Что такое фарминг?

Что такое фарминг-атака?

Термин «фарминг» происходит от двух понятий: фишинга и фарминга. Это тип кибератаки социальной инженерии, которая манипулирует трафиком веб-сайта, чтобы завладеть личной информацией пользователя или установить вредоносное ПО на их компьютеры. Для этого фармеры создают поддельный веб-сайт, который является копией целевого сайта, и используют несколько методов для перенаправления пользователей на поддельный сайт.

Киберпреступники обычно создают поддельные копии банков и веб-сайтов электронной коммерции для сбора имен пользователей, паролей, номеров социального страхования и данных кредитных / дебетовых карт.

 

Пользователи могут подписывать код с помощью функции подписи кода расширенной проверки eSigner. Щелкните ниже для получения дополнительной информации.

Узнать больше

Как осуществляется фарминг?

Фарминг использует преимущества просмотра веб-страниц - в частности, серию букв, составляющих интернет-адрес (xyz.example.com), необходимо преобразовать в IP-адрес сервером DNS (система доменных имен), чтобы соединение продолжилось.

Фарминг осуществляется путем изменения настроек хоста в системе жертвы или манипулирования DNS-сервером. Это достигается двумя способами:

Причина изменений в файле локальных хостов

Файл локальных хостов относится к каталогу IP-адресов и доменных имен, который хранится на локальном компьютере пользователя. Например, в системах MacOS и Linux этот файл находится в / etc / hosts. Фарминг происходит, когда киберпреступники вторгаются в систему жертвы и изменяют файл hosts, чтобы перенаправлять людей на фальшивый веб-сайт каждый раз, когда они пытаются получить доступ к легитимному. Киберпреступники могут иметь большие навыки в создании поддельного веб-сайта, очень похожего на настоящий. Таким образом, жертвы застают врасплох и раскрывают мошенникам свои учетные данные или финансовую информацию.

Кибератаки обычно используют методы фишинга для отправки вредоносного ПО на компьютер жертвы, вызывая изменения в файле хоста. Фармер может развернуть электронное письмо, содержащее вредоносный код, и когда жертва нажимает на него, вредоносное ПО загружается и устанавливается на их компьютер.    

Подмена системы доменных имен (DNS)

Другой важный метод, который используют фармеры для перенаправления трафика, - это использование слабых мест DNS-сервера и подделка его ответов на DNS-запросы. В результате жертва перенаправляется на поддельный веб-сайт, контролируемый фармером, даже если правильный адрес отображается в адресной строке браузера. Затем поддельные веб-сайты используются для сбора финансовых данных и конфиденциальной информации от жертвы, а также могут устанавливать вирусы в системе жертвы.

Что делает спуфинг DNS более опасным, чем изменение файлов хостов, так это то, что он не должен зависеть от действий жертвы и имеет потенциально худшие последствия, поскольку DNS-серверы отвечают на запросы многих пользователей и могут «отравить» другие DNS-серверы изменениями фармера. к записи DNS. Кроме того, при подмене DNS у жертвы может быть компьютер, на котором нет вирусов, но он может быть атакован фармацевтами. Даже если хосты принимают меры предосторожности, такие как ввод адреса веб-сайта вручную или регулярное использование надежных закладок, их все равно недостаточно для борьбы с подделкой DNS, поскольку злонамеренное перенаправление происходит после того, как компьютер отправляет запрос на подключение.

Когда фармацевты крадут финансовые и личные данные своих жертв, они могут использовать их для мошенничества или продавать в темной сети.

Чем фарминг отличается от фишинга?

Несмотря на сходные желаемые результаты между фармингом и фишингом, используемые методы различаются. Фарминг больше ориентирован на атаки на систему DNS, тогда как фишинг больше ориентирован на манипулирование пользователями. Хотя, как объяснялось ранее, фишинг может выполнять важную функцию при выполнении фарминга.

Фишинг

Как мы упоминалось ранее, фишинг - это вид кибермошенничества, при котором злоумышленники размещают электронные письма, якобы отправленные от надежных организаций, таких как банки и компании, выпускающие кредитные карты. Электронные письма содержат вредоносные ссылки, при нажатии на которые жертва попадает на поддельный веб-сайт. Поскольку поддельный веб-сайт выглядит обманчиво похожим на законный, жертвы обманом вводят свои учетные данные для входа, данные карты и другую конфиденциальную информацию. 

Pharming

Фарминг можно рассматривать как разновидность фишинга без фактора соблазнения. Это означает, что жертве не нужно щелкать вредоносную ссылку, чтобы перейти на поддельный веб-сайт. Вместо этого жертва немедленно отправляется туда с помощью поддельной записи DNS или записи файла хоста. Поэтому фарминг можно охарактеризовать как «фишинг без приманки».

