فارمینگ چیست؟ تعریف، مثال‌ها و پیشگیری

مرورگر خود را باز می‌کنید، آدرس وب بانک خود را با دقت تایپ می‌کنید و اینتر را فشار می‌دهید. صفحه دقیقاً درست به نظر می‌رسد. همان لوگو. همان طرح‌بندی. همان کادر ورود. نام کاربری و رمز عبور خود را بدون لحظه‌ای فکر وارد می‌کنید. بعداً متوجه می‌شوید که اصلاً بانک شما نبوده و اطلاعات شما از قبل در دست شخص دیگری است.

این فارمینگ است. این حمله‌ای است که ترافیک اینترنت شما را قبل از اینکه صفحه بارگذاری شود، هدایت می‌کند و بی‌سروصدا شما را به یک سایت جعلی که کاملاً شبیه سایت واقعی طراحی شده است، می‌فرستد. برخلاف فیشینگ که سعی می‌کند شما را فریب دهد تا روی یک لینک مشکوک کلیک کنید، فارمینگ به یک اشتباه آشکار وابسته نیست. می‌توانید آدرس صحیح را تایپ کنید، از ایمیل‌های مشکوک اجتناب کنید، حتی URL را دوباره بررسی کنید، و باز هم بدون اینکه متوجه شوید، در جای اشتباهی قرار بگیرید.

درک نحوه‌ی عملکرد فارمینگ، تشخیص علائم هشداردهنده‌ی نامحسوس و انجام اقدامات لازم برای محافظت از اطلاعات شما قبل از افشای آنها را آسان‌تر می‌کند.

فارمینگ چیست؟

فارمینگ یک حمله سایبری است که کاربران را از وب‌سایت‌های قانونی به وب‌سایت‌های جعلی هدایت می‌کند، بدون اینکه نیازی به هیچ اقدام یا فریبی از سوی کاربر، فراتر از نفوذ اولیه به زیرساخت باشد. این اصطلاح ترکیبی از «فیشینگ» و «فارمینگ» است که نشان می‌دهد مهاجمان چگونه اطلاعات محرمانه و داده‌های حساس را به صورت انبوه جمع‌آوری می‌کنند. فارمینگ به مهاجمان اجازه می‌دهد تا به جای فریب دادن تک تک افراد، با دستکاری سیستم‌هایی که ترافیک وب را هدایت می‌کنند، اطلاعات بسیاری از کاربران را به طور همزمان به دست آورند.

وقتی آدرس وبی مانند «mybank.com» را تایپ می‌کنید، دستگاه شما مستقیماً نمی‌داند که آن وب‌سایت در کجای اینترنت قرار دارد. این دستگاه از یک سرور سیستم نام دامنه (DNS) درخواست می‌کند تا دامنه قابل خواندن توسط انسان را به یک آدرس IP عددی تبدیل کند که سرور واقعی را پیدا کند. فارمینگ این فرآیند ترجمه را خراب می‌کند و آدرس‌های IP تحت کنترل مهاجم را جایگزین آدرس‌های IP قانونی می‌کند.

کاربران از طریق ناوبری صحیح خود به سایت‌های جعلی می‌رسند، نه از طریق لینک‌ها یا هشدارهای مشکوک. بدون بررسی دقیق گواهینامه‌های امنیتی و جزئیات ظریف URL، اغلب هیچ نشانه بصری مبنی بر وجود مشکل وجود ندارد.

چگونه فارمینگ کار می کند

فارمینگ از فرآیند تفکیک DNS که زیربنای هر بازدید از وب‌سایت است، چه در سطح زیرساخت و چه در دستگاه‌های منفرد، سوءاستفاده می‌کند.

هر وب‌سایتی با یک آدرس IP عددی (مانند 203.0.113.42) وجود دارد که محل سرور آن را مشخص می‌کند. سرورهای DNS پایگاه‌های داده‌ای را نگهداری می‌کنند که نام دامنه‌ها (mybank.com) را به آدرس‌های IP تبدیل می‌کنند. وقتی آدرسی را تایپ می‌کنید، مرورگر شما DNS را جستجو می‌کند، آدرس IP را دریافت می‌کند و به آن سرور متصل می‌شود.

