Pharming [a] - это кибератака, направленная на перенаправление трафика с веб - сайта на другой поддельный сайт. Фарминг может проводиться либо путем изменения файла хостов на компьютере жертвы или по эксплуатации о наличии уязвимости в DNS сервер программного обеспечения . DNS-серверы - это компьютеры, отвечающие за преобразование имен Интернета в их реальные IP-адреса . Взломанные DNS-серверы иногда называют «отравленными» . Фарминг требует незащищенного доступа к компьютеру, например, изменение домашнего компьютера клиента, а не корпоративного бизнес-сервера.
Термин «фарминг» - это неологизм, основанный на словах «сельское хозяйство» и « фишинг ». Фишинг - это тип атаки социальной инженерии для получения учетных данных для доступа , таких как имена пользователей и пароли . В последние годы как фарминг, так и фишинг использовались для получения информации для кражи личных данных в Интернете . Фарминг стал серьезной проблемой для предприятий, размещающих сайты электронной коммерции и онлайн-банкинга . Для защиты от этой серьезной угрозы требуются сложные меры, известные как антифарминг . Антивирусное программное обеспечение и программное обеспечение для удаления шпионского ПО не могут защитить от фарминга.
Фарминг уязвимости дома и на работе
В то время как злонамеренное разрешение доменного имени может быть результатом компрометации большого числа доверенных узлов при поиске имени, наиболее уязвимые точки компрометации находятся рядом с концами Интернета. Например, неправильные записи в файле hosts на настольном компьютере , который позволяет обойти поиск имени с его собственным локальным именем для сопоставления IP-адреса, являются популярной целью для вредоносных программ. После перезаписи законный запрос на конфиденциальный веб-сайт может направить пользователя к поддельной копии. Персональные компьютеры, такие как настольные компьютеры и ноутбуки , часто являются лучшими целями для фарминга, потому что они получают более слабое администрирование, чем большинство Интернет-серверов.
Более тревожным, чем атаки на файл хоста, является компрометация маршрутизатора локальной сети . Поскольку большинство маршрутизаторов указывают доверенный DNS клиентам, когда они присоединяются к сети, дезинформация здесь испортит поиск по всей локальной сети . В отличие от перезаписи файла хоста, взлом локального маршрутизатора трудно обнаружить. Маршрутизаторы могут передавать неверную информацию DNS двумя способами: неправильная конфигурация существующих настроек или полная перезапись встроенного программного обеспечения (также известного как прошивка ). Многие маршрутизаторы позволяют администратору указать конкретный доверенный DNS вместо предложенного вышестоящим узлом (например, ISP ). Злоумышленник может указать управляемый им DNS-сервер вместо легитимного. Все последующие разрешения будут проходить через плохой сервер.
В качестве альтернативы, многие маршрутизаторы имеют возможность заменить свое микропрограммное обеспечение (т. Е. Внутреннее программное обеспечение, которое выполняет более сложные службы устройства). Как и вредоносное ПО в настольных системах, замену прошивки бывает очень сложно обнаружить. Скрытая реализация будет вести себя так же, как прошивка производителя; страница администрирования будет выглядеть так же, настройки будут отображаться правильно и т. д. Такой подход, если он правильно выполнен, может затруднить обнаружение реконфигурацией для сетевых администраторов, если устройство выглядит настроенным так, как предполагали администраторы, но фактически перенаправляет трафик DNS. на заднем фоне. Фарминг - это лишь одна из многих атак, которые может провести вредоносная прошивка; другие включают подслушивание, активные атаки посредника и ведение журнала трафика. Как и при неправильной настройке, этим действиям подвержена вся локальная сеть.
Сами по себе эти фарминговые подходы представляют только академический интерес. Однако повсеместное распространение беспроводных маршрутизаторов потребительского уровня представляет собой серьезную уязвимость . Административный доступ может быть доступен по беспроводной сети на большинстве этих устройств. Более того, поскольку эти маршрутизаторы часто работают со своими настройками по умолчанию, административные пароли обычно не меняются. Даже при изменении многие из них быстро угадываются с помощью словарных атак , поскольку большинство маршрутизаторов потребительского уровня не вводят штрафы по времени за неправильные попытки входа в систему. После предоставления административного доступа все настройки маршрутизатора, включая саму прошивку, могут быть изменены. Эти атаки сложно отследить, поскольку они происходят вне дома или небольшого офиса и вне Интернета.
Примеры фарминга
С 15 - го января 2005 года, доменное имя для большого Нью - Йорка ISP, Panix , был угнан в точку на веб - сайт в Австралии . О финансовых потерях нет. Позднее, 17 января, домен был восстановлен, и в ходе проверки ICANN обвиняет Melbourne IT (теперь известную как «Arq Group») «в том, что Melbourne IT не смогла получить явное разрешение (sic) от регистранта в соответствии с положениями ICANN. Политика смены регистраторов ". [1]
В феврале 2007 года фарминговая атака затронула не менее 50 финансовых компаний в США, Европе и Азии. Злоумышленники создали аналогичную страницу для каждой целевой финансовой компании, что требует усилий и времени. Жертвы переходили на определенный веб-сайт с вредоносным кодом. Этот веб-сайт заставлял компьютеры потребителей загружать троянского коня. Последующая информация для входа в систему была собрана от любой из целевых финансовых компаний. Количество пострадавших неизвестно, но инцидент продолжался в течение трех дней. [2]
В январе 2008 года Symantec сообщила об инциденте с фармингом, направленном против мексиканского банка, в котором настройки DNS на домашнем маршрутизаторе клиента были изменены после получения электронного письма, которое, похоже, было отправлено с законного приветствия на испанском языке карточная компания. [3]
Споры по поводу использования термина
Термин «фарминг» вызывает споры в этой области. На конференции, организованной Рабочей группой по борьбе с фишингом , Филип Халлам-Бейкер осудил этот термин как « маркетинговый неологизм, призванный убедить банки покупать новый набор услуг безопасности ».
Смотрите также
- Фишинг
- Подмена DNS
- IT риск
- Взаимная аутентификация
- Доверенное лицо
Заметки
- ^ Слово «фарминг» произносится как «фермерство».
Рекомендации
- ^ «Обзор ICANN обвиняет Melb IT в захвате» . Сидней Морнинг Геральд. 16 марта 2005 г.
- ^ «Фарминг-атаки, направленные на клиентов банков по всему миру» . PCWorld . 2007-02-22 . Проверено 24 июля 2020 .
- ^ Мессмер, Эллен (22 января 2008 г.). «Первый случай" проездного фарминга "выявлен в дикой природе» . Сетевой мир.
- Источники
- «Безопасность: фишинг и фарминг» . Журнал Windows IT Pro. 22 июня 2005 года в архив с оригинала на 11 августа 2005 года. CS1 maint: обескураженный параметр ( ссылка )
- «Как мы можем остановить фишинг и фарминг-мошенничество?» . Журнал CSO. 20 июля 2005 года Архивировано из оригинального 24 ноября 2005 года. CS1 maint: обескураженный параметр ( ссылка )
Внешние ссылки
- После фишинга? Фарминг!