A Symantec anunciou que o Symantec Security Response, em conjugação com a Indiana University School of Informatics descobriu uma nova e significativa ameaça à segurança. Neste ataque, conhecido como "Drive-by Pharming", os consumidores podem ser vítimas de pharming tendo seus roteadores domésticos de banda larga reconfigurados por um site malicioso. De acordo com um estudo informal conduzido separadamente pela Universidade de Indiana, até 50 por cento dos usuários domésticos de banda larga são suscetíveis a esse ataque.
No pharming tradicional, um hacker procura redirecionar um usuário tenta visitar um site, para um site fraudulento. O pharming pode ser realizada tanto por alterar o arquivo host do computador de uma vítima ou através da manipulação do Domain Name System (DNS). Drive-by Pharming é um novo tipo de ameaça em que um usuário visitar um site malicioso e, em seguida, um atacante é capaz de alterar as configurações de DNS no roteador de banda larga de um usuário ou ponto de acesso sem fio. Os servidores DNS são computadores responsáveis pela resolução de nomes Internet em seus verdadeiros "Internet Protocol", ou endereços IP, funcionando como um "sinal" da Internet. Para que dois computadores se conectem umas às outras na Internet, eles precisam de saber os endereços dos outros IP. Drive-by Pharming é possível quando um roteador de banda larga não é protegido por senha ou de um atacante é capaz de adivinhar a senha - por exemplo, a maioria dos roteadores vem com uma senha padrão bem conhecido que um usuário nunca muda.
Drive-by pharming envolve o uso de JavaScript para alterar as configurações de um usuário do roteador de banda larga em casa. Uma vez que o usuário clica em um link malicioso, o código JavaScript malicioso é utilizado para alterar as configurações de DNS no roteador do usuário. Deste ponto em diante, toda vez que o usuário navega para um Web site, a resolução de DNS será executada pelo atacante. Resolução de DNS é o processo pelo qual se determina o endereço de Internet correspondente ao nome comum de um Web site. Isto dá ao invasor total controle sobre quais sites o visitante vítima na Internet. Por exemplo, o usuário pode pensar que estão visitando o seu site online banking, mas na realidade eles têm sido redirecionado ao site do invasor.
Estes sites fraudulentos são uma réplica quase exata do próprio site que o usuário provavelmente não irá reconhecer a diferença. Uma vez que o usuário é direcionado para o banco pharmer "site", e entra seu nome de usuário e senha, o invasor pode roubar informações. O atacante, então, ser capaz de acessar a conta da vítima no site do banco "real" e de transferência de fundos, criar novas contas e cheques.
Symantec Security Response recomenda que os usuários empregam uma estratégia de proteção em camadas:
- Certifique-se de seus roteadores são exclusivamente protegido por senha. A maioria dos roteadores vem com uma senha de administrador padrão que é fácil de adivinhar pharmers
- Utilize uma solução de segurança da Internet que combina antivírus, firewall, detecção de intrusão, proteção e vulnerabilidade
- Evite clicar em links que parecem suspeitos - por exemplo, aqueles que lhe foi enviado em um email de alguém que você não reconhece
Soluções de segurança existentes no mercado hoje não pode proteger contra esse tipo de ataque desde drive-by pharming metas roteador do usuário diretamente, e as soluções existentes apenas proteger o sistema do computador do usuário. Consumer Business Unit da Symantec tem trabalhado ativamente em tecnologias para ajudar a resolver esse problema usando tecnologia client-side. Symantec objetivo é desenvolver os meios para impedir automaticamente o ataque usando uma série de técnicas incorporadas em execução no cliente, encaixado na pilha de rede, e no navegador.
