什么是 Pharming 攻击?
“Pharming”一词来自两个概念:网络钓鱼和农业。 它是一种社会工程网络攻击,它操纵网站的流量以获取用户的私人信息或在他们的计算机上安装恶意软件。 为此,药剂师创建了一个虚假网站,该网站是目标网站的副本,并使用多种方法将用户重定向到虚假网站。
网络犯罪分子通常会创建银行和电子商务网站的虚假副本,以收集用户名、密码、社会保险号和信用卡/借记卡详细信息。
Pharming是如何进行的?
Pharming 利用了互联网浏览的基础——特别是,构成互联网地址的一系列字母 (xyz.example.com),需要通过DNS(域名系统)服务器转换成IP地址才能进行连接。
Pharming 是通过更改受害者系统上的主机设置或操纵 DNS 服务器来完成的。 这是通过两种方式实现的:
导致对本地主机文件的更改
本地主机文件是指保存在用户本地计算机上的 IP 地址和域名目录。 例如,在 macOS 和 Linux 系统上,此文件位于 /etc/hosts。 当网络犯罪分子入侵受害者的系统并更改主机文件以在他们每次尝试访问合法网站时将个人重定向到虚假网站时,就会发生欺骗。 网络犯罪分子可能非常擅长使虚假网站看起来与真实网站非常相似。 因此,受害者在不知情的情况下被发现并向诈骗者泄露了他们的登录凭据或财务信息。
网络攻击者通常使用网络钓鱼技术将恶意软件发送到受害者的计算机,从而导致其主机文件发生更改。 药剂师可以部署包含恶意代码的电子邮件,当受害者点击它时,恶意软件就会下载并安装在他们的计算机上。
域名系统 (DNS) 欺骗
药剂师用来重定向流量的另一种主要方法是利用 DNS 服务器的弱点并欺骗其对 DNS 请求的响应。 结果是受害者被转移到由药剂师控制的虚假网站,即使在浏览器的地址栏中可以看到正确的地址。 虚假网站随后被用来从受害者那里获取财务细节和机密信息,并且还可能在受害者的系统上安装病毒。
使 DNS 欺骗比主机文件更改更具威胁性的原因在于,它不必依赖受害者的行为,并且可能会产生更糟糕的后果,因为 DNS 服务器会响应许多用户的请求,并且可能会用药剂师的更改“毒害”其他 DNS 服务器到 DNS 记录。 此外,通过 DNS 欺骗,受害者的计算机可能没有病毒,但仍可能受到毒贩的攻击。 即使主机采取手动输入网址或定期使用受信任的书签等预防措施,这些仍然不足以对抗 DNS 欺骗,因为恶意重定向发生在计算机发送连接请求之后。
当药剂师窃取受害者的财务和个人详细信息时,他们可能会将其用于欺诈或在暗网上出售。
Pharming 与网络钓鱼有何不同?
尽管欺诈和网络钓鱼之间的预期结果相似,但使用的方法不同。 Pharming 更倾向于攻击 DNS 系统,而网络钓鱼更侧重于对用户的操纵。 尽管如此,正如前面所解释的,网络钓鱼可能在网络欺诈的执行中发挥重要作用。
網絡釣魚
就像我们一样 前面提到的,网络钓鱼是一种网络欺诈,攻击者部署电子邮件,伪装成来自银行和信用卡公司等值得信赖的组织。 这些电子邮件带有恶意链接,点击后会将受害者带到虚假网站。 由于虚假网站看起来与合法网站看似相似,因此受害者会被诱骗输入其登录凭据、卡详细信息和其他敏感信息。
域欺骗
Pharming 可以被视为一种网络钓鱼,减去诱惑因素。 这意味着受害者不需要点击恶意链接将他/她带到虚假网站。 相反,受害者会立即被伪造的 DNS 记录或主机文件条目发送到那里。 因此,Pharming 可能被定性为“没有诱饵的网络钓鱼”。
Pharming 的历史案例
全球范围内多次使用 Pharming 攻击个人受害者和组织:
2007年, 至少50家金融机构 在美国、欧洲和亚太地区都受到了药剂师的攻击。 他们的策略是为每个目标制作一个假网站,然后在每个目标上放置恶意代码。 虚假网站强迫受害者的计算机下载特洛伊木马恶意软件,随后从俄罗斯服务器下载了另外五个文件。 每次计算机受到恶意软件攻击的用户尝试访问任何一家金融公司时,他们都会被重定向到获取用户名和密码的虚假网站。
2015 年,在巴西, 骗子部署了网络钓鱼电子邮件 UTStarcom 和 TR-Link 家用路由器的用户,假装代表巴西最大的电信公司。 这些电子邮件包含恶意链接,点击后会将受害者发送到攻击其路由器的服务器。
然后,药剂师利用跨站点请求伪造(CSRF) 受害者家庭路由器中访问路由器管理员控制台的漏洞。
一旦药剂师渗透到受害者路由器的管理控制面板,他们就会输入默认的用户名和密码。 如果这有效,他们继续将路由器的设置更改为他们自己的 DNS 服务器。
2016年,网站安全服务商Sucuri发现了一个 医药案件 黑客通过更改 DNS 设置将受害者重定向到使用 NameCheap 的 FreeDNS 的网站。
2019年,委内瑞拉急需人道主义援助。 胡安·瓜迪奥总统 问了成千上万的志愿者 将他们的个人详细信息提交到网站,以便他们收到有关如何帮助国际组织提供援助的说明。 该网站要求志愿者提供信息,包括他们的全名、个人 ID、手机号码和地址。
该网站上线五天后,出现了一个域名和结构非常相似的虚假网站。 这两个拥有不同所有者的域名在委内瑞拉注册到只有一个属于黑客的 IP 地址。 因此,无论志愿者访问的是合法域名还是假域名,他们的个人信息最终还是被引入了假网站。
您如何知道您是否是 Pharming 的受害者?
以下任何问题都可能表明您已成为网络欺诈的受害者:
- 在您未启动操作的情况下,您的网上银行密码已更改。
- 您的 Facebook 帐户中存在并非您创建的消息或帖子。
- 不明原因的帐单已记入您的信用卡。
- 您的计算机上安装了您既未下载也未安装的奇怪应用程序。
- 您的社交媒体帐户发送了您未提出的好友请求。
How To 保护自己免受 Pharming
下面概述的策略被认为是防止 Pharming 攻击的最佳实践:
使用受信任的 DNS 服务器
考虑切换到专门的 DNS 服务,因为这可以提供更多的 DNS 欺骗保护。
仔细检查网站 URL 是否有印刷错误
药剂师通过更改一个或多个字符来修改目标网站的名称。 因此,例如 www.Onebank.example.com 将变为 www.0nebank.example.com。
仅单击具有合法 SSL 证书的链接
SSL 证书可确保您访问的网站是安全的。 如果网站的链接以 HTTPS 开头,您就会知道该网站是否有 SSL 证书。 如果您看到该网站仅以 HTTP 开头,则无法保证它是安全的,您不应向其透露任何私人信息。
为您的在线帐户启用多重身份验证
多因素身份验证提供了额外的保护层,以防您的登录详细信息受到损害。 示例包括 SMS 安全代码、Google 身份验证器、语音识别和指纹感应。
签署电子邮件 S/MIME 证书
S/MIME (安全/多功能Internet邮件扩展) 电子邮件使用数字签名向收件人保证电子邮件确实来自您。
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。