حملات فارمینگ این فرآیند را در یکی از دو نقطه زیر خراب می‌کنند: سرورهای DNS که به بسیاری از کاربران خدمات می‌دهند، یا فایل‌های میزبان روی دستگاه‌های منفرد که قبل از مراجعه به سرورهای DNS، ترجمه‌های محلی را انجام می‌دهند.

چرا وب‌سایت‌های جعلی مشروع به نظر می‌رسند؟

سایت‌های فارمینگ برای فریب طراحی شده‌اند. مهاجمان کپی‌هایی می‌سازند که HTML، CSS، تصاویر و قابلیت‌های سایت‌های قانونی را کپی می‌کنند. آن‌ها از همان طرح‌های رنگی، طرح‌بندی‌ها و عناصر برند استفاده می‌کنند. فرم‌های ورود، اعتبارنامه‌ها را می‌پذیرند و گاهی اوقات حتی کاربران را پس از گرفتن اطلاعاتشان به سایت اصلی هدایت می‌کنند، بنابراین قربانیان متوجه نمی‌شوند که اتفاقی افتاده است.

انواع حملات فارمینگ

حملات فارمینگ بر اساس محل وقوع اختلال در DNS و تعداد کاربرانی که تحت تأثیر قرار می‌گیرند، به دو دسته اصلی تقسیم می‌شوند.

داروسازی مبتنی بر DNS

حملات مبتنی بر DNS زیرساخت‌های مشترکی را که به بسیاری از کاربران خدمت‌رسانی می‌کنند، هدف قرار می‌دهند و همین امر آنها را از نظر مقیاس، به دسته خطرناک‌تری تبدیل می‌کند.

مسمومیت با حافظه نهان DNS

مهاجمان از آسیب‌پذیری‌های موجود در نرم‌افزار سرور DNS برای تزریق رکوردهای نادرست به حافظه پنهان سرور استفاده می‌کنند. پس از ذخیره شدن در حافظه پنهان، ترجمه نادرست تا زمان انقضای حافظه پنهان یا پاک شدن دستی آن ادامه می‌یابد و به طور بالقوه بر همه افرادی که از آن سرور DNS برای ساعت‌ها یا روزها استفاده می‌کنند، تأثیر می‌گذارد.

این نوع حمله از دهه ۱۹۹۰ شناخته شده است، اما آسیب‌پذیری‌های موجود در زیرساخت DNS همچنان کشف می‌شوند. آسیب‌پذیری کامینسکی در سال ۲۰۰۸ نقاط ضعف اساسی در DNS را آشکار کرد و امکان مسمومیت با حافظه پنهان را در مقیاس بزرگ فراهم کرد و باعث شد که وصله‌های فوری در سطح صنعت ارائه شود. از آن زمان تاکنون آسیب‌پذیری‌های مشابهی یافت شده‌اند.

ربودن DNS در سطح ثبت‌کننده

مهاجمانی که به ثبت‌کنندگان دامنه (شرکت‌هایی که ثبت دامنه را مدیریت می‌کنند) دسترسی پیدا می‌کنند، می‌توانند رکوردهای رسمی DNS را برای دامنه‌های قانونی تغییر دهند و mybank.com را به سرورهای تحت کنترل مهاجم در سطح معتبر هدایت کنند، نه اینکه فقط حافظه‌های پنهان را آلوده کنند.

اجرای این حمله دشوارتر است، اما همه کاربران در سراسر جهان را تحت تأثیر قرار می‌دهد، نه فقط کسانی که از یک سرور DNS خاص استفاده می‌کنند. حوادث ربودن دامنه با اهمیت بالا، ترافیک سازمان‌های بزرگ را قبل از شناسایی و معکوس کردن، تغییر مسیر داده‌اند.

تغییر مسیر در سطح ISP

ارائه دهندگان خدمات اینترنتی آسیب‌پذیر یا ISP های مخرب می‌توانند کوئری‌های DNS را به طور شفاف هدایت کنند و بدون دست زدن به دستگاه‌های شخصی یا سرورهای DNS خارجی، همه مشتریان را تحت تأثیر قرار دهند.

داروسازی مبتنی بر فایل میزبان

حملات فایل میزبان، دستگاه‌های منفرد را به جای زیرساخت‌های مشترک هدف قرار می‌دهند و با محدود کردن مقیاس آنها، دسترسی مهاجمان ساده‌تر را به آنها فراهم می‌کنند.

اصلاح مبتنی بر بدافزار

ویروس‌ها، تروجان‌ها و سایر بدافزارهایی که کامپیوترها را آلوده می‌کنند، اغلب شامل قابلیتی برای تغییر فایل hosts به عنوان بخشی از محتوای مخرب خود هستند. پس از تغییر، دستگاه آلوده به طور مداوم دامنه‌های هدف را به سایت‌های تحت کنترل مهاجم هدایت می‌کند، صرف نظر از اینکه هر سرور DNS چه می‌گوید.

نصب مهندسی اجتماعی

کاربران می‌توانند از طریق پیوست‌های ایمیل، دانلودهای جعلی نرم‌افزار یا آلودگی‌های وب‌سایت‌های ناخواسته، فریب داده شوند تا اسکریپت‌ها یا نرم‌افزارهایی را اجرا کنند که مستقیماً فایل میزبان‌های آنها را تغییر می‌دهند. برخلاف مسمومیت DNS که نیاز به دسترسی به سرور دارد، حملات فایل میزبان می‌تواند توسط هر کسی که بتواند کاربر را فریب دهد تا کد مخرب را اجرا کند، انجام شود.

علائم رایج حمله فارمینگ

فارمینگ طوری طراحی شده است که نامرئی باشد، اما علائم هشدار دهنده خاصی نشان می‌دهد که ممکن است به یک سایت جعلی هدایت شده باشید.

مشکلات مربوط به وب‌سایت و گواهی امنیتی:

• بدون HTTPS یا گواهی نامعتبر: مرورگر هشداری مانند «اتصال شما خصوصی نیست» نشان می‌دهد یا نماد قفل وجود ندارد یا خطایی نشان می‌دهد. سایت‌های داروسازی اغلب اعتبارسنجی گواهی را انجام نمی‌دهند.
• گواهی صادر شده به نام نهاد اشتباه: روی قفل کلیک کنید و گواهی را بررسی کنید؛ باید برای سازمانی که سایت آن را بازدید می‌کنید صادر شده باشد، نه یک نهاد ناشناخته.
• HTTP به جای HTTPS: سایت‌های بانکی، مالی و مدیریت حساب‌های قانونی همیشه از HTTPS استفاده می‌کنند؛ HTTP رمزگذاری نشده یک علامت هشدار جدی در سایت‌های حساس است.

بی‌نظمی‌های URL:

• تفاوت‌های ظریف دامنه که هنگام تایپ کردن متوجه آنها نشدید: mybank-secure.com به جای mybank.com
• شماره پورت‌های غیرمنتظره در نوار آدرس (mybank.com:8080)
• آدرس‌های IP در URL به جای نام دامنه

ناهنجاری‌های رفتاری:

• سایت‌های آشنا ناگهان کمی متفاوت به نظر می‌رسند: تغییر طرح‌بندی، تغییر لوگو، حذف عناصر
• صفحات ورود به سیستم که با آنچه به خاطر دارید مطابقت ندارند
• درخواست اطلاعاتی که سایت معمولاً هرگز درخواست نمی‌کند (سوالات امنیتی در صفحه‌ای که معمولاً آنها را نمی‌پرسد)
• صفحات به طور غیرمعمول کند بارگیری می‌شوند یا رفتار غیرمنتظره‌ای دارند

مشکلات پس از ورود:

• بلافاصله پس از وارد کردن اطلاعات کاربری، از شما خواسته می‌شود دوباره وارد سیستم شوید
• فعالیت غیرمعمول حساب یا تراکنش‌های غیرمجاز پس از بازدید از یک سایت
• اعلان‌های تغییر رمز عبور که شما شروع نکرده‌اید

