Что такое фарминг? Определение, примеры и способы предотвращения.

Вы открываете браузер, внимательно вводите веб-адрес своего банка и нажимаете Enter. Страница выглядит точно так же. Тот же логотип. Тот же дизайн. То же поле для входа. Вы без раздумий вводите имя пользователя и пароль. Позже выясняется, что это был вовсе не ваш банк, и ваши учетные данные уже находятся в чужих руках.

Это фарминг. Это атака, которая перенаправляет ваш интернет-трафик ещё до загрузки страницы, незаметно отправляя вас на поддельный сайт, внешне идентичный настоящему. В отличие от фишинга, который пытается обманом заставить вас перейти по подозрительной ссылке, фарминг не зависит от очевидной ошибки. Вы можете ввести правильный адрес, избегать подозрительных писем, даже перепроверить URL-адрес и всё равно оказаться не на том месте, даже не осознавая этого.

Понимание принципов работы фарминга позволяет легче распознавать едва заметные предупреждающие знаки и принимать меры для защиты вашей информации до того, как она будет раскрыта.

Что такое фарминг?

Фарминг — это кибератака, при которой пользователи перенаправляются с легитимных веб-сайтов на мошеннические копии без каких-либо действий со стороны пользователя или обмана, кроме первоначального взлома инфраструктуры. Термин объединяет слова «фишинг» и «фарминг», отражая способ сбора учетных данных и конфиденциальной информации злоумышленниками в больших объемах. Вместо того чтобы обманывать отдельных пользователей, фарминг позволяет злоумышленникам получать информацию от множества пользователей одновременно, манипулируя системами, управляющими веб-трафиком.

Когда вы вводите веб-адрес, например, «mybank.com», ваше устройство не знает напрямую, где находится этот веб-сайт в интернете. Оно запрашивает у сервера системы доменных имен (DNS) преобразование удобочитаемого домена в числовой IP-адрес, который определяет местоположение реального сервера. Фарминг искажает этот процесс преобразования, подменяя легитимные IP-адреса адресами, контролируемыми злоумышленником.

Пользователи попадают на мошеннические сайты, используя собственную корректную навигацию, а не через подозрительные ссылки или предупреждения. Без тщательной проверки сертификатов безопасности и тонких деталей URL-адреса зачастую нет никаких визуальных признаков того, что что-то не так.

Как работает фарминг

Фарминг использует уязвимость в процессе разрешения DNS-запросов, лежащем в основе каждого посещения веб-сайта, будь то на уровне инфраструктуры или на отдельных устройствах.

Каждый веб-сайт имеет числовой IP-адрес (например, 203.0.113.42), который определяет местоположение его сервера. DNS-серверы поддерживают базы данных, которые преобразуют доменные имена (mybank.com) в IP-адреса. Когда вы вводите адрес, ваш браузер запрашивает DNS, получает IP-адрес и подключается к этому серверу.

Фарминговые атаки нарушают этот процесс в одной из двух точек: на DNS-серверах, обслуживающих множество пользователей, или в файлах hosts на отдельных устройствах, которые выполняют локальную трансляцию перед обращением к DNS-серверам.

Почему поддельные сайты выглядят правдоподобно

Фарминговые сайты созданы для обмана. Злоумышленники создают копии, которые копируют HTML, CSS, изображения и функциональность легитимных сайтов. Они используют те же цветовые схемы, макеты и элементы фирменного стиля. Формы входа принимают учетные данные, а иногда даже перенаправляют пользователей на настоящий сайт после получения их информации, чтобы жертвы не поняли, что произошло.

Виды фарминговых атак

Фарминговые атаки делятся на две основные категории в зависимости от места возникновения искажения DNS и количества затронутых пользователей.

Фарминг на основе DNS

Атаки с использованием DNS-запросов нацелены на общую инфраструктуру, обслуживающую множество пользователей, что делает их более опасным видом атак с точки зрения масштаба.

DNS-кэша

Злоумышленники используют уязвимости в программном обеспечении DNS-серверов для внедрения ложных записей в кэш сервера. После кэширования ложное преобразование сохраняется до истечения срока действия кэша или его ручной очистки, что потенциально может повлиять на работу всех пользователей этого DNS-сервера в течение нескольких часов или дней.

