Wat is pharming is een vraag die veel mensen hebben, zeker nu online betalen, internetbankieren en inloggen op accounts onderdeel zijn van het dagelijks leven. Bij deze aanval wordt iemand ongemerkt van een echte website doorgestuurd naar een nepwebsite, zodat criminelen persoonlijke gegevens kunnen stelen.

Omdat de aanval vaak stil en onzichtbaar gebeurt, is het belangrijk dat zowel beginners als gevorderde gebruikers begrijpen wat hier precies achter zit.

Wat is pharming?

Pharming is een vorm van cyberaanval waarbij je op een valse website terechtkomt, ook al typ je het juiste webadres in. De website lijkt meestal sterk op de echte site, bijvoorbeeld van een bank, webshop of e maildienst.

Het doel is altijd hetzelfde, namelijk het stelen van gegevens zoals gebruikersnaam, wachtwoord, creditcardnummer of inlogcodes voor internetbankieren.

In tegenstelling tot veel andere vormen van cybercrime hoeft de gebruiker niet per se op een verdachte link te klikken. De omleiding gebeurt vaak automatisch, op de achtergrond, doordat criminelen iets hebben veranderd in de techniek achter het internet, zoals in een DNS server of in een hosts bestand.

Hoe werkt een pharmingaanval technisch?

Hoe werkt een pharmingaanval technisch, voorbeeld van online betaling op laptop
Hoe werkt een pharmingaanval technisch tijdens online betalingen?

Er zijn ongeveer twee hoofdmethoden waarmee een pharmingaanval kan worden uitgevoerd.

Bij de eerste methode wordt het hosts bestand op een computer aangepast. Dit is een klein systeem­bestand waarin een koppeling staat tussen domeinnamen en IP adressen. Als criminelen hier een regel aan toevoegen of aanpassen, kan het gebeuren dat een domeinnaam die normaal naar een legitieme website gaat, ineens naar een valse website wijst.

Bij de tweede methode richten aanvallers zich op een DNS server. Een DNS server vertaalt domeinnamen naar IP adressen, zodat computers weten met welke server ze verbinding moeten maken. Wanneer een aanvaller de cache van een DNS server vergiftigt, ook wel DNS poisoning of DNS spoofing genoemd, kunnen duizenden of zelfs miljoenen gebruikers tegelijk op een nepwebsite terechtkomen, zonder dat er iets op hun eigen computer is veranderd.

In veel gevallen wordt hiervoor malware gebruikt, zoals een trojan of een keylogger. Een trojan kan bijvoorbeeld onopgemerkt instellingen aanpassen of extra schadelijke software installeren. Een keylogger kan toetsaanslagen registreren en zo inloggegevens vastleggen, zelfs wanneer iemand denkt veilig te werken.

Wil je zien hoe je jouw website sterker kunt maken tegen dit soort aanvallen? Bekijk: WordPress beveiliging: 23 tips om je website te beschermen

Wat is pharming in vergelijking met phishing?

Phishing en pharming worden vaak in één adem genoemd, omdat beide te maken hebben met het stelen van gevoelige gegevens. Toch werken ze op een andere manier.

Bij phishing sturen criminelen meestal een e mail, sms of bericht via sociale media. In die berichten staat bijvoorbeeld dat er een probleem is met een account en dat de gebruiker snel moet inloggen. De link in het bericht leidt naar een nepwebsite. Wie daar zijn gebruikersnaam, wachtwoord of creditcardgegevens invult, geeft die direct aan de aanvaller.

Bij pharming hoeft er helemaal geen bericht gestuurd te worden. De techniek achter het internet wordt zo aangepast dat een groot aantal gebruikers automatisch naar een nagemaakte website gaat. De gebruiker merkt niets, typt rustig het adres van de bank of webshop in en belandt toch op een valse pagina.

Een belangrijk verschil is dus dat phishing vooral draait om misleidende communicatie, zoals e mails en nepberichten, terwijl pharming vooral gebruikmaakt van technische manipulatie, zoals DNS infectie, aanpassingen in een hosts bestand of besmette routers.

Voorbeelden uit de praktijk

In de praktijk kan een pharmingaanval er op verschillende manieren uitzien. Een paar voorbeelden.

Een gebruiker wil inloggen bij internetbankieren en typt de vertrouwde domeinnaam van de bank in. Door een corrupte DNS server komt de gebruiker op een nagemaakte site terecht, die precies dezelfde kleuren en logo’s gebruikt. De url lijkt sterk op het origineel, maar is net iets anders. De gebruiker vult nietsvermoedend zijn inloggegevens in en verliest daarmee de controle over zijn rekening.

In een ander scenario is een thuisrouter besmet met malware. De aanvaller verandert de DNS instellingen van de router, zodat al het verkeer in huis via een malafide DNS server loopt. Iedereen die thuis via wifi internetbankiert of online shopt, kan ongemerkt naar nepwebsites worden gestuurd. Dit kan ook gebeuren via verouderde firmware of een standaardwachtwoord dat nooit is veranderd.

Waarom is pharming zo gevaarlijk?

Pharming is gevaarlijk omdat het zo onzichtbaar is. Bij veel aanvallen zie je een verdachte e mail of een vage link. Bij pharming kan iemand gewoon het adres intypen dat al jaren wordt gebruikt, en toch op een valse site belanden. Dit maakt het moeilijker om de aanval te herkennen.

Bovendien kan een succesvolle pharmingaanval grote groepen mensen tegelijk raken. Als een populaire DNS server of een grote routerfabrikant wordt misbruikt, kunnen duizenden gebruikers van internetbankieren, cryptoplatformen, webshops en andere diensten getroffen worden.

Nog een risico is identiteitsdiefstal. Zodra criminelen toegang hebben tot persoonlijke gegevens, kunnen ze die gebruiken om nieuwe accounts aan te maken, leningen af te sluiten of aankopen te doen op naam van het slachtoffer. Dit heeft vaak langdurige gevolgen.

Technische achtergrond, DNS, hosts bestand en DNSSEC

Om goed te begrijpen waarom pharming werkt, is het handig om kort stil te staan bij een paar technische begrippen.

Een DNS server is als een soort telefoonboek van het internet. Als iemand een domeinnaam intypt, vraagt de browser aan de DNS server welk IP adres daarbij hoort. Bij DNS infectie wordt dit antwoord gemanipuleerd, zodat de browser een verkeerd IP adres ontvangt en verbinding maakt met een valse website.

Een hosts bestand is een lokaal bestand op de computer waarop handmatig staat welke domeinnaam bij welk IP adres hoort. In de beginjaren van het internet werd dit vaker gebruikt, maar ook nu nog kan malware dit bestand aanpassen om verkeer om te leiden.

DNSSEC is een uitbreiding op het DNS systeem die helpt om antwoorden te beveiligen. Met DNSSEC kunnen systemen controleren of een antwoord echt afkomstig is van de juiste DNS server. Steeds meer providers en domeinregistrars ondersteunen DNSSEC, maar het is nog niet overal standaard ingeschakeld.

Hoe herken je een nepwebsite bij pharming?

Hoewel pharming vaak op de achtergrond gebeurt, zijn er toch signalen waar gebruikers op kunnen letten.

Kijk naar het webadres. Lijkt het op de echte domeinnaam, maar staat er bijvoorbeeld een extra woord, een rare extensie of een opvallende spelfout in?

Controleer of er een https verbinding is, inclusief het slotje in de adresbalk. Let er wel op dat sommige criminelen ook nepcertificaten gebruiken, dus dit is geen perfecte garantie, maar wel een belangrijke basis.

Let op het ontwerp. Vaak lijkt de site sterk op het origineel, maar kleine details kunnen afwijken, zoals andere knoppen, foutieve taal of ontbrekende onderdelen.

Gebruik je gezond verstand. Als een website ineens op een andere manier om gegevens vraagt, extra codes nodig heeft of onverwacht veel informatie vraagt, is voorzichtigheid op zijn plaats.

Bescherming op je eigen computer en netwerk

Gelukkig zijn er meerdere stappen die gebruikers kunnen nemen om zich beter te beschermen tegen pharming en andere vormen van cybercrime.

  1. Gebruik altijd een up to date antivirusprogramma en een betrouwbare anti malwaretool. Deze kunnen veel vormen van malware, zoals trojans en keyloggers, vroegtijdig opsporen en verwijderen.
  2. Zorg ervoor dat het besturingssysteem, de browser en alle geïnstalleerde programma’s regelmatig worden bijgewerkt. Beveiligingsupdates dichten bekende gaten die door aanvallers kunnen worden misbruikt.
  3. Verander het standaardwachtwoord van de router en gebruik een sterk en uniek wachtwoord. Controleer ook regelmatig de DNS instellingen van de router en stel deze in op betrouwbare DNS diensten, bijvoorbeeld van een grote provider of een bekende beveiligingsdienst.
  4. Maak gebruik van een wachtwoordmanager. Zo wordt het makkelijker om voor elke website een uniek en sterk wachtwoord te gebruiken. In combinatie met tweestapsverificatie, zoals een sms code of een authenticator app, wordt het voor criminelen veel moeilijker om toegang te krijgen, zelfs als er toch gegevens worden buitgemaakt.

Extra tips voor veilig internetbankieren en online shoppen

Extra tips voor veilig internetbankieren en online shoppen, man achter computer met smartphone
Extra tips voor veilig internetbankieren en online shoppen

Bij internetbankieren en online betalingen is voorzichtigheid extra belangrijk.

a) Typ de domeinnaam van de bank of webshop zelf in, in plaats van te klikken op links in e mails, chatberichten of sociale media.

b) Bewaar belangrijke sites als favoriet in de browser en gebruik bij voorkeur altijd die opgeslagen link.

c) Controleer regelmatig bankafschriften en creditcardoverzichten op onbekende transacties. Hoe sneller een probleem wordt ontdekt, hoe groter de kans dat schade kan worden beperkt.

d) Maak geen gebruik van publieke wifi voor internetbankieren of het invoeren van gevoelige gegevens. Gebruik liever een eigen mobiele verbinding of een vertrouwde, beveiligde wifi.

Wat is pharming in een moderne context?

De vraag Wat is pharming blijft actueel, omdat de technieken van aanvallers zich blijven ontwikkelen. Tegenwoordig worden aanvallen vaak gecombineerd met andere vormen van cybercrime, zoals social engineering, datalekken en geavanceerde malware.

Criminelen kunnen bijvoorbeeld eerst via phishing gegevens verzamelen en daarna via pharming de laatste stap zetten om meer controle over accounts te krijgen. Ook mobiele apparaten worden steeds vaker doelwit, via malafide apps of besmette wifi netwerken.

Daarom is het belangrijk om niet alleen te kijken naar één enkele techniek, maar naar het totale plaatje van online veiligheid. Een combinatie van technische maatregelen, gezonde oplettendheid en goede gewoontes biedt samen de meeste bescherming.

Benieuwd hoe moderne websites zijn opgebouwd en waarom dat belangrijk is voor veiligheid? Bekijk: Wat is webdesign en hoe werkt het in de praktijk?

Conclusie

Pharming is een stille maar zeer effectieve manier om mensen naar nepwebsites te sturen en hun gegevens te stelen. Omdat de aanval vaak plaatsvindt zonder dat iemand iets opvallends doet, is bewustwording erg belangrijk.

Door beter te begrijpen hoe DNS, hosts bestanden, nepwebsites en malware samenwerken, wordt het makkelijker om verdachte situaties te herkennen.

Met sterke beveiligingsmaatregelen, zoals up to date software, een wachtwoordmanager, tweestapsverificatie, veilige DNS diensten en een goed beveiligde router, kan het risico aanzienlijk worden verkleind.

Wie daarnaast alert blijft op vreemde url’s, verrassende meldingen en onverwachte verzoeken om gegevens, zet een grote stap richting een veiliger online leven.

Wil je een uitgebreide uitleg lezen van een grote beveiligingspartij, bekijk dan ook het artikel van Kaspersky: What is Pharming & How to Protect Yourself.

Veelgestelde vragen

1. Wat is het belangrijkste doel van een pharmingaanval?

Het doel is om gebruikers ongemerkt naar een nepwebsite te sturen en daar persoonlijke gegevens zoals inlogcodes, bankgegevens of creditcardnummers te stelen.

2. Hoe verschilt pharming van phishing?

Bij phishing krijgt de gebruiker meestal een misleidende e mail of bericht met een link naar een nepwebsite. Bij pharming wordt de techniek achter het internet aangepast, bijvoorbeeld via DNS poisoning, zodat gebruikers automatisch worden omgeleid, zelfs als zij het juiste adres intypen.

3. Kan een antivirusprogramma pharming tegenhouden?

Een antivirusprogramma kan helpen door malware te blokkeren die bijvoorbeeld het hosts bestand wijzigt of de router besmet. Maar als de aanval plaatsvindt op een externe DNS server, is alleen antivirus niet genoeg en zijn extra maatregelen nodig, zoals veilige DNS diensten en DNSSEC.

4. Hoe kan iemand zien of een website betrouwbaar is?

Let op https en een slotje in de adresbalk, controleer de exacte domeinnaam en kijk kritisch naar de inhoud en vormgeving. Wanneer iets niet vertrouwd aanvoelt, is het verstandig de pagina te sluiten en zelf opnieuw het adres in te typen.

5. Wat is de beste bescherming tegen pharming op lange termijn?

Een combinatie van maatregelen werkt het beste, zoals sterke en unieke wachtwoorden, een wachtwoordmanager, tweestapsverificatie, actuele software, veilige DNS servers, een goed beveiligde router en gezonde online gewoontes bij internetbankieren en online shoppen.