Фарминг — это кибератака, которая перенаправляет пользователей с реальных веб-сайтов на поддельные. Таким образом злоумышленники пытаются украсть чувствительные данные, например пароли и данные карты, часто используя при этом фишинговые письма для компрометации компьютеров или маршрутизаторов и перенаправления веб-трафика на поддельные сайты.
Содержание
Как работает фарминг
Фарминговые атаки происходят, когда киберпреступники манипулируют DNS или компрометируют устройство пользователя, чтобы перенаправить его на мошеннический веб-сайт. DNS — это система, которая преобразует доменные имена (например, www.example.com) в IP-адреса, чтобы в браузере открывался необходимый сайт. В ходе фарминговой атаки злоумышленники вмешиваются в этот процесс, чтобы перенаправить пользователей на вредоносные веб-сайты, которые имитируют настоящие.
Фарминговые атаки обычно происходят в двух формах:
Местный фарминг
Злоумышленники заражают устройство пользователя вредоносным ПО, которое изменяет локальные настройки DNS. Изменяя файл хоста на устройстве, злоумышленник может перенаправить пользователя на мошеннический сайт, даже если введен правильный URL-адрес.
Фарминг с использованием DNS
Злоумышленники атакуют DNS-серверы, чтобы они перенаправляли трафик от тысяч пользователей на вредоносные веб-сайты без прямой компрометации отдельных устройств.
Опасность фарминговых атак в их незаметности, поскольку пользователи часто не понимают, что были перенаправлены на мошеннический сайт. Поддельные веб-сайты выглядят как настоящие, поэтому пользователи вводят конфиденциальную информацию, которая затем попадает к злоумышленникам.
Фарминг и фишинг
Фарминг часто путают с фишингом, но это принципиально разные типы кибератак. При фишинге злоумышленники с помощью социальной инженерии обманным путем заставляют пользователей предоставлять личную информацию через электронные письма, сообщения или сайты, а при фарминге они незаметно перенаправляют пользователей на мошеннические сайты, не взаимодействуя с ними напрмую.
При фишинговой атаке пользователь получает электронное письмо с просьбой перейти по ссылке и ввести учетные данные. При фарминге подобные действия не требуются. Пользователь может правильно ввести URL-адрес своего банка, но все равно будет перенаправлен на мошеннический сайт, неотличимый от реального. Это затрудняет обнаружение фарминга, поскольку жертвы часто не знают, что были скомпрометированы.
Реальные примеры фарминга
Примеры крупных фарминговых атак демонстрируют значительные риски, связанные с этими киберугрозами:
Фарминговая атака в 2007 г. на pharming.org
Злоумышленники атаковали большую группу интернет-пользователей, отравив крупный DNS-сервер. Тысячи пользователей были перенаправлены на поддельные банковские сайты, где их учетные данные были украдены. Атака выявила слабые места в безопасности DNS, что привело к более тщательному анализу уязвимостей DNS.
Фарминговая атака в Бразилии в 2015 году
Злоумышленники взломали маршрутизаторы домашних пользователей в Бразилии, перенаправив их на поддельные версии популярных банковских сайтов. Эта атака была направлена на настройки DNS маршрутизатора, и в результате множество жертв, ничего не подозревая, передали банковские учетные данные злоумышленникам.
Фарминг с использованием DNS в 2019 году
Злоумышленники атаковали малый бизнес, отравив общедоступные DNS-серверы. Сотрудники, входящие на сайты и почтовые сервисы компании, перенаправлялись на мошеннические версии этих сайтов, что позволило злоумышленникам украсть учетные данные и конфиденциальную деловую информацию. Эта атака показала, какой ущерб может нанести фарминг с использованием DNS компаниям любого размера.
Признаки фарминга
- Заметить фарминг сложно, но есть несколько тревожных признаков, на которые вы можете обратить внимание:
Необычная переадресация
Если вы вводите знакомый URL-адрес, но переходите на другой сайт, это может быть признаком фарминговой атаки.
Измененные URL-адреса
Фарминговые сайты имитируют настоящие, но злоумышленники часто вносят незначительные изменения в URL-адрес, например, добавляют символы или неправильно пишут слова.
Отсутствующие сертификаты HTTPS или SSL
Настоящие сайты, особенно те, которые обрабатывают чувствительные данные, такие как банковские сведения, используют HTTPS-соединения. Если вы заметите, что на знакомом веб-сайте внезапно отсутствует HTTPS или значок замка, возможно, это мошеннический сайт.
