Фармінг-атаки – це хитромудрий спосіб обману користувачів, що часто не вимагає від них жодних явних помилок. Розгляньмо, як вони працюють і як від них захиститися.
Уявіть ситуацію: ви заходите в свій онлайн-банкінг через офіційну веб-адресу, і раптом ваші кошти зникають. Це один із прикладів фармінгової атаки.
Слово “фармінг” утворено від поєднання слів “фішинг” та “фармінг” (фермерство) 🚜.
Простіше кажучи, фішинг вимагає від користувача переходу за підозрілим посиланням, що призводить до завантаження шкідливого програмного забезпечення та фінансових втрат. Також, фішингом може бути електронний лист від “керівника” з проханням про “терміновий” банківський переказ, що є різновидом шахрайства, відомим як “китовий фішинг”.
Отже, фішинг потребує вашої безпосередньої дії, тоді як фармінг-атаки, здебільшого, працюють без неї.
Що ж таке фармінг-атака?
Ми звикли до доменних імен (наприклад, example.com), а комп’ютери розпізнають IP-адреси (наприклад, 192.168.1.1). Коли ви вводите веб-адресу, ваш запит надсилається на DNS-сервери, які є свого роду “телефонною книгою” Інтернету. Вони зіставляють доменне ім’я з відповідною IP-адресою.
Таким чином, доменні імена – це лише зручна форма для людей, а не фактичне місце розташування веб-сайтів.
Якщо DNS-сервер направить доменне ім’я на фальшиву IP-адресу, де розміщено підроблений сайт, ви побачите саме його, навіть якщо ввели правильну URL-адресу.
Далі користувач, не підозрюючи нічого, передає зловмисникам особисті дані – номери карток, паролі тощо, вважаючи, що взаємодіє з легітимним ресурсом.
Саме це робить фармінг-атаки такими небезпечними. Вони майстерно організовані, діють непомітно, і користувач дізнається про крадіжку лише після отримання сповіщення від банку або виявлення своїх даних у “темній мережі”.
Розгляньмо детальніше, як саме вони працюють.
Як працює фармінг-атака?
Фармінг-атаки здійснюються на двох рівнях: на рівні користувача або на рівні DNS-сервера.
#1. Фармінг на рівні користувача
Цей вид атаки схожий на фішинг. Ви переходите за підозрілим посиланням, що призводить до завантаження шкідливого програмного забезпечення. Після цього змінюється файл “hosts” (локальні DNS-записи), і користувач потрапляє на підробний сайт, схожий на оригінал.
Файл “hosts” – це звичайний текстовий файл, який зберігає локальні DNS-записи для швидшого з’єднання. Зазвичай веб-майстри використовують його для тестування сайтів перед оновленням DNS-записів у реєстратора домену.
Однак, шкідливе ПЗ може внести фальшиві записи у ваш локальний файл “hosts”. Таким чином, навіть правильна адреса перенаправляє вас на шахрайський сайт.
#2. Фармінг на рівні сервера
Те, що відбувається з одним користувачем, може статися і з цілим сервером. Це називається отруєнням DNS, підробкою DNS або викраденням DNS. Оскільки це відбувається на рівні сервера, жертвами можуть стати сотні чи тисячі людей.
Контролювати DNS-сервери складніше, що робить атаку ризикованою. Однак, у разі успіху, зловмисники можуть отримати значно більші прибутки.
Фармінг на рівні сервера відбувається через фізичне викрадення DNS-серверів або атаки “людина посередині” (MITM). MITM атака полягає в програмному перехопленні трафіку між користувачем та DNS-сервером, або між DNS-серверами та авторитетними серверами імен DNS.
Крім того, хакери можуть змінити налаштування DNS вашого WiFi-роутера, що називається локальним DNS-позиціонуванням.
Задокументовані випадки фармінг-атак
Фармінг-атаки на рівні користувача часто залишаються непомітними та про них рідко повідомляють. Навіть якщо вони зафіксовані, їх навряд чи можна знайти у новинах.
Складність атак на рівні сервера також ускладнює їх виявлення, поки зловмисники не завдадуть значних збитків, що вплинуть на велику кількість людей.
Розгляньмо кілька прикладів, щоб побачити, як це працює в реальному житті.
#1. Curve Finance
Curve Finance, криптовалютна біржа, зазнала DNS-отруєння 9 серпня 2022 року.
We have a brief writeup from @iwantmyname on what happened. In short: DNS cache poisoning, not a nameserver compromise.https://t.co/PI1zR96M1Z
No one on the internet is 100% safe from these attacks. What happened FORCEFULLY suggests starting the switch to ENS instead of DNS
— Curve Finance (@CurveFinance) August 10, 2022
DNS-провайдер Curve, iwantmyname, був скомпрометований, перенаправляючи користувачів на підроблений сайт, що призвело до збитків понад 550 тисяч доларів.
