How is pharming different from regular phishing attacks?

Pharming doesn't require you to click malicious links in emails or messages—it operates invisibly by manipulating DNS systems or your device's network settings to automatically redirect legitimate web addresses to fraudulent sites. While phishing relies on tricking you into clicking something suspicious, pharming works even when you type the correct URL directly into your browser. This makes pharming significantly more dangerous because you can follow all standard advice about avoiding suspicious links and still become a victim.

Can pharming attacks affect my mobile phone or only computers?

Pharming attacks affect any device that uses DNS to access websites, including smartphones, tablets, smart TVs, and IoT devices. If your home router's DNS settings are compromised, every device connected to your Wi-Fi network becomes vulnerable. Mobile devices can also be targeted through malicious apps that modify local DNS settings or through compromised public Wi-Fi networks that perform DNS hijacking. Both iOS and Android devices are susceptible, though mobile operating systems include some built-in protections against host file modifications.

How can I tell if my router has been compromised by pharming malware?

Log into your router's administration panel and check the DNS server settings—if you see unfamiliar IP addresses instead of your ISP's DNS servers or the public DNS you configured, your router may be compromised. Look for unexpected remote access settings being enabled, unfamiliar devices on your network, or recent configuration changes you didn't make. Many modern routers include security dashboards that flag suspicious DNS changes. If you're uncertain, contact your ISP or a technical support professional to verify your router settings are legitimate.

What should I do immediately if I suspect I've been victim of a pharming attack?

Immediately disconnect from the internet and change passwords for all financial accounts using a different device on a different network (like mobile data). Reset your router to factory settings and reconfigure it with a strong password and trusted DNS servers. Run comprehensive malware scans on all devices that used the compromised network. Contact your bank and credit card companies to freeze accounts and monitor for fraudulent transactions. File reports with the FBI's IC3 (ic3.gov) and your local police, as pharming incidents often require law enforcement involvement for investigation and recovery.

Are public DNS services like Google or Cloudflare really safer than my ISP's DNS?

Reputable public DNS services typically offer stronger security protections than default ISP DNS servers, including real-time threat intelligence, malware filtering, and DNSSEC validation that helps prevent DNS poisoning attacks. Services like Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8), and Quad9 (9.9.9.9) invest heavily in infrastructure security and have dedicated teams monitoring for DNS-based attacks. However, no DNS service is completely immune to sophisticated attacks. Using public DNS in combination with updated router firmware, strong passwords, and security software provides the best protection against pharming threats.

Критический Средний ущерб: $5,000 Обычная длительность: 1-7 days

Фарминг (DNS редирект) мошенничество: полное руководство по защите

Фарминг представляет собой одну из самых сложных и опасных киберугроз, с которыми сегодня сталкиваются пользователи интернета. В отличие от фишинга, который требует от жертв нажатия на вредоносные ссылки, атаки фарминга манипулируют параметрами системы доменных имен (DNS) для автоматического перенаправления легитимного веб-трафика на мошеннические сайты. Когда вы вводите надежный URL в адресную строку браузера, например адрес вашего банка, вредоносное ПО для фарминга или скомпрометированные DNS-серверы перенаправляют вас на идентичный поддельный сайт, разработанный для сбора ваших учетных данных, финансовой информации и личных данных. По данным Центра жалоб на интернет-преступления ФБР, атаки на основе DNS привели к потерям более 57 миллионов долларов США в 2023 году, при этом отдельные жертвы теряли в среднем 5000 долларов США за инцидент. Атаки фарминга работают на двух уровнях: локальный фарминг нацелен на отдельные устройства путем изменения файла хостов или установки вредоносного ПО, которое перехватывает DNS-запросы, а отравление DNS-серверов компрометирует серверы интернет-провайдеров или общедоступные DNS-серверы, потенциально затрагивая тысячи пользователей одновременно. Сложность этих атак резко возросла с 2018 года, когда группы киберпреступников начали развертывать автоматизированные наборы инструментов, способные заразить домашние маршрутизаторы и перенаправить трафик для целых домашних сетей. Исследователи безопасности задокументировали кампании фарминга, нацеленные на крупные финансовые учреждения, криптовалютные биржи и платформы электронной коммерции по всей Северной Америке и Европе. Опасность фарминга выходит за рамки немедленных финансовых потерь. Поскольку жертвы считают, что получают доступ к легитимным сайтам через правильные URL, они охотно вводят конфиденциальную информацию, включая имена пользователей, пароли, номера кредитных карт, номера социального страхования и ответы на контрольные вопросы. Эти данные способствуют краже личности, перехвату учетных записей и долгосрочному мошенничеству, которое может быть обнаружено месяцами позже и потребовать лет для разрешения. Рабочая группа по борьбе с фишингом сообщает, что кража учетных данных на основе фарминга имеет 78% успешность, в то время как традиционные фишинг-письма имеют 32% успешность, что делает фарминг почти в 2,5 раза более эффективным для компрометации жертв.