Странные всплывающие окна или подсказки
На некоторых фарминговых сайтах могут появляться необычные всплывающие окна или запросы о предоставлении персональных данных, которые настоящий сайт не запросил бы.
Обращайте внимание на этих признаки, чтобы не стать жертвой фарминга.
Риски, связанные с фармингом
- Фарминг представляет собой несколько серьезных рисков как для физических лиц, так и для предприятий:
Кража личных данных
Похищение чувствительной информации, например учетных данных, номеров кредитных карт или номеров социального страхования, позволяет злоумышленникам красть личности и реализовывать другие мошеннические схемы.
Финансовое мошенничество
Злоумышленники часто используют фарминг на банковских сайтах и в платежных сервисах для незаметной кражи средств со счетов жертв.
Утечка данных
Фарминговые атаки могут привести к серьезным последствиям для бизнеса, включая обширные утечки данных —информации о клиентах, коммерческих тайн и других чувствительных данных.
Репутационный ущерб
От фарминговой атаки может серьезно пострадать репутация компании, особенно если данные клиентов скомпрометированы. Такие инциденты могут привести к потере доверия, судебным искам и значительным финансовым потерям.
Предотвращение фарминговых атак
- К счастью, физические лица и организации могут принять меры для защиты от фарминга:
Обновление антивирусных программ
Регулярно обновляемое программное обеспечение для безопасности помогает обнаруживать и удалять вредоносное ПО, которое меняет настройки DNS для фарминговой атаки.
Использование безопасных сервисов DNS
Использование надежных и безопасных сервисов DNS, которые предлагают DNSSEC (DNS Security Extensions), позволяет предотвратить несанкционированные изменения в записях DNS и блокировать попытки фарминга на уровне DNS.
Включение двухфакторной аутентификации (2FA)
2FA добавляет дополнительный уровень защиты онлайн-аккаунтов, что затрудняет доступ злоумышленников к чувствительной информации, даже если они украли учетные данные.
Проверка сертификатов SSL
Всегда следите за наличием у сайтов, обрабатывающих чувствительные данные, действительных SSL-сертификатов (ищите HTTPS в URL-адресе и символ замка). SSL-сертификаты обеспечивают безопасное зашифрованное соединение между вашим устройством и веб-сайтом.
Регулярный мониторинг активности в сети
Компании должны внедрить инструменты мониторинга сети для обнаружения необычных изменений или перенаправлений DNS, которые могут указывать на фарминг.
Роль решений по кибербезопасности
- Современные решения по кибербезопасности играют важную роль в предотвращении фарминга:
Фильтрация DNS
Инструменты фильтрации DNS блокируют доступ к известным вредоносным сайтам путем анализа запросов DNS в режиме реального времени. Таким образом можно предотвратить перенаправление пользователей на мошеннические сайты, даже если злоумышленники изменили настройки DNS.
Межсетевые экраны
Надежные межсетевые экраны помогают отслеживать и контролировать входящий и исходящий трафик, останавливая фарминговые атаки до того, как они достигнут пользователей.
Инструменты защиты конечных точек
Эти инструменты обеспечивают комплексную защиту для отдельных устройств путем выявления и устранения таких угроз, как вредоносное ПО, которое может использоваться для изменения локальных настроек DNS с целью фарминга.
Внедрение модели нулевого доверия
Если по умолчанию не доверять ни одному пользователю и ни одному устройству, можно снизить риски, связанные с фармингом. Благодаря постоянной проверке пользователей и устройств модель нулевого доверия (Zero Trust) дает доступ к сетевым ресурсам только законному трафику.
Решение Trend Micro для защиты электронной почты
Trend Vision One™ Email and Collaboration Security обеспечивает лучшую в отрасли защиту от продвинутых угроз, направленных на платформы электронной почты и совместной работы. Решение противодействует фишингу, компрометации деловой электронной почты (BEC), программам-вымогателям и другим целевым атакам с помощью обнаружения угроз на базе ИИ и динамического анализа в песочнице.
Проверяя подлинность отправителей, сканируя URL-адреса и вложения в реальном времени и используя методы защиты от угроз разных поколений, оно обеспечивает полную прозрачность и контроль по облачным каналам связи.