Что такое фарминг и как от него защититься

Фарминг: определение и описание

Фарминг (Pharming) — это гибрид слов phishing «фишинг» и farming «занятие сельским хозяйством». Это похожий на фишинг тип онлайн-мошенничества, когда злоумышленники создают поддельные веб-сайты и перенаправляют туда трафик легального веб-сайта, чтобы заполучить конфиденциальную информацию пользователей.

Что такое фарминг?

Фарминг — это разновидность кибератак, основанных на методах социальной инженерии. В ходе таких атак преступники перенаправляют пользователей, пытающихся открыть какой-либо веб-сайт, на поддельную страницу. С помощью таких поддельных веб-страниц злоумышленники похищают идентификационные данные пользователей, их логины и пароли, паспортные данные, номера счетов и другую информацию. Кроме того, они могут попытаться установить вредоносное ПО на компьютер пользователя. Фарминговым атакам часто подвергаются предприятия финансового сектора, такие как банки, системы онлайн-платежей, а также интернет-магазины. Конечной целью злоумышленников, как правило, является кража персональных данных.

Как происходит фарминг?

В основе фарминга лежит базовый принцип работы онлайн-поиска, а именно: трансформация последовательности символов, составляющей URL-адрес веб-сайта (например, www.google.com), в IP-адрес. Эта трансформация необходима для осуществления соединения, и отвечают за нее DNS-серверы (серверы доменных имен).

Фарминговая атака может быть осуществлена двумя способами.

1. Во-первых, хакер может отправить пользователю по электронной почте ссылку на вредоносный код, в результате чего на компьютер пользователя загружается вирус или троянская программа. С помощью этого вредоносного ПО вносятся изменения в файл hosts на компьютере, так чтобы трафик пользователя перенаправлялся на поддельный сайт. При таком способе фарминга (фарминг на основе вредоносного ПО), даже если пользователь вводит правильный URL-адрес, поврежденный файл hosts все равно перенаправляет его на мошеннический сайт.
2. Во-вторых, злоумышленник может использовать тактику, известную как отравление кеша DNS. При такой тактике изменения вносятся в базу данных сервера доменных имен (DNS). В результате многочисленные посетители DNS-сервера вместо легитимных веб-сайтов незаметно перенаправляются на поддельные. С помощью поддельных веб-сайтов злоумышленники могут устанавливать на компьютеры пользователей вирусы или троянские программы или похищать их персональные и банковские данные для последующего использования в мошеннических целях.

Хотя атаку на DNS-серверы сложнее осуществить, поскольку они находятся в защищенных сетях операторов связи, отравление кеша DNS приносит злоумышленникам значительную выгоду, поскольку охватывает большое количество потенциальных жертв. Отравление кеша может распространиться и на другие DNS-серверы. При обращении какого-либо интернет-провайдера к зараженному DNS-серверу поврежденная DNS-запись может попасть в кеш серверов провайдера и уже оттуда распространяться на другие роутеры и устройства.

Опасность фарминговых атак заключается в том, что они требуют минимальных действий со стороны потенциальной жертвы. В случае с отравлением кеша DNS пользователь может иметь полностью очищенный от вредоносного ПО компьютер и все равно стать жертвой атаки. Даже если он принимает все меры предосторожности: вручную вводит URL-адрес, переходит только по доверенным ссылкам, этого все равно недостаточно, потому что перенаправление происходит уже после того, как компьютер посылает запрос на соединение.

Как только злоумышленники получают доступ к персональным данным жертвы, они либо сами используют их в мошеннических целях, либо продают другим злоумышленникам в даркнете.

Чем отличается фарминг от фишинга?

Фишинг и фарминг —похожие виды мошенничества, но между ними есть разница.

Фишинг — это вид мошенничества, при котором злоумышленники рассылают электронные письма от имени известных организаций. Такие письма содержат ссылку для перехода на поддельный сайт, где ничего не подозревающий человек вводит свои персональные данные: например, имя пользователя и пароль. Как только мошенники получают эту информацию, они могут использовать ее в преступных целях.

Фарминг — это разновидность фишинга. Но в этом случае отсутствует элемент заманивания человека на поддельный сайт. Фарминг происходит в два этапа. Сначала злоумышленники устанавливают вредоносный код на компьютер или сервер пользователя. Затем с помощью этого кода пользователя перенаправляют на поддельный веб-сайт, где обманом вынуждают ввести персональные данные. В случае фарминга человеку не нужно самому нажимать на ссылку, ведущую на мошеннический сайт. Переадресация происходит автоматически, и злоумышленники получают возможность завладеть всеми личными данными, которые жертва мошенничества оставит на сайте.

При фишинге злоумышленники с помощью мошеннических писем, SMS или сообщений в соцсетях выуживают у жертвы банковскую информацию. Фарминг же не требует наживки. Поэтому его так и называют — фишинг без наживки. Фарминг более опасен, чем фишинг, поскольку охватывает большое число компьютеров, при этом от их владельцев не требуется никаких действий для запуска атаки. При этом фарминг менее распространен, чем фишинг, поскольку требует от злоумышленников гораздо больших трудозатрат.

Примеры фарминга

Крупная фарминговая атака произошла в 2019 году в Венесуэле. В том году президент Венесуэлы обратился с публичным призывом к гражданам присоединиться к новому движению Voluntarios por Venezuela («Волонтеры для Венесуэлы»). Целью движения было налаживание связей волонтеров с международными организациями, предоставляющими гуманитарную помощь стране. Волонтерам предлагалось зарегистрироваться на веб-сайте, указав свое полное имя, номер удостоверения личности, номер телефона, адрес и другие персональные данные.