Этот тип атак известен с 1990-х годов, но уязвимости в инфраструктуре DNS продолжают обнаруживаться. Уязвимость Камински 2008 года выявила фундаментальные недостатки в DNS, позволяющие осуществлять отравление кэша в больших масштабах, что привело к срочному внедрению исправлений в масштабах всей отрасли. С тех пор были обнаружены аналогичные уязвимости.

Перехват DNS на уровне регистратора.

Злоумышленники, получившие доступ к регистраторам доменов (компаниям, управляющим регистрацией доменов), могут изменять официальные DNS-записи для легитимных доменов, перенаправляя mybank.com на контролируемые злоумышленниками серверы на авторитетном уровне, а не просто отравляя кэш.

Эта атака сложнее в исполнении, но затрагивает всех пользователей по всему миру, а не только тех, кто использует конкретный DNS-сервер. В громких случаях захвата доменов трафик крупных организаций перенаправлялся до того, как его обнаруживали и отменяли.

Перенаправление на уровне интернет-провайдера

Взлом интернет-провайдеров или злонамеренные интернет-провайдеры могут незаметно перенаправлять DNS-запросы, затрагивая всех клиентов без влияния на отдельные устройства или внешние DNS-серверы.

фарминг на основе файлов хоста

Атаки с использованием файлов hosts нацелены на отдельные устройства, а не на общую инфраструктуру, что ограничивает их масштабы, но делает их доступными для менее искушенных злоумышленников.

Модификация, вызванная вредоносным ПО.

Вирусы, трояны и другие вредоносные программы, заражающие компьютеры, часто включают в свою полезную нагрузку функцию изменения файла hosts. После внесения изменений зараженное устройство постоянно перенаправляет целевые домены на сайты, контролируемые злоумышленником, независимо от того, что говорят DNS-серверы.

Установка социальной инженерии

Пользователей можно обманом заставить запустить скрипты или программное обеспечение, напрямую изменяющее их файл hosts, с помощью вложений в электронные письма, загрузки поддельного программного обеспечения или заражения веб-сайтов вредоносным ПО. В отличие от отравления DNS, которое требует доступа к серверу, атаки на файл hosts могут быть осуществлены любым, кто сможет обманом заставить пользователя запустить вредоносный код.

Общие признаки фарминговой атаки

Фарминг разработан таким образом, чтобы быть незаметным, но определенные предупреждающие знаки указывают на то, что вас могли перенаправить на мошеннический сайт.

Проблемы с веб-сайтом и сертификатами безопасности:

• Отсутствует HTTPS-соединение или недействительный сертификат: В браузере отображается предупреждение типа «Ваше соединение не защищено», либо отсутствует значок замка, либо отображается ошибка. Сайты, занимающиеся фармингом, часто не проходят проверку сертификата.
• Сертификат выдан не тому юридическому лицу: Нажмите на значок замка и проверьте сертификат; он должен быть выдан организации, сайт которой вы посещаете, а не неизвестной организации.
• HTTP вместо HTTPS: Надежные банковские, финансовые сайты и сайты по управлению счетами всегда используют HTTPS; незашифрованный HTTP является серьезным предупреждающим знаком на сайтах, содержащих конфиденциальную информацию.

Нарушения в URL-адресах:

• Незначительные различия в доменных именах, которые вы не заметили при наборе текста: mybank-secure.com вместо mybank.com
• Неожиданные номера портов в адресной строке (mybank.com:8080)
• В URL-адресе вместо доменных имен используются IP-адреса.

Аномалии поведения:

• Привычные сайты внезапно стали выглядеть немного иначе: изменился дизайн, логотипы, некоторые элементы отсутствуют.
• Страницы входа, которые не соответствуют тому, что вы помните.
• Запросы информации, которую сайт обычно не запрашивает (контрольные вопросы на странице, где их обычно не задают).
• Страницы загружаются необычно медленно или ведут себя непредсказуемо.

Проблемы после входа в систему:

• Сразу после ввода учетных данных появляется запрос на повторный вход в систему.
• Необычная активность учетной записи или несанкционированные транзакции после посещения сайта.
• Уведомления об изменении пароля, которые вы не инициировали.