Распространённые тактики Как распознать Как защитить себя Реальные примеры Куда сообщить

Распространённые тактики

• Мошенники устанавливают вредоносное ПО маршрутизатора, которое изменяет параметры DNS на домашних и малых бизнес-маршрутизаторах, перенаправляя все устройства в сети на мошеннические сайты без видимого предупреждения или взаимодействия с пользователем.
• Злоумышленники компрометируют DNS-серверы у интернет-провайдеров или используют уязвимости в общедоступных DNS-сервисах для отравления кэша DNS-записей, что приводит к перенаправлению тысяч пользователей на вредоносные сайты при доступе к легитимным доменам.
• Преступники развертывают вредоносное ПО для манипуляции файлом хостов, которое изменяет локальный файл хостов на компьютерах Windows, Mac или Linux, переопределяя поиск DNS и перенаправляя высокоценные домены на IP-адреса под контролем злоумышленника.
• Мошенники создают идентичные копии банковских, криптовалютных и сайтов электронной коммерции, которые сохраняют правильный URL в адресной строке благодаря сложным серверным трюкам, что делает обнаружение практически невозможным для обычных пользователей.
• Мошенники используют уязвимости в устаревшем встроенном ПО маршрутизатора для получения удаленного доступа и постоянного изменения конфигурации DNS, обеспечивая сохранение перенаправления всего трафика даже после удаления первоначального вектора заражения.
• Злоумышленники используют техники man-in-the-middle в сочетании с перехватом DNS для перехвата кодов двухфакторной аутентификации в реальном времени, что позволяет им обойти меры безопасности и немедленно опустошить счета до того, как жертвы заметят проблему.

Как распознать

Ваш браузер отображает предупреждения об ошибках безопасности сертификата при доступе к знакомым сайтам, особенно если вы видите сообщения о несоответствии имен сертификатов или недоверенных издателях на часто посещаемых сайтах.
Банковские или финансовые сайты загружаются с незначительными визуальными различиями, такими как неправильные логотипы, смещенные кнопки, отсутствующая информация в нижней части или необычные экраны входа, запрашивающие больше информации, чем обычно.
Вы замечаете неожиданные перенаправления, когда ввод URL перенаправляет вас на сайт, который выглядит правильно, но имеет немного другой внешний вид, загружается медленнее, чем обычно, или отображает неизвестные индикаторы безопасности.
Индикаторы HTTPS-замка отсутствуют на сайтах, которые обычно используют защищенные соединения, или нажатие на замок показывает сертификаты, выданные другим организациям или с недавними датами выдачи.
Множественные учетные записи показывают попытки несанкционированного доступа или запросы на сброс пароля, которые вы не инициировали, что предполагает кражу учетных данных с скомпрометированной страницы входа во время атаки фарминга.
Панель администрирования маршрутизатора показывает адреса DNS-серверов, которые вы не настраивали, в частности неизвестные IP-адреса вместо стандартных DNS-серверов вашего интернет-провайдера или известных общедоступных сервисов DNS, таких как 8.8.8.8.