Через неделю после запуска официального веб-сайта в сети появился еще один сайт. Он был практически идентичен первому, с похожим доменным именем и структурой. Но при этом он был подделкой. На территории Венесуэлы адреса и настоящего, и поддельного сайтов были привязаны к одному и тому же IP-адресу, принадлежавшему владельцу поддельного домена. Это означало, что независимо от того, заходил ли пользователь на настоящий или поддельный сайт, его данные в результате оказывались на поддельном. При этом при входе из других стран эти сайты вели на разные IP-адреса.

В 2015 году в Бразилии мошенники разослали фишинговые письма владельцам домашних роутеров UTStarcom и TR-Link, выдавая себя за сотрудников крупнейшей бразильской телекоммуникационной компании. По ссылкам, содержащимся в этих письмах, загружалось вредоносное ПО, с помощью которого злоумышленники использовали уязвимости роутеров и изменяли их настройки DNS.

Более давняя, но одна из самых масштабных и известных фарминговых атак произошла в 2007 году. Ее мишенью оказались 50 с лишним финансовых компаний в США, Европе и Азии. Злоумышленники создали поддельные веб-страницы с вредоносным кодом для каждой из этих компаний. Эти веб-страницы устанавливали троянскую программу на компьютеры клиентов. В дальнейшем этот троянец собирал учетные данные всех клиентов этих финансовых компаний. Точное число пострадавших не было установлено, но атака длилась более трех дней.

Признаки фарминга. Как распознать фарминг

Вот некоторые признаки того, что вы стали жертвой фарминга.

1. Платежные операции по банковским картам или через системы онлайн-платежей, которые вы не совершали
2. Посты или сообщения в социальных сетях, которые вы не размещали
3. Запросы на дружбу или переписку в соцсетях, которые вы не отправляли
4. Запросы на изменение пароля в любом из ваших онлайн-аккаунтов
5. Появление на устройстве программ, которые вы не загружали и не устанавливали

Что делать, если вам кажется, что вы стали жертвой фарминговой атаки или вредоносного ПО.

• Очистите кеш DNS
• Запустите сканирование с помощью антивирусного ПО, чтобы удалить вредоносные программы и убедиться, что ваше устройство в безопасности
• Свяжитесь с вашим интернет-провайдером, если вам кажется, что ваш сервер может быть заражен вредоносным ПО
• Смените пароли ко всем онлайн-аккаунтам
• Следуйте инструкциям вашего онлайн-банка, почтового провайдера и социальных медиаплатформ о порядке обращения в случае мошенничества

Как защититься от фарминга

1. Выбирайте надежного интернет-провайдера. Хороший провайдер по умолчанию блокирует подозрительные переадресации. Это гарантирует, что вы не попадете на фарминговый веб-сайт.
2. Используйте надежный DNS-сервер. В большинстве случаев люди используют DNS-сервер, принадлежащий их интернет-провайдеру. Однако можно воспользоваться специализированными сервисами DNS, более защищенными от угрозы отравления кеша.
3. Переходите только по тем ссылкам, где URL-адрес начинается с https://, а не с http://. Буква «s» в URL-адресе означает, что сайт защищен и имеет действующий сертификат безопасности. Перейдя на сайт, проверьте наличие значка в виде замка в адресной строке. Это еще один знак того, что сайт защищен.
4. Не переходите по ссылкам и не открывайте вложения в письмах из неизвестных источников. Хотя от отравления кеша DNS защититься невозможно, но вы можете обезопасить себя от вредоносного ПО, при помощи которого происходит фарминг. Не переходите по ссылкам и не открывайте вложения, которые содержатся в подозрительных письмах или сообщениях.
5. Проверяйте правильность написания URL-адресов. Мошенники могут идти на различные уловки, чтобы обмануть пользователей: например, меняют местами буквы в доменных именах или добавляют лишние. Внимательно рассмотрите URL-адрес сайта и, если видите ошибку, остерегайтесь этого сайта.
6. Избегайте подозрительно выглядящих веб-сайтов в целом. Помимо правильности URL-адреса, следует обращать внимание на наличие орфографических или грамматических ошибок, непривычных шрифтов или цветовых решений, на отсутствие важного контента. Например, многие злоумышленники не утруждают себя размещением на своих страницах политики конфиденциальности или правил и условий. Перед тем как ввести какую-либо информацию, убедитесь, что на сайте все соответствует вашим ожиданиям.
7. Избегайте предложений, которые слишком хороши, чтобы быть правдой. Онлайн-мошенники иногда заманивают потенциальную жертву выгодным предложением, например гораздо более низкими ценами, чем у конкурентов. Если предложение выглядит неправдоподобно выгодным, проявите осторожность.
8. Включите двухфакторную аутентификацию везде, где это возможно. Двухфакторную аутентификацию предлагают многие платформы, и следует ею пользоваться везде, где это возможно. Эта функция защищает аккаунты от взлома. Даже если злоумышленники похитили ваши учетные данные с помощью фарминга, они все равно не смогут получить доступ к вашему аккаунту.
9. Поменяйте заводские настройки Wi-Fi-роутера. Замена установленного по умолчанию пароля к домашней сети на более надежный поможет защититься от отравления кеша DNS. Кроме того, необходимо регулярно обновлять ПО вашего роутера. Если роутер не поддерживает автоматическое обновление ПО, следует задуматься о замене его на модель, где такая опция есть в наличии.
10. Используйте надежное защитное ПО и регулярно обновляйте его. Решение Kaspersky Total Security защищает от взлома и заражения вредоносным ПО. Оно круглосуточно обеспечивает безопасность устройств и данных.

Лучший способ защиты от киберпреступлений, таких как фарминг и фишинг, — установить антивирусную защиту и следовать новейшим рекомендациям в области кибербезопасности.