Qu'est-ce que le pharming ?

Pharming attack – définition

Le pharming ressemble au phishing, car il s'agit d'une menace qui incite les utilisateurs à divulguer des informations privées. Mais au lieu de s'appuyer sur le courrier électronique comme vecteur d'attaque, le pharming utilise un code malveillant exécuté sur l'appareil de la victime pour la rediriger vers un site Web contrôlé par l'attaquant.

Comme le pharming exécute un code sur l'ordinateur de la victime, l'attaquant ne compte pas sur le fait que l'utilisateur ciblé clique sur un lien ou réponde à un courriel. Au lieu de cela, le code malveillant dirige l'utilisateur ciblé vers le site Web de l'attaquant, éliminant ainsi l'étape supplémentaire où l'utilisateur clique sur un lien.

Exemple de pharming attack

Une pharming attack consiste à détourner les paramètres du navigateur de l'utilisateur ou à exécuter un processus en arrière-plan qui redirige automatiquement les utilisateurs vers un site malveillant.

L'attaquant utilise des redirections ou des fenêtres pop-up sur le bureau de l'utilisateur qui affichent le site de phishing dans un lien masqué. Dans de nombreux cas, l'objectif de l'attaquant est d'obtenir des données financières ou les informations d'authentification de l'utilisateur, de sorte que la redirection se déclenche lorsque l'utilisateur navigue vers un site Web bancaire.

Par exemple, un attaquant peut utiliser un code malveillant pour surveiller l'activité Web de l'utilisateur afin de déclencher une redirection vers un site bancaire usurpé. Lorsqu'un utilisateur saisit le domaine de sa banque dans la barre d'adresse du navigateur, le code malveillant détourne l'activité de l'utilisateur et redirige le navigateur vers un site Web contrôlé par l'attaquant, dont l'apparence est identique à celle du compte bancaire officiel.

Les utilisateurs regardent rarement le domaine dans la barre d'adresse du navigateur, c'est donc une attaque efficace pour voler les données financières des utilisateurs, y compris leurs informations d'identification.

Un autre exemple courant consiste à rediriger les utilisateurs vers un autre site Web lorsqu'un moteur de recherche est saisi dans le navigateur. L'attaquant utilise un moteur de recherche malveillant pour rediriger les utilisateurs vers des sites publicitaires ou un site de phishing spécifique.

Cela peut se faire en détournant les ressources du navigateur ou en détectant le moment où les utilisateurs naviguent vers un site financier particulier.

Qu'est-ce qu'un malware de pharming ?

Comme les pharming attacks ne reposent pas sur le courrier électronique, un malware est utilisé pour rediriger les utilisateurs et voler des données. Le fichier d'installation du malware doit d'abord être exécuté avant de pouvoir s'exécuter sur l'ordinateur à chaque redémarrage.

Le malware devrait bien fonctionner, mais les auteurs de menaces testent rarement leurs logiciels et y introduisent souvent des bugs. Les bugs peuvent provoquer des plantages involontaires, des redémarrages, des écrans bleus et d'autres problèmes informatiques.

Tout bug qui affecte la fonctionnalité principale du logiciel malveillant peut le rendre inefficace pour voler des données. Il peut également affecter le fonctionnement de votre ordinateur et vous empêcher de l'utiliser.

Une autre méthode utilisée pour le pharming est le DNS poisoning. Le malware modifie les paramètres DNS de l'ordinateur local, redirigeant les utilisateurs vers un site malveillant lorsqu'ils saisissent un domaine dans le navigateur.

Chaque ordinateur qui se connecte à Internet utilise un paramètre DNS configuré, et un serveur DNS stocke l'adresse IP de chaque domaine sur Internet. Lorsque les navigateurs effectuent une recherche, ils dirigent les utilisateurs vers l'adresse IP répertoriée sur un serveur DNS. Dans le cas du DNS poisoning, l'adresse IP est liée à un domaine situé sur le serveur de l'attaquant.

Phishing et pharming

Le phishing et le pharming sont similaires en ce sens qu'ils incitent les utilisateurs à divulguer des informations privées, mais le mode utilisé pour tromper les victimes est différent.

