Фермерская атака — это сложный механизм, который обманывает пользователей (в основном) без необходимости «глупой ошибки» с их стороны. Давайте расшифруем это и посмотрим, как защитить себя.
Представьте себе, что вы входите в свой онлайн-банкинг, используя законный веб-адрес, и вскоре после этого ваши сбережения исчезают.
Вот так выглядят фермерские рейды.
Термин «фарминг» происходит от фишинга (атаки) и «фарминга» ?.
Проще говоря; фишинг требует, чтобы вы нажали на подозрительную ссылку (глупая ошибка), которая загружает вредоносное ПО, что приводит к финансовым потерям. В качестве альтернативы, это может быть электронное письмо от вашего «генерального директора» с просьбой о «срочном» банковском переводе «продавцу» — особая категория мошенничества, известная как фишинг.
Короче говоря, фишинг требует вашего активного участия, а фишинговые атаки (в большинстве случаев) — нет.
Содержание
Что такое фарм-атака?
Мы привыкли к доменным именам (например, vdzvdz.com), а машины понимают IP-адреса (например, 24.237.29.182).
Когда мы вводим веб-адрес (доменное имя), он (запрос) отправляется на DNS-серверы (интернет-телефонный справочник), которые сопоставляют его с соответствующим IP-адресом.
Следовательно, доменные имена имеют мало общего с реальными веб-сайтами.
Например, если DNS-сервер сопоставил доменное имя с неаутентичным IP-адресом, на котором размещен поддельный веб-сайт, — это все, что вы увидите, независимо от введенного «настоящего» URL-адреса.
Затем пользователь без труда отправляет данные — номера карт, идентификационные номера, учетные данные для входа и т. д. – пародия, думая, что это законно.
Это делает фармацевтические атаки опасными.
Они очень хорошо сделаны, работают скрытно, и конечный пользователь ничего не знает, пока не получит сообщение о причитающейся сумме от своего банка. Или они продают свою личную информацию в даркнете.
Давайте подробно проверим, как они работают.
Как работает фарминговая атака?
Они организованы на двух уровнях, с пользователем или целым DNS-сервером.
№1. Фермерство на уровне пользователя
Это похоже на фишинг, когда вы нажимаете на подозрительную ссылку, которая загружает вредоносное ПО. После этого файл hosts (он же локальные записи DNS) изменяется, и пользователь посещает вредоносную версию исходного веб-сайта.
Файл hosts — это стандартный текстовый файл, в котором хранятся локально управляемые записи DNS, и который открывает путь для более быстрых подключений с меньшей задержкой.
Как правило, веб-мастера используют файл hosts для тестирования веб-сайтов перед изменением фактических записей DNS у регистратора домена.
Однако вредоносное ПО может записывать поддельные записи в локальный файл hosts вашего компьютера. Таким образом, даже действительный адрес веб-сайта становится поддельным веб-сайтом.
№ 2. Фарминг на уровне сервера
То, что случилось с одним пользователем, может быть сделано со всем сервером.
Это называется отравлением DNS, подделкой DNS или перехватом DNS. Поскольку это происходит на уровне сервера, жертв может быть сотни или тысячи, если не больше.
Целевые DNS-серверы, как правило, сложнее контролировать и представляют собой рискованный маневр. Но если это произойдет, вознаграждение для киберпреступников будет экспоненциально больше.
Фарминг на уровне сервера осуществляется путем физического захвата DNS-серверов или атак «человек посередине» (MITM).
Последнее представляет собой программную манипуляцию между пользователем и DNS-сервером или между DNS-сервером и полномочными серверами имен DNS.
Кроме того, хакер может изменить настройки DNS вашего Wi-Fi-маршрутизатора, которые называются локальным позиционированием DNS.
Задокументированные атаки на аптеку
Фермерская атака на уровне пользователя часто остается скрытой и о ней редко сообщается. Даже если это зарегистрируется, это вряд ли дойдет до СМИ.
Кроме того, сложность атак на уровне сервера также затрудняет их обнаружение, если только киберпреступники не уничтожат значительную сумму денег, что затрагивает многих людей.
Давайте проверим несколько, чтобы увидеть, как это работает в реальной жизни.
№1. Кривая Финансы
Curve Finance — это криптовалютная биржа, подвергшаяся атаке с отравлением DNS 9 августа 2022 года.
У нас есть краткий отчет от @ivantminame о том, что произошло. Вкратце: отравление кеша DNS, а не компрометация сервера имен. https://t.co/PI1zR96M1Z
Никто в сети не застрахован на 100% от этих атак. Произошедшее НАСТОЯТЕЛЬНО говорит о том, что вы начинаете переходить на ENS вместо DNS
— Curve Finance (@CurveFinance) 10 августа 2022 г.
За кулисами находился ivantminame, DNS-провайдер Curve, который был скомпрометирован, отправив своих пользователей на пародию и причинив убытки на сумму более 550 тысяч долларов.
№ 2. MyEtherWallet
24 апреля 2018 года стало черным днем для некоторых пользователей MiEtherWallet. Это бесплатный кошелек Ethereum (криптовалюта) с открытым исходным кодом и надежными протоколами безопасности.
Несмотря на все хорошее, этот опыт оставил горький привкус во рту у пользователей, а чистая кража составила 17 миллионов долларов.
Технически взлом BGP был осуществлен в DNS-сервисе Amazon Route 53, используемом MyEtherWallet, который перенаправлял некоторых своих пользователей на фишинговую реплику. Они ввели свои данные для входа в систему, что дало преступникам доступ к их криптовалютным кошелькам, что привело к внезапной финансовой утечке.
Однако очевидной ошибкой со стороны пользователя является игнорирование предупреждения браузера SSL.
Официальное заявление MyEtherWallet о мошенничестве.
№3. Крупные банки
Еще в 2007 году пользователи почти 50 банков подверглись фармацевтическим атакам, которые привели к неизвестной сумме убытков.
Этот классический DNS-компрометант отправляет пользователей на вредоносные веб-сайты, даже если они вводят официальные URL-адреса.
Однако все началось с посещения жертвами вредоносного веб-сайта, который загружал троянца из-за уязвимости Windows (теперь исправленной).
После этого вирус попросил пользователей отключить антивирус, брандмауэры и т. д.
Затем пользователей отправляли на пародийные сайты ведущих финансовых учреждений США, Европы и Азиатско-Тихоокеанского региона. Таких событий больше, но работают они аналогично.
Аптечные знаки
По сути, фарминг дает злоумышленнику полный контроль над вашими зараженными онлайн-аккаунтами. Это может быть ваш профиль в Facebook, учетная запись в онлайн-банке и т. д.
Если вы являетесь жертвой, вы увидите действия, которых нет в списке. Это может быть пост, транзакция или просто забавное изменение изображения вашего профиля.
В конце концов, вы должны начать принимать лекарство, если есть что-то, чего вы не помните.
Защита от аптеки
В зависимости от типа атаки (на уровне пользователя или сервера), которой вы подвергаетесь, существует несколько способов защитить себя.
Поскольку реализация на уровне сервера не является предметом этой статьи, мы сосредоточимся на том, что вы можете сделать как конечный пользователь.
№1. Используйте премиум-антивирус
Хороший антивирус — это полдела. Это поможет вам оставаться защищенным от большинства поддельных ссылок, вредоносных загрузок и мошеннических веб-сайтов. Хотя для вашего компьютера есть бесплатный антивирус, платные обычно работают лучше.
№ 2. Установите надежный пароль маршрутизатора
Маршрутизаторы Wi-Fi также могут использоваться в качестве мини-DNS-серверов. Следовательно, их безопасность имеет ключевое значение, и она начинается с взлома паролей, предоставленных компанией.
№3. Выбирайте надежного интернет-провайдера
Для большинства из нас интернет-провайдеры также действуют как DNS-серверы. И, исходя из моего опыта, ISP DNS дает небольшой прирост скорости по сравнению с бесплатными общедоступными службами DNS, такими как Google Public DNS. Однако важно выбрать лучшего интернет-провайдера не только по скорости, но и по общей безопасности.
№ 4. Используйте собственный DNS-сервер
Переключиться на другой DNS-сервер несложно или необычно. Вы можете использовать бесплатный общедоступный DNS от OpenDNS, Cloudflare, Google и т. д. Однако важно, чтобы провайдер DNS мог видеть вашу активность в Интернете. Поэтому вам следует быть осторожным с тем, кому вы даете доступ к своим действиям в Интернете.
№ 5. Используйте VPN с частным DNS
Использование VPN обеспечивает множество уровней безопасности, включая собственный DNS. Это защищает вас не только от киберпреступников, но и от интернет-провайдеров или правительственной слежки. Однако вы должны убедиться, что в VPN должны быть зашифрованные DNS-серверы для наилучшей защиты.
№ 6. Поддерживайте хорошую кибергигиену
Нажатие на поддельные ссылки или рекламные объявления, которые слишком хороши, чтобы быть правдой, — один из основных способов стать жертвой мошенничества. В то время как хороший антивирус делает свою работу по предупреждению вас, ни один инструмент кибербезопасности не гарантирует 100% успеха. В конечном счете, ответственность ложится на ваши плечи, чтобы защитить себя.
Например, вы должны вставить любую подозрительную ссылку в поисковые системы, чтобы увидеть источник. Кроме того, мы должны обеспечить HTTPS (обозначается замком в строке URL), прежде чем доверять какому-либо веб-сайту.
Кроме того, периодическая очистка вашего DNS, безусловно, поможет.
Берегись!
Фермерские атаки устарели, но то, как они работают, слишком тонко, чтобы их можно было точно определить. Основной причиной таких атак является собственная небезопасность DNS, которая не устранена полностью.
Следовательно, это не всегда зависит от вас. Тем не менее, перечисленные средства защиты помогут, особенно при использовании VPN с зашифрованным DNS, например ProtonVPN.
Хотя фишинг основан на DNS, знаете ли вы, что мошенничество также может быть основано на Bluetooth? Запрыгивайте на этот блюзнарфинг 101, чтобы узнать, как это делается и как защитить себя.
