Pharming is een sluwe vorm van internetfraude die de fundamenten van internet ondermijnt. Bij pharming manipuleren aanvallers het webverkeer, zodat slachtoffers worden misleid en waardevolle persoonsgegevens afstaan. Doordat pharming zo geniepig is, hebben veel slachtoffers pas door dat ze zijn opgelicht wanneer het te laat is. In dit artikel vertellen we wat pharming is, hoe het werkt en, het belangrijkst, wat u kunt doen om te voorkomen dat u slachtoffer wordt.
Wat is pharming?
Bij pharming stuurt een hacker (of ‘pharmer’) een internetgebruiker naar een nepwebsite in plaats van een legitieme site. Via deze ‘gespoofte’ (vervalste) sites kunnen de vertrouwelijke gegevens van slachtoffers, bijvoorbeeld gebruikersnamen, wachtwoorden en creditcardgegevens, worden vastgelegd of kan malware op hun computer worden geïnstalleerd. Pharmers richten zich gewoonlijk op financiële websites, bijvoorbeeld van banken of onlinebetaalplatformen, of e-commercewebsites. Het uiteindelijke doel is meestal identiteitsdiefstal.
Pharming-aanvallen zijn zeer effectief, omdat zowel het slachtoffer als de computer wordt misleid. De pharmer zorgt ervoor dat de computer het slachtoffer naar de website van de pharmer stuurt en niet naar de beoogde website. Het werkt zo:
Wanneer u naar een website navigeert, voert u de URL van de website in. Deze wordt vervolgens door een DNS-server omgezet in een numeriek IP-adres. U vindt dit verwarrend? Dat is nergens voor nodig. Zie de DNS-server als een telefoonboek. De URL is dan de naam van de website en het IP-adres het telefoonnummer. Pharmers kunnen het telefoonboek bewerken en het telefoonnummer wijzigen in een nummer dat bij hun website hoort.
In computertermen: pharming tast het internetverkeer op DNS-niveau aan. De gebruiker wordt naar een nepwebsite gestuurd die door de hacker is gemaakt.
Schuif omlaag voor meer informatie over pharming.
Pharming versus phishing
Wat is het verschil tussen pharming en phishing? Deze vormen van oplichting lijken op elkaar, maar zijn niet helemaal hetzelfde. Zoals de naam al aangeeft, wordt bij phishing aas gebruikt. Hackers versturen officieel uitziende e-mail of andere vormen van communicatie waarin slachtoffers worden uitgenodigd om naar gespoofte websites te gaan en hun persoonlijke gegevens in te voeren.
Bij pharming wordt niet gebruikgemaakt van aas en worden slachtoffers zonder hun medeweten of toestemming naar nepwebsites gestuurd. Doordat slachtoffers de URL zelf typen en niet op een koppeling in een vaag e-mailbericht klikken, zullen ze de fraude minder snel opmerken. Deze vorm van bedrog is subtieler dan de meer openlijke phishing-technieken.
Bescherming tegen pharming
Gelukkig kunt u beproefde strategieën toepassen om uzelf tegen pharming-aanvallen te beschermen. U doet er goed aan deze beveiligingstips ter harte te nemen. Daarnaast is het verstandig om uw kennis van de beginselen van internetveiligheid in het digitale tijdperk wat op te poetsen.
-
Gebruik een betrouwbare internetprovider (ISP). De meeste grote ISP’s zullen de valse omleidingen van een pharmer automatisch onderscheppen. U komt dan nooit op de pharming-website terecht. ISP’s die nog niet zo lang meedraaien, kunnen verleidelijk zijn vanwege interessante aanbiedingen en topsnelheden. Controleer echter goed of ze uw veiligheid wel zo hoog in het vaandel hebben staan als de meer gevestigde providers.
-
Controleer URL’s op typfouten. Wanneer u een website bezoekt, wacht u totdat deze volledig is geladen en bestudeert u de URL nauwkeurig. Pharmers verhullen hun site vaak door de spelling een klein beetje aan te passen. Denk daarbij aan omgedraaide of vervangen letters, bijvoorbeeld ‘aug.com’ in plaats van ‘avg.com’.
-
Controleer of de URL met HTTPS begint. Wanneer u HTTPS ziet staan, betekent dit dat al het verkeer tussen u en de website wordt versleuteld. Zo kan het niet door derden worden onderschept. De URL van websites met dit verhoogde beschermingsniveau wordt automatisch gewijzigd van HTTP in HTTPS. U weet dan dat uw gegevens veilig zijn. Deze tip is met name van belang bij financiële transacties of overschrijvingen.
-
Mijd dubieuze websites. Gebruik uw gezonde verstand wanneer u op internet surft. Ga alleen naar websites die u kunt vertrouwen en houd u verre van alles wat er verdacht uitziet.
-
Evalueer websites voordat u actie onderneemt. Als een vertrouwde website er ineens anders uitziet, kunt u te maken hebben met de versie van een pharmer. Klik wat in de rondte om te controleren of alle pagina's aanwezig zijn. Veel pharmers nemen niet de moeite om servicevoorwaarden of een privacybeleid op te nemen.
-
Vermijd koppelingen en bestanden van onbekende bronnen. Let goed op wanneer u bestanden downloadt en denk tweemaal na voordat u op onbekende koppelingen klikt. Pharmers kunnen u veel moeilijker treffen als ze hun malware niet op uw computer kunnen installeren.
-
Laat onwaarschijnlijk grote kortingen links liggen. Lijkt een deal te mooi om waar te zijn, dan is hij dat waarschijnlijk ook. Veel pharmers zullen u proberen te lokken met prijzen die 10 tot 20 procent lager liggen dan die van echte winkels. Neem even de tijd om de prijzen op concurrerende sites te vergelijken voordat u iets koopt.
-
Vertrouw op uw antivirussoftware. Let goed op waarschuwingen van uw browser of antivirussoftware wanneer u naar een bepaalde website gaat. Ook als u een site eerder hebt gebruikt, kan een waarschuwing erop duiden dat deze daarna is geïnfecteerd. Nu we het toch over antivirussoftware hebben...
-
Wapen uzelf met krachtige antivirussoftware van een gerenommeerde provider. AVG AntiVirus FREE beschermt uw computer tegen pharming-malware en ongewenste omleidingen, vooral wanneer u per ongeluk op een onveilige website terecht bent gekomen. Aanvallers blijven hun pharming-strategieën vaak verfijnen. AVG AntiVirus FREE wordt dan ook voortdurend bijgewerkt om bescherming tegen nieuwe dreigingen te garanderen.
Hoe werkt pharming?
Nu u veilig bent, kunnen we verder ingaan op de details: hoe werkt pharming? Bij een veelgebruikte techniek wordt malware op de computer van het slachtoffer geïnstalleerd. Dat kan wanneer content van nepwebsites wordt bekeken of gedownload. Zodra de malware is geïnstalleerd, wordt bepaalde informatie op de computer van het slachtoffer vervalst en wordt de pharming-aanval mogelijk gemaakt.
Er wordt een lijst van eerder bezochte websites en IP-adressen bijgehouden in het lokale HOSTS-bestand op de computer. Het DNS-systeem is namelijk net een telefoonboek, waarin elke website aan het toegewezen IP-adres is gekoppeld, weet u nog? Wanneer u de volgende keer naar een opgeslagen website gaat, hoeft de computer het IP-adres niet op te vragen bij de DNS-server. Dit staat al in het HOSTS-bestand.
Pharming-malware brengt wijzigingen aan in het HOSTS-bestand op de computer. Het opgeslagen IP-adres wordt zo gewijzigd dat de computer verkeer naar de gespoofte website van de pharmer en niet naar de echte website stuurt. Bij een dergelijke pharming-aanval wordt alleen de doelcomputer geïnfecteerd. U zult echter zien dat sommige pharmers hun net graag wat breder uitwerpen.
‘DNS cache poisoning’ is een oudere pharming-methode waarbij de DNS-server zelf wordt aangetast. Wanneer een gebruiker via de internetbrowser naar een URL wil gaan, neemt de browser contact op met de DNS-server om het IP-adres van het gewenste domein op te vragen. Elke DNS-server heeft een eigen verzameling lijsten en tijdelijke records (zogeheten ‘caches’) met lijsten die van andere servers zijn verkregen.
Wanneer een pharmer een DNS cache poisoning-aanval uitvoert, worden de regels die het verkeer naar een opgegeven domein regelen, herschreven en wordt het verkeer naar het IP-adres van de gespoofte website gestuurd. Dit kan met een techniek die DNS-kaping of -hijacking wordt genoemd. Aangezien de pharmer een server aanvalt in plaats van één computer, kunnen bij DNS cache poisoning meerdere gebruikers tegelijk worden getroffen. Daarnaast maken sommige pharmers gebruik van DNS-kaping om onbeveiligde routers aan te vallen, bijvoorbeeld routers voor gratis openbare wifi.
