iPhone = Pharming?!

Firma Panda Security ostrzega: dostÄ™pny w internecie plik wideo z informacjÄ… o iPhone zawiera niebezpiecznego trojana Banker.LKC, który jest elementem nowego ataku typu pharming. Trojan powoduje, że użytkownicy podczas logowania siÄ™ do banku mogÄ… zostać przekierowani na faÅ‚szywe witryny www, a ich poufne dane trafiÄ… w rÄ™ce cyberprzestÄ™pców.CyberprzestÄ™pcy do infekowania zÅ‚oÅ›liwym oprogramowaniem chÄ™tnie wykorzystujÄ… ważne wydarzenia i ciekawe tematy. Tym razem jako przynÄ™tÄ™ wykorzystali wprowadzenie przez firmÄ™ Apple telefonu iPhone.
Najnowszy przypadek wykryty przez PandaLabs - laboratorium Panda Security specjalizujÄ…ce siÄ™ w wykrywaniu i analizie zÅ‚oÅ›liwego oprogramowania - dotyczy nowego ataku typu pharming, wykorzystujÄ…cego trojana Banker.LKC. W wyniku tego ataku dane bankowe ofiar trafiajÄ… w rÄ™ce cyberprzestÄ™pców.

Pharming to zaawansowana wersja phishingu. Polega na manipulowaniu systemem DNS (Domain Name Server) poprzez konfiguracjÄ™ protokoÅ‚u TCP/IP lub pliku hostów. Serwery DNS przechowujÄ… adresy numeryczne lub adresy IP (np. 62.14.63.187.) przypisane do każdej nazwy domeny lub adresu URL (np. www.mibanco.com). W wyniku ingerencji cyberprzestÄ™pców wpisanie przez użytkownika nazwy witryny www powoduje przekierowanie go na inny adres IP. Tam znajduje siÄ™ faÅ‚szywa strona www przypominajÄ…ca jedynie wyglÄ…dem oryginalnÄ….

Pharming z iPhone - przebieg
W przypadku ataku wykrytego przez PandaLabs za manipulacjÄ™ systemem DNS odpowiada trojan Banker.LKC. ZÅ‚oÅ›liwy kod przedostaje siÄ™ do systemu pod nazwÄ… VideoPhone[1]_exe. Po uruchomieniu pliku otwarte zostaje okno przeglÄ…darki internetowej z wyÅ›wietlonÄ… witrynÄ… www, na której sprzedawany jest iPhone. Gdy użytkownik przeglÄ…da stronÄ™, trojan dokonuje modyfikacji pliku hostów, przekierowujÄ…c adresy URL banków i innych firm na faÅ‚szywe witryny www. Oznacza to, że podczas logowania do banku internauta – niezależnie od tego, czy adres jest wpisywany rÄ™cznie w przeglÄ…darkÄ™, czy użytkownik korzysta z wyszukiwarki - zostaje przekierowany na faÅ‚szywÄ… stronÄ™. Tam wprowadza swoje poufne dane (numery kont, hasÅ‚a itp.), które trafiajÄ… nastÄ™pnie w rÄ™ce cyberprzestÄ™pców.
„Manipulowanie plikiem hostów nie wywoÅ‚uje żadnych podejrzanych zmian w dziaÅ‚aniu komputera. NieÅ›wiadomi niczego użytkownicy padajÄ… ofiarÄ… ataku, gdy wprowadzajÄ… adres internetowy banku. Dlatego atak jest tak niebezpieczny. Jego celem jest okradanie kont użytkowników, a informacja o iPhone stanowi tylko przynÄ™tÄ™, która ma zachÄ™cić użytkowników do uruchomienia pliku zawierajÄ…cego zÅ‚oÅ›liwy kod” – wyjaÅ›nia Maciej Sobianek, specjalista ds. bezpieczeÅ„stwa Panda Security w Polsce.

Jak zabezpieczyć się przed pharmingiem:
* podczas Å‚Ä…czenia siÄ™ ze stronÄ…, na której wymagane jest podanie poufnych danych, należy upewnić siÄ™, że adres URL jest taki sam jak wprowadzony przez nas. Nie powinien on zawierać żadnych dodatkowych liter, liczb itp.

* należy sprawdzić certyfikat bezpieczeÅ„stwa odwiedzanej witryny. Każda wiarygodna firma z branży e-commerce posiada certyfikat bezpieczeÅ„stwa wÅ‚asnych serwerów, wydany przez uprawniony do tego organ (np. Verisign)

* należy upewnić się, że zainstalowane oprogramowanie antywirusowe działa prawidłowo i jest zaktualizowane, ponieważ - tak jak w tym przypadku - modyfikacja ustawień DNS często jest przeprowadzana przy użyciu złośliwego kodu.