علائم هشدار دهنده فنی:

• هشدارهای نرم‌افزار آنتی‌ویروس در مورد تغییرات DNS یا اصلاح فایل‌های میزبان
• هشدارهای مرورگر در مورد خطاهای گواهی در سایت‌های قبلاً مورد اعتماد
• ابزارهای امنیتی شبکه برای تشخیص ناهنجاری‌های DNS

خطرات و پیامدهای داروسازی

حملات موفقیت‌آمیز فارمینگ، آسیب‌های جدی و اغلب طولانی‌مدتی را در ابعاد مالی، حریم خصوصی و سازمانی ایجاد می‌کنند.

سرقت مالی

سرقت اطلاعات بانکی از طریق فارمینگ امکان دسترسی مستقیم به حساب را فراهم می‌کند. مهاجمان وارد حساب‌های ضبط‌شده می‌شوند، انتقال وجه را آغاز می‌کنند، پس‌اندازها را خالی می‌کنند و قبل از اینکه قربانیان متوجه شوند مشکلی وجود دارد، خرید انجام می‌دهند. جبران خسارت ناشی از کلاهبرداری مالی ناشی از فارمینگ می‌تواند دشوار باشد، به‌ویژه زمانی که انتقال وجه بین‌المللی در میان باشد.

اطلاعات کارت‌های پرداخت که در سایت‌های تجارت الکترونیک جعلی ثبت می‌شوند، امکان خریدهای جعلی و شبیه‌سازی کارت را فراهم می‌کنند که تا زمان لغو و جایگزینی کارت‌ها، به ایجاد ضرر و زیان ادامه می‌دهد.

سرقت اعتبارنامه و تصاحب حساب کاربری

اطلاعات ورود به سیستم که به سرقت رفته‌اند، به ندرت فقط به یک حساب کاربری محدود می‌شوند. بسیاری از افراد از رمزهای عبور در چندین سرویس استفاده می‌کنند، بنابراین یک رمز عبور بانکی دزدیده شده ممکن است دری به روی ایمیل، فضای ذخیره‌سازی ابری، رسانه‌های اجتماعی و موارد دیگر نیز باز کند. از آنجا، مهاجمان می‌توانند رمز عبور را بازنشانی کرده و گام به گام از طریق حساب‌های متصل حرکت کنند و یک نفوذ واحد را به یک تصاحب بسیار بزرگتر تبدیل کنند.

سرقت هویت

اطلاعات شخصی به دست آمده از طریق فارمینگ، مانند نام، آدرس، شماره تأمین اجتماعی و تاریخ تولد، می‌تواند برای ارتکاب سرقت هویت مورد استفاده قرار گیرد. پس از افشای این اطلاعات، ممکن است مجرمان بتوانند حساب‌های جعلی باز کنند، اظهارنامه مالیاتی جعلی ارائه دهند یا از اعتبار قربانی سوءاستفاده کنند. شناسایی و رفع کامل خسارت مالی می‌تواند سال‌ها طول بکشد.

تأثیرات تجاری و سازمانی

سازمان‌هایی که هدف فارمینگ قرار می‌گیرند، با اختلال عملیاتی، افشای اطلاعات مشتریان و عواقب نظارتی مواجه می‌شوند. یک حمله موفقیت‌آمیز DNS که دامنه یک شرکت را تحت تأثیر قرار می‌دهد، می‌تواند همه مشتریان را به سایت‌های جعلی هدایت کند و حتی زمانی که خود شرکت در معرض خطر قرار نگرفته باشد، به اعتماد آنها آسیب برساند. بازیابی اطلاعات نیاز به زمان انتشار DNS دارد که کاربران را در مورد اینکه کدام سایت‌ها قانونی هستند، مردد می‌کند.

آسیب به اعتبار در درازمدت

کسب‌وکارهایی که مشتریانشان از طریق فارمینگ قربانی شده‌اند، حتی زمانی که مهاجمان، نه کسب‌وکار، مسئول بوده‌اند، با عواقب ناشی از آسیب به اعتبار خود مواجه می‌شوند. اعتماد مشتری پس از حوادث امنیتی، به‌ویژه مواردی که بر داده‌های مالی یا شخصی تأثیر می‌گذارند، به سختی قابل بازیابی است.

هرزنامه ایمیل و فارمینگ اغلب با هم استفاده می‌شوند: ایمیل‌های فیشینگ کاربران را به سمت URLهای آلوده به فارمینگ هدایت می‌کنند و مکانیسم‌های تحویل را برای حداکثر تأثیر ترکیب می‌کنند.

چگونه از خود در برابر فارمینگ محافظت کنیم

محافظت در برابر فارمینگ نیازمند اقدامات احتیاطی فنی، عادات رفتاری و شیوه‌های امنیتی سازمانی است.

از سرویس‌های DNS امن استفاده کنید

سرورهای DNS استاندارد ارائه شده توسط ISP، حداقل امنیت را ارائه می‌دهند. تغییر به ارائه دهندگان DNS متمرکز بر امنیت که DNS Security Extensions (DNSSEC) را پیاده‌سازی کرده و از پروتکل‌های رمزگذاری شده DNS استفاده می‌کنند، خطر مسمومیت را کاهش می‌دهد. DNSSEC رکوردهای DNS را به صورت دیجیتالی امضا می‌کند و تزریق ورودی‌های کاذب را برای مهاجمان به طور قابل توجهی دشوارتر می‌کند.

قبل از وارد کردن اطلاعات کاربری، گواهی‌های HTTPS را تأیید کنید

قبل از ورود به هر سایت حساسی، مانند سایت‌های بانکی، ایمیل یا خدمات مالی، گواهی HTTPS را تأیید کنید:

• تأیید کنید که نماد قفل وجود دارد و هیچ هشداری نشان نمی‌دهد
• روی قفل کلیک کنید و تأیید کنید که گواهی به سازمان صحیح صادر شده است
• اطمینان حاصل کنید که گواهی معتبر است و منقضی نشده است

هرگز اطلاعات ورود را در صفحاتی که خطاهای گواهی‌نامه نشان می‌دهند وارد نکنید، حتی اگر سایت درست به نظر برسد.

دستگاه‌ها و نرم‌افزارها را به‌روز نگه دارید

وصله‌های امنیتی برای سیستم‌عامل‌ها، مرورگرها و نرم‌افزارهای آنتی‌ویروس، آسیب‌پذیری‌های شناخته‌شده‌ای را که بدافزارهای فارمینگ از آن‌ها برای تغییر فایل‌های میزبان یا رهگیری کوئری‌های DNS سوءاستفاده می‌کنند، برطرف می‌کنند. فعال کردن به‌روزرسانی‌های خودکار، تضمین می‌کند که وصله‌ها بدون نیاز به نظارت دستی، به‌سرعت اعمال می‌شوند.

از نرم‌افزارهای آنتی‌ویروس و ضدبدافزار معتبر استفاده کنید

نرم‌افزار امنیتی، تغییرات فایل‌های میزبان، تغییرات مشکوک DNS و بدافزارهایی که حملات فارمینگ مبتنی بر میزبان را ممکن می‌سازند، شناسایی می‌کند. محافظت بلادرنگ که تغییرات سیستم را رصد می‌کند، تغییرات را هنگام وقوع شناسایی می‌کند، نه پس از ایجاد آسیب.

فعال کردن احراز هویت دو مرحله ای (2FA)

حتی اگر فارمینگ اطلاعات ورود شما را ضبط کند، احراز هویت دو مرحله‌ای (2FA) مانع از دسترسی مهاجمان به حساب‌ها بدون تأیید دوم می‌شود. رمزهای عبور یکبار مصرف مبتنی بر زمان (TOTP) و کلیدهای امنیتی سخت‌افزاری به ویژه مؤثر هستند زیرا مهاجمانی که اطلاعات ورود را از یک سایت فارمینگ ضبط کرده‌اند، نمی‌توانند آنها را دوباره بازیابی کنند.