Технические предупреждающие знаки:

• Антивирусное программное обеспечение предупреждает об изменениях DNS или модификациях файла hosts.
• Предупреждения браузера об ошибках сертификатов на ранее доверенных сайтах.
• Инструменты сетевой безопасности, обнаруживающие аномалии DNS.

Риски и последствия фармацевтики

Успешные фишинговые атаки наносят серьезный и зачастую долгосрочный ущерб в финансовой, конфиденциальной и организационной сферах.

Финансовая кража

Кража банковских учетных данных с помощью фарминга позволяет получить прямой доступ к счетам. Злоумышленники входят в захваченные учетные записи, инициируют банковские переводы, опустошают сбережения и совершают покупки, прежде чем жертвы поймут, что что-то не так. Финансовое мошенничество, совершенное с помощью фарминга, может быть трудно преодолимым, особенно когда речь идет о международных банковских переводах.

Информация о платежных картах, полученная на поддельных сайтах электронной коммерции, позволяет совершать мошеннические покупки и клонировать карты, что приводит к постоянным убыткам до тех пор, пока карты не будут аннулированы и заменены.

Кража учетных данных и захват аккаунта

Украденные учетные данные для входа в систему редко ограничиваются одной учетной записью. Многие люди используют одни и те же пароли для нескольких сервисов, поэтому украденный банковский пароль может также открыть доступ к электронной почте, облачному хранилищу, социальным сетям и многому другому. Оттуда злоумышленники могут инициировать сброс паролей и шаг за шагом перемещаться по связанным учетным записям, превращая единичный взлом в гораздо более масштабный захват.

Кража личных данных

Личная информация, полученная с помощью фарминга, такая как имена, адреса, номера социального страхования и даты рождения, может быть использована для кражи личных данных. После раскрытия эти данные могут позволить преступникам открывать мошеннические счета, подавать ложные налоговые декларации или злоупотреблять кредитными средствами на имя жертвы. Финансовый ущерб может быть обнаружен и полностью устранен только через несколько лет.

Влияние на бизнес и организацию

Организации, ставшие жертвами фарминга, сталкиваются с операционными сбоями, утечкой данных клиентов и регуляторными последствиями. Успешный перехват DNS, затрагивающий собственный домен компании, может перенаправить всех клиентов на мошеннические сайты, подрывая доверие, даже если сама компания не пострадала. Для восстановления требуется время на распространение DNS-записей, что оставляет пользователей в неведении относительно того, какие сайты являются легитимными.

Долгосрочный ущерб репутации

Компании, чьи клиенты стали жертвами фарминга, даже если ответственность за это несут злоумышленники, а не сама компания, сталкиваются с репутационными последствиями. Восстановить доверие клиентов после инцидентов в сфере безопасности, особенно затрагивающих финансовые или персональные данные, очень сложно.

Почтовый спам Фишинг и фарминг часто используются вместе: фишинговые письма перенаправляют пользователей на URL-адреса, скомпрометированные фармингом, комбинируя различные механизмы доставки для достижения максимального эффекта.

Как защитить себя от фармацевтики

Для защиты от фарминга необходимы технические меры предосторожности, поведенческие привычки и организационные методы обеспечения безопасности.

Используйте надежные DNS-сервисы.

Стандартные DNS-серверы, предоставляемые интернет-провайдерами, обеспечивают минимальный уровень безопасности. Переход на DNS-провайдеров, ориентированных на безопасность и использующих расширения безопасности DNS (DNSSEC) и зашифрованные протоколы DNS, снижает риск отравления. DNSSEC подписывает DNS-записи цифровой подписью, что значительно затрудняет злоумышленникам внедрение ложных записей.

Перед вводом учетных данных проверьте сертификаты HTTPS.

Перед входом на любой сайт, содержащий конфиденциальную информацию, например, банковские счета, электронную почту или финансовые сервисы, проверьте наличие HTTPS-сертификата:

• Убедитесь, что значок замка присутствует и не отображает никаких предупреждений.
• Нажмите на значок замка и убедитесь, что сертификат выдан правильной организации.
• Убедитесь, что сертификат действителен и не просрочен.

Никогда не вводите учетные данные для входа на страницы, отображающие ошибки сертификата, даже если сайт выглядит корректно.

Регулярно обновляйте устройства и программное обеспечение.