Wapen uzelf tegen DNS-kaping met AVG Internet Security. U geniet dan dezelfde bescherming als in AVG AntiVirus FREE, plus veel extra eersteklas functies, zoals Secure DNS.
Hoe u een pharming-aanval herkent
Hoe weet u of u het slachtoffer bent van een pharming-aanval? Zoals gezegd, komt u daar mogelijk pas achter nadat uw beveiliging is geschonden. U ontvangt dan mogelijk een e-mailbericht (van uw e-mailprovider of bank) over een nieuwe aanmelding. U wordt gevraagd te bevestigen dat u dat was. Uw e-mailprovider of bank ruikt onraad als er vanaf een ongebruikelijke locatie of een ander apparaat aanmeldingspogingen worden gedaan. Als u een dergelijk e-mailbericht ontvangt, moet u onmiddellijk aangeven dat u dat niet was en de fraude melden bij uw serviceprovider.
Er zullen u mogelijk ook andere vreemde activiteiten opvallen als u het slachtoffer bent geworden van pharming:
-
Vreemde afschrijvingen van uw creditcard, bankrekening of PayPal-rekening.
-
Gewijzigde wachtwoorden van onlineaccounts.
-
Nieuwe posts of berichten op sociale media die u niet hebt geplaatst.
-
Vriendenverzoeken op sociale media die u niet hebt verzonden.
-
Nieuwe programma's die spontaan op uw apparaat verschijnen.
Bonustip: met deze service kunt u controleren of uw e-mailadres is uitgelekt.
Wat u moet doen als u bovenstaande signalen herkent
-
Volg de procedure van uw bank, e-mailprovider of sociale media-app voor het melden van fraude.
-
Wijzig al uw wachtwoorden en kies sterke, unieke wachtwoorden voor al uw online accounts (gebruik wachtwoordbeheer als u dat te veel moeite vindt).
-
Verhoog de beveiliging van uw online accounts door tweestapsverificatie toe te voegen als dat kan.
-
Verwijder overbodige rommel uit uw browser: verwijder cookies, ontdoe u van onbekende invoegtoepassingen en wis uw geschiedenis.
-
Verwijder programma's die u niet hebt geïnstalleerd.
-
Voer een antivirusscan uit en verwijder malware als deze wordt gedetecteerd.
Opvallende voorbeelden van pharming
Pharming is geen nieuw wapen in het arsenaal van hackers. Al begin jaren 2000 waren er diverse in het oog lopende gevallen. In 2004 voerde een tiener in Duitsland met succes een DNS-zoneoverdracht voor eBay.de uit. Hoewel eBay beweerde dat er geen gebruikersgegevens waren uitgelekt, zorgde het voorval voor veel onrust bij het bedrijf en de gebruikers.
Een tiental jaren later waren de pharming-aanvallen al een stuk vernuftiger. Bij een omvangrijke pharming-aanval in 2015 waren mensen in Brazilië het doelwit die routers van bepaalde merken gebruikten. De aanvallers hadden e-mailberichten opgesteld die van een vertrouwd telecombedrijf leken te komen. Helaas bevatten deze schadelijke koppelingen. Zodra een gebruiker op een koppeling had geklikt, probeerden de aanvallers toegang te krijgen tot de router van de gebruiker en alle DNS-instellingen. Het slachtoffer werd vervolgens naar een pharming-site gestuurd.
Hoezo ‘pharming’?
Pharming is een samentrekking van ‘phishing’ en ‘farming’. Bij phishing-aanvallen worden nietsvermoedende slachtoffers met aas gelokt. Bij pharming-aanvallen worden grote aantallen internetgebruikers gezamenlijk naar de nepwebsite van de hacker geleid.
U kunt pharming (of misschien is ‘pherding’ een beter woord) zien als ‘phishing, maar dan zonder aas’.
Blijf waakzaam en bescherm uzelf
Pharming is slinks en gevaarlijk. Maar met de juiste voorzorgsmaatregelen kunt u makkelijk voorkomen dat u wordt opgelicht. Bescherm uw persoonlijke gegevens tegen pharmers door bij het surfen de volgende tips in acht te nemen:
-
Kies een betrouwbare ISP.
-
Controleer of de URL correct is gespeld zodra een website wordt geladen.
-
Controleer of de URL van financiële en e-commercewebsites met ‘https’ begint.
-
Mijd dubieuze websites, downloads en koppelingen.
-
Gebruik beproefde antivirussoftware, zoals AVG AntiVirus FREE.
Wie deze tips ter harte neemt, is goed op weg naar een pharming-vrije internetervaring.