تنظیمات DNS روتر را زیر نظر داشته باشید

روترهای خانگی یک هدف رایج برای فارمینگ هستند. بدافزارها یا مهاجمانی که اعتبارنامه‌های ادمین روتر را به خطر می‌اندازند، می‌توانند تنظیمات DNS را تغییر دهند تا تمام ترافیک خانگی را هدایت کنند. پیکربندی DNS روتر را به صورت دوره‌ای بررسی کنید تا مطمئن شوید که به جای سرورهای تحت کنترل مهاجم، به ارائه‌دهنده DNS مورد نظر شما اشاره می‌کند.

تأیید دقیق URL را تمرین کنید

قبل از وارد کردن اطلاعات کاربری، URLها را با دقت بررسی کنید. به خصوص پس از دنبال کردن لینک‌ها از هر منبعی. به دنبال تغییرات جزئی دامنه باشید، مطمئن شوید که از HTTPS استفاده می‌کنید و قبل از ورود به سیستم، گواهی را تأیید کنید.

پیاده‌سازی احراز هویت ایمیل

پیکربندی صحیح رکوردهای SPF و DMARC به جلوگیری از حملات مبتنی بر ایمیل که اغلب با کمپین‌های فارمینگ همراه هستند، کمک می‌کند و ایمیل‌های فیشینگی را که کاربران را به سایت‌های آلوده به فارمینگ هدایت می‌کنند، کاهش می‌دهد. دفاع از زیرساخت ایمیل و زیرساخت وب در کنار هم، بردارهای حمله ترکیبی را که مهاجمان معمولاً از آنها استفاده می‌کنند، می‌بندد.

حفظ لیست‌های ایمیل تمیز مواجهه سازمانی را کاهش می‌دهد ایمیل های برگشتی و مخاطبین نامعتبری که مهاجمان می‌توانند قبل از راه‌اندازی کمپین‌های دارویی هدفمند، از آنها در شناسایی سوءاستفاده کنند.

پسگفتار

فارمینگ با خراب کردن سیستم‌های DNS یا دستکاری فایل‌های میزبان دستگاه، کاربران را از وب‌سایت‌های قانونی به وب‌سایت‌های جعلی هدایت می‌کند، بدون اینکه نیازی به لینک مشکوک یا فریب آشکار باشد. کاربرانی که آدرس‌های صحیح را تایپ می‌کنند، می‌توانند به سایت‌های جعلی کاملاً کپی‌شده وارد شوند و بدون اینکه متوجه شوند مشکلی پیش آمده، اعتبارنامه‌ها، داده‌های مالی و اطلاعات شخصی خود را از دست بدهند.

محافظت به لایه‌هایی نیاز دارد: سرویس‌های DNS امن که DNSSEC را پیاده‌سازی می‌کنند، تأیید دقیق گواهی HTTPS قبل از وارد کردن اطلاعات کاربری، دستگاه‌ها و نرم‌افزارهای امنیتی به‌روز، احراز هویت دو مرحله‌ای که حتی در صورت دریافت رمز عبور معتبر باقی می‌ماند و امنیت روتر که از تغییر DNS در سطح شبکه جلوگیری می‌کند.

تنظیمات DNS دستگاه و روتر خود را به یک ارائه‌دهنده متمرکز بر امنیت که از DNSSEC و کوئری‌های رمزگذاری‌شده DNS پشتیبانی می‌کند، تغییر دهید. سپس احراز هویت دو مرحله‌ای را در تمام حساب‌های مالی، ایمیل و حساس فعال کنید و مطمئن شوید که اعتبارنامه‌های ضبط‌شده به تنهایی برای تکمیل کار مهاجمان کافی نیستند.

امنیت ایمیل را در کنار امنیت وب حفظ کنید. استفاده از حذف کنید برای تمیز نگه داشتن لیست ایمیل‌هایتان و سلامت زیرساخت ارسال ایمیل، و کاهش مواجهه با فیشینگ و هرزنامه که اغلب با کمپین‌های فارمینگ همراه است. یک محیط ایمیل امن که به گیرندگان تأیید شده می‌رسد، بخشی از همان وضعیت امنیتی است که در برابر حملات مبتنی بر وب مانند فارمینگ محافظت می‌کند.