Обновления безопасности для операционных систем, браузеров и антивирусного программного обеспечения устраняют известные уязвимости, которые используют вредоносные программы, распространяющие фарминг, для изменения файлов хоста или перехвата DNS-запросов. Включение автоматических обновлений гарантирует своевременное применение исправлений без необходимости ручного контроля.

Используйте надежное антивирусное и антивредоносное программное обеспечение

Программное обеспечение для обеспечения безопасности обнаруживает изменения в файлах хоста, подозрительные изменения DNS и вредоносные программы, позволяющие осуществлять фишинговые атаки на основе хоста. Защита в режиме реального времени, отслеживающая изменения в системе, выявляет модификации по мере их возникновения, а не после того, как ущерб уже нанесен.

Включить двухфакторную аутентификацию (2FA)

Даже если фарминг перехватит ваши учетные данные, двухфакторная аутентификация (2FA) не позволит злоумышленникам получить доступ к учетным записям без второго фактора проверки. Особенно эффективны одноразовые пароли (TOTP) и аппаратные ключи безопасности, поскольку злоумышленники, перехватившие учетные данные на фарминговом сайте, не смогут их повторно использовать.

Мониторинг настроек DNS маршрутизатора

Домашние маршрутизаторы часто становятся мишенью для фарминга. Вредоносные программы или злоумышленники, получившие доступ к учетным данным администратора маршрутизатора, могут изменить настройки DNS для перенаправления всего трафика в доме. Периодически проверяйте конфигурацию DNS маршрутизатора, чтобы убедиться, что она указывает на вашего предполагаемого поставщика DNS, а не на серверы, контролируемые злоумышленниками.

Проявляйте осторожность при проверке URL-адресов.

Внимательно проверяйте URL-адреса перед вводом учетных данных. Особенно после перехода по ссылкам из любых источников. Обращайте внимание на незначительные различия в доменных именах, убедитесь, что используете HTTPS, и проверьте сертификат перед входом в систему.

Внедрить аутентификацию по электронной почте.

Правильная настройка записей SPF. DMARC помогает предотвратить атаки по электронной почте, которые часто сопровождают фишинговые кампании, уменьшая количество фишинговых писем, направляющих пользователей на сайты, скомпрометированные фишингом. Совместная защита почтовой и веб-инфраструктуры устраняет наиболее часто используемые злоумышленниками векторы атак.

Сохранение очистить списки адресов электронной почты снижает организационные риски от возвращенные электронные письма а также недействительные контакты, которые злоумышленники могут использовать в разведывательных целях перед запуском целенаправленных фишинговых кампаний.

Подводя итог

Фарминг перенаправляет пользователей с легитимных веб-сайтов на мошеннические копии путем повреждения DNS-систем или манипулирования файлами hosts устройства, не требуя при этом никаких подозрительных ссылок или очевидного обмана. Пользователи, вводящие правильные адреса, могут попасть на идеально скопированные поддельные сайты и потерять учетные данные, финансовые данные и личную информацию, даже не подозревая, что что-то пошло не так.

Для защиты необходимы многоуровневые механизмы: защищенные DNS-сервисы, реализующие DNSSEC, тщательная проверка HTTPS-сертификатов перед вводом учетных данных, обновленные устройства и программное обеспечение безопасности, двухфакторная аутентификация, сохраняющая свою эффективность даже при перехвате паролей, и безопасность маршрутизатора, предотвращающая изменение DNS на сетевом уровне.

Переключите настройки DNS вашего устройства и маршрутизатора на поставщика, ориентированного на безопасность и поддерживающего DNSSEC и зашифрованные DNS-запросы. Затем включите двухфакторную аутентификацию для всех финансовых, почтовых и конфиденциальных учетных записей, гарантируя, что одних только перехваченных учетных данных будет недостаточно для завершения злоумышленниками своей работы.

Обеспечьте надежную защиту электронной почты наряду с безопасностью веб-сайта. Используйте ДеБаунс Это позволяет поддерживать чистоту списков рассылки и работоспособность инфраструктуры отправки, снижая риск фишинга и спама, часто сопровождающих кампании фарминга. Безопасная среда электронной почты, обеспечивающая доставку писем проверенным получателям, является частью той же системы безопасности, которая защищает от веб-атак, таких как фарминг.