırısına işaret edebilecek olağandışı DNS değişikliklerini veya yeniden yönlendirmelerini tespit etmek için ağ izleme araçlarını uygulamalıdır. 

Pharming Saldırıları Nasıl Önlenir

Siber güvenlik çözümlerinin rolü

  • Gelişmiş siber güvenlik çözümleri, pharming saldırılarının önlenmesinde kritik bir rol oynar: 

DNS filtreleme

DNS filtreleme araçları, DNS isteklerini gerçek zamanlı olarak analiz ederek bilinen kötü amaçlı web sitelerine erişimi engeller. Bu, DNS ayarları kurcalanmış olsa bile kullanıcıların sahte sitelere yeniden yönlendirilmesini önleyebilir. 

Güvenlik Duvarları

Sağlam bir güvenlik duvarı sistemi, bir ağa giren ve çıkan trafiği izleyebilir ve kontrol edebilir, pharming saldırılarını kullanıcılara ulaşmadan durdurabilir. 

Uç nokta koruma araçları

Bu araçlar, Pharming saldırıları için hedeflenen yerel DNS ayarlarını değiştirmek için kullanılabilecek kötü amaçlı yazılım gibi tehditleri tanımlayarak ve azaltarak bireysel cihazlar için kapsamlı koruma sağlar. 

Sıfır güven güvenlik modelini benimseme

Varsayılan olarak hiçbir kullanıcıya veya cihaza güvenilmezse, bu aynı zamanda pharming risklerini en aza indirmeye yardımcı olabilir. Zero Trust modelleri, kullanıcıların ve cihazların kimliğini sürekli olarak doğrulayarak, ağ kaynaklarına yalnızca meşru bağlantıların erişmesine izin verilmesini sağlar. 

Trend Micro e-posta güvenliği çözümü

Trend Vision One™ Email and Collaboration Security, e-posta ve işbirliği platformlarını hedefleyen gelişmiş tehditlere karşı sektör lideri koruma sağlar. Yapay zeka tabanlı tehdit tespiti ve dinamik sandbox analizi sayesinde, oltalama (phishing), iş e-postası güvenliği ihlali (BEC), fidye yazılımı ve diğer hedefli saldırıları engeller.

Gönderen kimliğini doğrulayarak, URL’leri ve ekleri gerçek zamanlı olarak tarayarak ve nesiller arası tehdit önleme tekniklerinden yararlanarak, bulut tabanlı iletişim kanallarınızda kapsamlı görünürlük ve kontrol sağlar.