Drive-by pharming er ein heilt ny type angrep, som bygger på moderne nettlesarar sine javascript-ferdigheter, og det faktum at få heimebrukarar endrar IP, brukarnamn eller passord på routeren sin.

Prosessen er forbausande enkel.
Ved å besøke ei ondsinna side, med ein nettlesar som støtter JavaScript (JS), så vil den sida kjøre en forespørsel frå nettlesaren din, til routeren din. Sidan få skiftar passord/brukarnamn, så vil ofte den ondsinna nettsida ha full tilgang til routeren din.

Neste steg i det foreslåtte angrepet er å skifte DNS-server til ein server som er kontrollert av blackhats. DNS-serveren er serveren som gjer domenenamnet, t.d freakforum.nu, om frå menneskeleseleg form, til ei maskinadresse (IP).

Når ein først har tatt i bruk ein ondsinna DNS-server så er slaget om phishing tapt. Då kan eigaren av dnsserveren bare fortelle nettleseren din at ja, dnbnor.no har faktisk IPen 127.0.0.1. Eller IP'en til ei phishing-side. Og du kan ikkje oppdage det via tradisjonelle anti-phishing metoder, fordi DNS-navnet stemmer med banken sitt. Så potensielt så er dette ekstremt kraftig versjon av phishing-fenomenet, fordi det er nok at du besøker ei ondsinna side. Deretter vil alle forsøk på å nå t.d dnbnor.no eller myspace.com bli viaresendt til pharmeren.

Kjelder:
Oliver Friedrichs, 15. feb 2007 @ Full Disclosure