Исторические случаи фарминга

Фарминг много раз использовался во всем мире для нападения на отдельных жертв и организации:

В 2007 не менее 50 финансовых организаций в США, Европе и Азиатско-Тихоокеанском регионе были атакованы фармацевтами. Их стратегия заключалась в том, чтобы создать поддельный веб-сайт для каждой цели, а затем разместить вредоносный код на каждой из них. Поддельные веб-сайты вынуждали компьютеры жертв загрузить вредоносный троян, который впоследствии загрузил пять дополнительных файлов с российского сервера. Каждый раз, когда пользователи, чьи компьютеры были атакованы вредоносным ПО, пытались получить доступ к любой из финансовых компаний, они перенаправлялись на поддельный веб-сайт, который собирал их имена пользователей и пароли.

В 2015 году в Бразилии фармеры развернули фишинговые письма пользователям домашних маршрутизаторов UTStarcom и TR-Link, претендующим на роль представителя крупнейшей телекоммуникационной компании Бразилии. Электронные письма содержали вредоносные ссылки, при нажатии на которые жертва отправлялась на сервер, атаковавший их маршрутизатор.

Затем фармеры воспользовались подделкой межсайтовых запросов (CSRF) уязвимости домашних маршрутизаторов жертв для доступа к консолям администратора маршрутизаторов.

После того, как фармеры проникли в панель управления администратора маршрутизатора жертвы, они затем вводили имя пользователя и пароль по умолчанию. Если это сработало, они приступили к изменению настройки маршрутизатора на свой собственный DNS-сервер.

В 2016 году провайдер услуг по обеспечению безопасности веб-сайтов Sucuri обнаружил дело фарминга где хакеры перенаправляли жертв на веб-сайты, которые использовали FreeDNS от NameCheap, через измененные настройки DNS.

В 2019 году Венесуэла нуждалась в гуманитарной помощи. Президент Хуан Гуадио спросили тысячи добровольцев предоставить свои личные данные на веб-сайт, чтобы они получали инструкции о том, как помочь международным организациям в оказании помощи. Веб-сайт требовал, чтобы добровольцы указали информацию, включая свое полное имя, личный идентификатор, номер мобильного телефона и адрес. 

Через пять дней после запуска этого веб-сайта появился поддельный веб-сайт с очень похожим доменом и структурой. Два домена с разными владельцами были зарегистрированы в Венесуэле только на один IP-адрес, принадлежащий хакерам. Таким образом, независимо от того, получали ли добровольцы доступ к законному или поддельному доменному имени, их личная информация все равно попадала на поддельный веб-сайт.

Как узнать, стали ли вы жертвой фарминга?

Любая из следующих проблем может указывать на то, что вы стали жертвой фарминга:

  1. Пароли к вашему онлайн-банку были изменены без вашего участия.
  2. В вашей учетной записи Facebook есть сообщения или публикации, которые вы не создавали.
  3. На вашу кредитную карту были выставлены необъяснимые счета.
  4. На вашем компьютере установлены странные приложения, которые вы не скачивали и не устанавливали.
  5.  Ваши учетные записи в социальных сетях отправляли запросы о дружбе, которых вы не делали.

How To Защитите себя от фарминга

Изложенные ниже стратегии считаются лучшими практиками предотвращения фарминговых атак:

Используйте доверенный DNS-сервер

Рассмотрите возможность перехода на специализированную службу DNS, поскольку это может обеспечить дополнительную защиту от подмены DNS.

Дважды проверьте URL-адрес веб-сайта на наличие опечаток.

Фармеры изменяют название целевого веб-сайта, изменяя один или несколько символов. Так, например, www.Onebank.example.com станет www.0nebank.example.com. 

Переходите только по ссылкам, имеющим действительный сертификат SSL.

Сертификат SSL обеспечивает безопасность посещаемого веб-сайта. Вы узнаете, есть ли у веб-сайта сертификат SSL, если его ссылка начинается с HTTPS. Если вы видите, что веб-сайт запускается только с HTTP, нет никакой гарантии, что он безопасен, и вы не должны разглашать ему какую-либо личную информацию.

Включите многофакторную аутентификацию для своих онлайн-аккаунтов

Многофакторная аутентификация обеспечивает дополнительный уровень защиты на случай, если ваши данные для входа будут скомпрометированы. Примеры могут включать коды безопасности SMS, Google Authenticator, распознавание голоса и распознавание отпечатков пальцев.

Подписывать электронные письма с помощью S/MIME Сертификаты

S/MIME (Безопасное / Многоцелевое Расширение Почты Интернета) В электронных письмах используется цифровая подпись, которая гарантирует получателям, что письмо действительно пришло от вас.

Спасибо, что выбрали SSL.com! Если у вас возникнут вопросы, свяжитесь с нами по электронной почте по адресу Support@SSL.com, вызов 1-877-SSL-SECUREили просто нажмите на ссылку чата в правом нижнем углу этой страницы.

Команда поддержки SSL

Все сообщения

Похожие записи в блогах

Просмотреть все сообщения блога
что его цель LinkedIn Twitter Youtube Github

Что такое SSL /TLS?

Воспроизвести видео

Подпишитесь на рассылку новостей SSL.com

Не пропустите новые статьи и обновления с SSL.com

Мы будем рады вашим отзывам

Пройдите наш опрос и поделитесь с нами своими мыслями о своей недавней покупке.

Пройти опрос