Dans le cas d'une attaque de phishing, un acteur de la menace crée un e-mail qui ressemble à un message officiel pour tromper les utilisateurs. L'e-mail de phishing contient généralement un lien sur lequel l'utilisateur doit cliquer pour que l'attaquant réussisse. Le phishing peut également intégrer de l'ingénierie sociale pour renforcer l'attaque et augmenter la possibilité de voler de l'argent ou des données à la victime visée.

Dans le cas d'une attaque par pharming, aucun e-mail n'est nécessaire, car le logiciel malveillant s'exécute en arrière-plan sur l'ordinateur, interceptant les requêtes web et redirigeant les utilisateurs vers des sites web malveillants.

Outre l'exécution initiale du malware, aucune interaction avec l'utilisateur n'est nécessaire. Une fois le malware exécuté, il persiste sur l'ordinateur même après son redémarrage. Seuls les outils de suppression des malwares peuvent supprimer les fichiers utilisés pour surveiller l'activité des utilisateurs, afficher des fenêtres pop-up ou détourner les paramètres du navigateur.

Comment prévenir le pharming

Les bonnes pratiques pour éviter d'être victime de pharming sont similaires aux conseils donnés pour prévenir les virus et autres logiciels malveillants sur les machines locales. Méfiez-vous toujours des e-mails contenants des pièces jointes, surtout s'il s'agit de fichiers exécutables.

Les fichiers qui contiennent des macros, comme ceux de Microsoft Word ou Excel, peuvent également exécuter un code malveillant. Les macros doivent être bloquées, sauf si vous êtes sûr que les fichiers proviennent d'une source fiable.

Voici quelques autres bonnes pratiques qui vous éviteront de devenir victime d’une attaque :

  • Ne cliquez jamais sur des liens provenant de popups. Tapez toujours manuellement le domaine officiel du site ciblé dans le navigateur.
  • Assurez-vous que votre connexion web utilise le protocole HTTPS.
  • Ne vous connectez jamais à des points d'accès Wi-Fi publics arbitraires.
  • Utilisez un service VPN réputé (ou une alternative au VPN).
  • Activez l'authentification à deux facteurs (2FA) sur tout service de compte qui le propose.
  • Changez le mot de passe administrateur de tout équipement réseau, y compris les routeurs domestiques et les points d'accès Wi-Fi.

Pharming d’informations d’identification

Le vol de données est un objectif fondamental pour un attaquant, mais le vol d'informations d'identification donne à un tiers le contrôle total de votre compte.

Avoir le contrôle d'un compte peut avoir beaucoup plus de valeur. Par exemple, l'obtention des informations d'identification d'un compte de messagerie fournit à un attaquant bien plus d'informations que le simple vol d'informations sensibles d'un utilisateur ciblé.

Dans une attaque par phishing, les utilisateurs sont incités à envoyer leurs informations d'identification à un acteur de la menace par e-mail. Dans une attaque par pharming, les utilisateurs ne sont pas incités à naviguer vers un site web malveillant. Au lieu de cela, l'attaquant vole des données en utilisant des processus d'arrière-plan malveillants ou envoie automatiquement l'utilisateur vers un site de phishing dans son navigateur.

Le pharming est beaucoup plus efficace que le phishing car il ne nécessite pas que l'utilisateur clique sur un lien. Néanmoins, le phishing reste un vecteur d'attaque populaire pour les acteurs de la menace. Le pharming est avantageux pour les attaquants ayant des connaissances en programmation.

Les auteurs de logiciels malveillants ont toujours besoin de diffuser des programmes malveillants à des utilisateurs ciblés, c'est pourquoi les messages électroniques sont utilisés pour diffuser les malwares aux destinataires. Une fois le programme malveillant exécuté sur les ordinateurs des utilisateurs ciblés, un attaquant peut collecter de l'argent ou des informations sensibles à partir de publicités et de sites Web malveillants.

Que ce soit par e-mail ou par phishing, les utilisateurs doivent toujours éviter d'exécuter des fichiers exécutables joints à un e-mail ou des fichiers provenant de sites de logiciels non officiels.

Le pharming et le phishing visent à dérober des informations d'identification ou des informations bancaires. Évitez donc les pièces jointes et les logiciels malveillants sur les sites Web suspects.