#2. MyEtherWallet
24 квітня 2018 року стало чорним днем для деяких користувачів MyEtherWallet – безкоштовного криптовалютного гаманця Ethereum з відкритим кодом.
Не дивлячись на всі переваги, цей досвід залишив гіркий присмак у користувачів через крадіжку в розмірі 17 мільйонів доларів.
Було здійснено викрадення BGP на DNS-сервісі Amazon Route 53, який використовує MyEtherWallet, що перенаправляло деяких користувачів на фішингову копію. Користувачі ввели свої дані, що дало зловмисникам доступ до їхніх крипто-гаманців.
Проте, однією з помилок з боку користувача було ігнорування попередження SSL-сертифіката в браузері.
Офіційна заява MyEtherWallet щодо шахрайства.
#3. Великі банки
Ще в 2007 році користувачі близько 50 банків стали жертвами фармінг-атак, що призвело до збитків невідомого розміру.
Цей класичний компроміс DNS перенаправляв користувачів на шкідливі сайти, навіть якщо вони вводили офіційні URL-адреси.
Все почалося з того, що жертви відвідали шкідливий сайт, який завантажив троян через вразливість Windows. Після цього вірус вимагав вимкнути антивірус і брандмауери.
Потім користувачів направляли на підроблені сайти провідних фінансових установ США, Європи та Азіатсько-Тихоокеанського регіону. Є ще багато подібних випадків, але вони працюють за схожою схемою.
Ознаки фармінгу
Фармінг надає зловмисникам повний контроль над вашими скомпрометованими обліковими записами. Це може бути ваш Facebook, онлайн-банкінг та інше. Якщо ви стали жертвою, ви побачите несанкціоновану активність, наприклад, публікації, транзакції або навіть зміни зображення профілю.
Якщо ви помітили будь-які невідомі дії, потрібно терміново вживати заходів для захисту.
Захист від фармінгу
Залежно від типу атаки (на рівні користувача чи сервера), існують різні способи захисту. Оскільки втручання на рівні сервера виходить за межі цієї статті, ми зосередимося на тому, що може зробити кінцевий користувач.
#1. Використовуйте надійний антивірус
Хороший антивірус – це половина успіху. Він захистить вас від більшості шахрайських посилань, шкідливих завантажень і підроблених сайтів. Хоча є безкоштовні антивіруси, платні, як правило, надійніші.
#2. Встановіть надійний пароль для роутера
Wi-Fi роутери можуть виконувати роль міні-DNS серверів. Тому їхня безпека є важливою і починається зі зміни паролів, наданих виробником.
#3. Обирайте надійного інтернет-провайдера
Для більшості з нас інтернет-провайдери також виконують роль DNS-серверів. З власного досвіду, DNS від провайдера часто дає трохи більшу швидкість, ніж безкоштовні публічні DNS, як Google Public DNS. Однак важливо обирати провайдера не лише за швидкістю, а й за загальною безпекою.
#4. Використовуйте спеціальний DNS-сервер
Перехід на інший DNS-сервер – це нескладно. Ви можете використовувати безкоштовні публічні DNS від OpenDNS, Cloudflare, Google тощо. Важливо пам’ятати, що ваш DNS-провайдер має доступ до вашої веб-активності. Тому ви повинні бути обережні, кому надаєте цей доступ.
#5. Використовуйте VPN з приватним DNS
Використання VPN забезпечує багато рівнів захисту, включаючи власний DNS. Це захистить вас не тільки від кіберзлочинців, але й від спостереження з боку провайдерів чи уряду. Переконайтеся, що VPN має зашифровані DNS-сервери для найкращого захисту.
#6. Дотримуйтесь правил кібергігієни
Перехід за шахрайськими посиланнями та надто приваблива реклама є одним з основних способів стати жертвою шахраїв. Хоча хороший антивірус вам допоможе, жоден інструмент кібербезпеки не гарантує 100% успіху. В кінцевому підсумку, ваша безпека залежить від вас.
Наприклад, будь-яке підозріле посилання слід перевірити у пошукових системах. Також, перевіряйте наявність протоколу HTTPS (позначено замком в адресному рядку) перед тим, як довіряти сайту.
Крім того, періодичне очищення DNS також допоможе.
Будьте пильні!
Фармінг-атаки існують давно, але їхній механізм дії є надто непомітним. Основною причиною цих атак є власна незахищеність DNS, яку неможливо повністю усунути.
Отже, це не завжди залежить від вас. Однак, зазначені заходи захисту допоможуть, особливо використання VPN з зашифрованим DNS, як-от ProtonVPN.
Фармінг базується на DNS, але чи знали ви, що шахрайство може базуватися і на Bluetooth? Ознайомтесь з матеріалами про блюсніфінг, щоб дізнатися більше про методи та захист.