Symantec a annoncé que Symantec Security Response, en liaison avec l'École de l'Université d'Indiana de l'informatique a mis au jour une importante menace pour la sécurité. Dans cette attaque, baptisée "Drive-by pharming», les consommateurs sont victimes de mai pharming en demandant à leurs routeurs à large bande à domicile reconfiguré par un site web malicieux. Selon une étude informelle distinctes menées par l'Université d'Indiana, jusqu'à 50 pour cent des utilisateurs à la maison large bande sont sensibles à cette attaque.
Avec le pharming traditionnelle, un attaquant a pour but de rediriger un utilisateur tente de visiter un site Web, à un autre site Web factice. Pharming peut être effectué soit en modifiant le fichier host sur l'ordinateur d'une victime ou par la manipulation du Domain Name System (DNS). Drive-by pharming est un nouveau type de menace, dans lequel un utilisateur visite un site Web malveillant et un attaquant est alors en mesure de modifier les paramètres DNS sur le routeur à large bande d'un utilisateur ou un point d'accès sans fil. Ordinateurs serveurs DNS sont chargés de résoudre les noms d'Internet dans leur véritable «Internet Protocol» ou des adresses IP, le fonctionnement de «repères» de l'Internet. Pour que deux ordinateurs à se connecter les uns aux autres sur l'Internet, ils ont besoin pour connaître l'adresse IP de l'autre. Drive-by pharming est rendue possible quand un routeur large bande n'est pas protégé par mot ou d'un attaquant est capable de deviner le mot de passe - par exemple, la plupart des routeurs sont livrés avec un mot de passe par défaut bien connu que l'utilisateur ne change jamais.
Drive-by pharming »implique l'utilisation de JavaScript pour modifier les paramètres du routeur à large bande d'un utilisateur à domicile. Une fois que l'utilisateur clique sur un lien malveillant, malicieux code JavaScript est utilisé pour modifier les paramètres DNS sur le routeur de l'utilisateur. A partir de là, chaque fois que l'utilisateur accède à un site web, DNS résolution sera effectuée par l'attaquant. La résolution DNS est le processus par lequel on détermine l'adresse Internet correspondant au nom commun d'un site web. Cela donne à l'attaquant une discrétion totale sur quels sites web les visites de la victime sur l'Internet. Par exemple, l'utilisateur mai pense qu'ils sont en ligne en visitant leur site bancaire Web, mais en réalité ils ont été redirigés vers le site de l'attaquant.
Ces sites frauduleux sont une réplique presque exacte de l'emplacement réel afin que l'utilisateur sera probablement pas la différence. Dès que l'utilisateur est dirigé vers le pharmer la «banque» du site, et saisit son nom d'utilisateur et mot de passe, le pirate peut dérober ces informations. L'attaquant sera alors en mesure d'accéder au compte de la victime sur le "vrai" site de la Banque et transférer des fonds, créer de nouveaux comptes, et d'écrire des contrôles.
Symantec Security Response recommande aux utilisateurs d'employer une stratégie multi-couches de protection:
- Assurez-vous que leurs routeurs sont particulièrement bien protégé. La plupart des routeurs sont livrés avec un mot de passe d'administrateur par défaut qui est facile à deviner pour pharmers
- Utiliser une solution de sécurité Internet qui combine antivirus, pare-feu, détection d'intrusion et la protection de la vulnérabilité
- Evitez de cliquer sur des liens qui semblent suspectes - par exemple, ceux qui sont envoyés à vous dans un e-mail de quelqu'un que vous ne reconnaissez pas
Solutions de sécurité existantes sur le marché aujourd'hui ne peut pas protéger contre ce type d'attaque depuis le drive-by pharming objectifs routeur de l'utilisateur directement, et les solutions existantes ne protègent que le système informatique de l'utilisateur. Symantec Consumer Business Unit a travaillé activement sur les technologies pour aider à résoudre ce problème en utilisant la technologie client-côté. Symantec objectif est de développer les moyens d'empêcher automatiquement les attaques en utilisant un certain nombre de techniques intégrées en cours d'exécution sur le client, qui est intégré dans la pile réseau, et dans le navigateur.