Как защитить себя

Немедленно измените пароль администратора маршрутизатора по умолчанию на надежный уникальный пароль длиной не менее 16 символов и отключите функции удаленного администрирования, если они вам абсолютно не требуются для настройки сети.
Вручную настройте параметры DNS маршрутизатора и устройства на использование авторитетных DNS-сервисов, таких как Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8) или Quad9 (9.9.9.9), которые включают функции защиты от вредоноса и фишинга.
Установите и обновите антивирусное и антивредоносное программное обеспечение, включающее защиту DNS и мониторинг файла хостов, выполняя полные сканирования системы еженедельно для обнаружения вредоноса фарминга до компрометации учетных данных.
Убедитесь, что встроенное ПО маршрутизатора обновлено до последней версии, доступной от производителя, так как исправления безопасности часто устраняют уязвимости при перехвате DNS, которые активно используют злоумышленники в старых версиях.
Включите проверку DNSSEC (расширения безопасности системы доменных имен), если ваш маршрутизатор или DNS-сервис это поддерживают, что криптографически проверяет, что ответы DNS не были изменены при передаче.
Добавьте в закладки критически важные финансовые сайты и получайте доступ к ним только через сохраненные закладки, а не путем ввода URL, и включите функции безопасности браузера, которые предупреждают о известных вредоносных сайтах и недействительных SSL-сертификатах.

Реальные примеры

Семья из Сиэтла потеряла 8200 долларов США, когда вредоносное ПО заразило их домашний маршрутизатор и изменило параметры DNS, чтобы перенаправить сайт их банка на поддельный клон. В течение трех дней оба родителя вошли в то, что казалось их легитимным порталом онлайн-банкинга, неосознанно предоставив учетные данные, которые злоумышленники использовали для инициирования денежных переводов. Семья обнаружила кражу только после того, как их платеж ипотеки отскочил, а судебная экспертиза выявила, что их маршрутизатор был скомпрометирован через неисправленную уязвимость, которую использовали инструменты автоматического сканирования.

Владелец малого бизнеса из Торонто попытался получить доступ к своей учетной записи на криптовалютной бирже, но был перенаправлен на сайт фарминга, который идеально имитировал легитимную платформу. В течение 45 минут после ввода своих учетных данных и кода двухфакторной аутентификации злоумышленники вывели из его учетной записи 12400 долларов США в биткойнах. Расследование показало, что DNS-сервер его интернет-провайдера был временно отравлен, затрагивая более 300 клиентов в его районе примерно на шесть часов до обнаружения и разрешения атаки.

Куда сообщить — Россия

Официальные каналы в вашем регионе для сообщения о мошенничестве.

МВД России — Управление «К»

Киберпреступность

Управление по борьбе с преступлениями в сфере IT. Электронное обращение в МВД.

Перейти →

Госуслуги — заявление в полицию

Сообщение

Подача заявления о мошенничестве через портал Госуслуг.

Перейти →

Роскомнадзор

Сообщение

Жалобы на сайты мошенников, утечки персональных данных.

Перейти →

Банк России — приёмная

Финансовый регулятор

Жалобы на финансовые пирамиды, нелегальных брокеров, банковское мошенничество.

8-800-300-30-00 Перейти →

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), фарминг (dns редирект) мошенничество: полное руководство по защите is described at https://scamlens.org/ru/encyclopedia/pharming.

https://scamlens.org/ru/encyclopedia/pharming

Начните здесь

Проверка Безопасности

Разведка

Инструменты и Отчёты

Премиум-услуги

Расширение и API

Фарминг (DNS редирект) мошенничество: полное руководство по защите

Распространённые тактики

Как распознать

Как защитить себя

Реальные примеры

Куда сообщить — Россия

МВД России — Управление «К»

Госуслуги — заявление в полицию

Роскомнадзор

Банк России — приёмная

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide