Teori Pharming, Cara mengatasi, dan Pencegahannya

Pharming merupakan sebuah teknik yang biasanya digunakan seorang pencuri untuk mendapatkan informasi finansial seseorang tanpa diketahui oleh korban. Sebagai contoh aksi pharming adalah sebagai berikut:
Seorang pencuri mungkin menginfeksi komputer korban dengan virus, baik dengan cara mengirim email maupun dengan cara menginstal software pada komputer korban pada saat korban mengunjungi website pelaku. Instalasi kemungkinan berlangsung tanpa sepengetahuan korban, tapi mungkin juga virus tersebut terinstal bersamaan dengan aplikasi yang korban instal. Saat komputer terinfeksi, virus tersebut kemungkinan mengirim korban sebuah website palsu yang terlihat sangat mirip dengan website yang ingin dikunjungi korban. Kemudian Pharmer (Pelaku pharming) meng-harvest user name, password, dan informasi personal korban bahkan tanpa korban ketahui.
DNS Pharming dianggap teknik yang sangat berbahaya. DNS pharming sering digunakan untuk melempar informasi akun user ke website penyerang.
DNS Pharming melakukan proses untuk melempar request korban ke tempat yang salah. Beberapa hal yang memungkinkan susksesnya penyerang dalam melakukan DNS pharming:
1) Korban menggunakan compromised DNS server
2) Penyerang mengeset semua request alamat tujuan korban dilempar ke websitenya sendiri (Dimana website tersebut mirip dengan target)
3) Korban mengunjungi sebuah website yang diinginkannya hanya saja kemudian yang ditampikan adalah website penyerang . Dengan atau tidak diketahui oleh korban.
Hal teknik yang menjamin suksesnya DNS Pharming:
1) host file yang ada di komputer komputer korban yang tidak aman. System operasi UNIX maupun Windows mempunyai host file yang mana digunakan untuk menjalankan name resolution pada local network.
2. DNS cache pada server host file
3. Walau jarang, mungkin saja karena DNS server yang tidak aman sehingga dapat dengan mudah diakses oleh penyerang.
Cara mengecheck adanya Pharming:
1. Dengan melakukan check md5
Berdasarkan jenis dari sistem operasi, konten dari host file sedikit demi sedikit beragam. Nilai dari MD5nya juga beragam. jika nilai hash value berbeda dengan nilai default dari MD5 pada sistem operasi(default dari target yang dituju), berarti host file telah dimodifikasi dan kemungkinan akibat dari penyerang yang mencoba untuk melakukan pharming.
dibawah ini merupakan contoh nilai MD5(128 bit) pada host file :
Windows XP: de1cbfe6c3086010af115a1f00909b01
Windows Vista : 01505bb3f7004537f4f2c0fbba349a1f
Windows 7 : 9559da711c2abf477e95eeb41cebf637
Cara ini berguna jika kita sama sekali tidak pernah mengotak-atik atau mengubah host file.
2. Mengecek isi dari host  file
Jika didalam host file berisi informasi public website misalnya saja google.com, nate.com, dll, maka hal tersebut kemungkinan besar merupakan akibat dari aksi pharming. Mungkin mereka mengubah host file itu dengan menggunakan program atau aplikasi berbahaya yang kita jalankan sebelumnya atau mungkin juga penyerang telah mendapatkan akses untuk mengubah host file yang ada di komputer kita.
3. Menggunakan ‘ipkonfig /displaydns’ pada cmd
command tersebut merupakan command untuk menampilkan informasi yang tersimpan pada DNS Resolver Cache pada user system, dan digunakan untuk untuk menamplkan domain adress dari eksternal sistem host yang telah diakses bersamaan juga dengan IP addressnya. Jika domain yang ditampilkan tidak sesuai dengan ip yang ditampilkan, bisa jadi itu merupakan sebuah serangan pharming. Untuk mengecek ip maupun domainnya dapat menggunakan website ip-tracker

Sebagai contoh, lihat gambar di atas. normal IP untuk ‘banking.nonghyup.com’ sesuai dengan gambar seharusnya adalah ‘61.37.254.31’. Jika ternyata tidak sesuai, berarti hal tersebut adalah serangan pharming
Cara mencegah terkena pharming:
1. Selalu melakukan update antivirus dan anti-spyware secara rutin pada komputermu
2. Install personal firewall
3. Jangan memasukkan personal informasi pada halaman website yang tidak memiliki ikon kunci pada bagian atas browser. Ikon ini hanya muncul ketika kamu mengunjungi  halaman website yang menggunakan security certificates.
4. Selalu mengawasi jika ada hal yang aneh pada alamat website atau URL
5. Amati halaman website misalnya saja terdapat link yang tidak selesai/ tidak dibuat/salah. Mungkin saja pencuri atau penyerang tidak membuat semua halaman atau salah dalam membuat halaman tersebut.
6. Jika web site terlihat tidak biasa atau melakukan request login yang berbeda dari sebelumnya, Hal ini bisa dikatakan red flag dimana kamu mengalami serangan pharming. Jika kamu tidak yakin dengan website tersebut, teleponlah perusahaan mereka untuk melakukan verifikasi.

sumber:

DNS Pharming (BLOSSOM~Hands-on exercise for computer forensics and security link

A Study on the Live Forensic Techniques for Anomaly Detection in User Terminals link