How is pharming different from regular phishing attacks?

Pharming doesn't require you to click malicious links in emails or messages—it operates invisibly by manipulating DNS systems or your device's network settings to automatically redirect legitimate web addresses to fraudulent sites. While phishing relies on tricking you into clicking something suspicious, pharming works even when you type the correct URL directly into your browser. This makes pharming significantly more dangerous because you can follow all standard advice about avoiding suspicious links and still become a victim.

Can pharming attacks affect my mobile phone or only computers?

Pharming attacks affect any device that uses DNS to access websites, including smartphones, tablets, smart TVs, and IoT devices. If your home router's DNS settings are compromised, every device connected to your Wi-Fi network becomes vulnerable. Mobile devices can also be targeted through malicious apps that modify local DNS settings or through compromised public Wi-Fi networks that perform DNS hijacking. Both iOS and Android devices are susceptible, though mobile operating systems include some built-in protections against host file modifications.

How can I tell if my router has been compromised by pharming malware?

Log into your router's administration panel and check the DNS server settings—if you see unfamiliar IP addresses instead of your ISP's DNS servers or the public DNS you configured, your router may be compromised. Look for unexpected remote access settings being enabled, unfamiliar devices on your network, or recent configuration changes you didn't make. Many modern routers include security dashboards that flag suspicious DNS changes. If you're uncertain, contact your ISP or a technical support professional to verify your router settings are legitimate.

What should I do immediately if I suspect I've been victim of a pharming attack?

Immediately disconnect from the internet and change passwords for all financial accounts using a different device on a different network (like mobile data). Reset your router to factory settings and reconfigure it with a strong password and trusted DNS servers. Run comprehensive malware scans on all devices that used the compromised network. Contact your bank and credit card companies to freeze accounts and monitor for fraudulent transactions. File reports with the FBI's IC3 (ic3.gov) and your local police, as pharming incidents often require law enforcement involvement for investigation and recovery.

Are public DNS services like Google or Cloudflare really safer than my ISP's DNS?

Reputable public DNS services typically offer stronger security protections than default ISP DNS servers, including real-time threat intelligence, malware filtering, and DNSSEC validation that helps prevent DNS poisoning attacks. Services like Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8), and Quad9 (9.9.9.9) invest heavily in infrastructure security and have dedicated teams monitoring for DNS-based attacks. However, no DNS service is completely immune to sophisticated attacks. Using public DNS in combination with updated router firmware, strong passwords, and security software provides the best protection against pharming threats.

Nghiêm trọng Thiệt hại trung bình: $5,000 Thời gian thường thấy: 1-7 days

Lừa Đảo Pharming (Chuyển Hướng DNS): Hướng Dẫn Bảo Vệ Toàn Diện

Pharming là một trong những mối đe dọa mạng tinh vi và nguy hiểm nhất mà người dùng internet phải đối mặt ngày nay. Khác với phishing yêu cầu nạn nhân nhấp vào các liên kết độc hại, các cuộc tấn công pharming thao túng cài đặt Hệ Thống Tên Miền (DNS) để tự động chuyển hướng lưu lượng web hợp pháp đến các trang web giả mạo. Khi bạn nhập một URL đáng tin cậy như trang web ngân hàng của bạn vào trình duyệt, phần mềm độc hại pharming hoặc các máy chủ DNS bị xâm phạm sẽ chuyển hướng bạn đến một trang giả mạo trông giống hệt, được thiết kế để thu thập thông tin đăng nhập, dữ liệu tài chính và thông tin cá nhân của bạn. Theo Trung tâm Khiếu nại Tội phạm Internet của FBI, các cuộc tấn công dựa trên DNS đã gây ra thiệt hại hơn 57 triệu đô la Mỹ trong năm 2023, với mỗi nạn nhân cá nhân mất trung bình khoảng 5.000 đô la cho mỗi sự cố. Các cuộc tấn công pharming hoạt động ở hai cấp độ: pharming cục bộ nhắm vào các thiết bị cá nhân bằng cách sửa đổi tập tin hosts hoặc cài đặt phần mềm độc hại chiếm quyền điều khiển các yêu cầu DNS, trong khi các cuộc tấn công đầu độc máy chủ DNS làm tổn hại các máy chủ DNS của nhà cung cấp dịch vụ internet hoặc dịch vụ DNS công cộng, có thể ảnh hưởng đến hàng nghìn người dùng cùng lúc. Mức độ tinh vi của các cuộc tấn công này đã tăng lên đáng kể kể từ năm 2018, với các nhóm tội phạm mạng triển khai bộ công cụ tự động có thể lây nhiễm vào bộ định tuyến gia đình và chuyển hướng lưu lượng cho toàn bộ hộ gia đình. Các nhà nghiên cứu bảo mật đã ghi nhận các chiến dịch pharming nhắm vào các tổ chức tài chính lớn, sàn giao dịch tiền điện tử và các nền tảng thương mại điện tử trên Bắc Mỹ và châu Âu. Mối nguy hiểm của pharming không chỉ dừng lại ở thiệt hại tài chính ngay lập tức. Vì nạn nhân tin rằng họ đang truy cập các trang web hợp pháp thông qua URL đúng, họ sẵn sàng nhập các thông tin nhạy cảm bao gồm tên đăng nhập, mật khẩu, số thẻ tín dụng, số an sinh xã hội và câu trả lời cho các câu hỏi bảo mật. Những dữ liệu này tiếp tay cho việc đánh cắp danh tính, chiếm đoạt tài khoản và các vụ gian lận kéo dài có thể mất hàng tháng để phát hiện và nhiều năm để giải quyết. Nhóm Chống Phishing (Anti-Phishing Working Group) báo cáo rằng việc đánh cắp thông tin đăng nhập dựa trên pharming có tỷ lệ thành công lên đến 78%, so với 32% của các email phishing truyền thống, khiến nó hiệu quả gần 2,5 lần trong việc xâm nhập nạn nhân.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Nơi báo cáo

Thủ đoạn phổ biến

• Kẻ lừa đảo cài đặt phần mềm độc hại trên bộ định tuyến làm thay đổi cài đặt DNS trên các bộ định tuyến gia đình và doanh nghiệp nhỏ, chuyển hướng tất cả thiết bị trong mạng đến các trang giả mạo mà không có cảnh báo hiển thị hay yêu cầu tương tác từ người dùng.
• Kẻ tấn công xâm nhập các máy chủ DNS tại nhà cung cấp dịch vụ internet hoặc khai thác lỗ hổng trong các dịch vụ DNS công cộng để đầu độc bộ nhớ đệm DNS, khiến hàng nghìn người dùng bị chuyển hướng đến các trang web độc hại khi truy cập các tên miền hợp pháp.
• Tội phạm triển khai phần mềm độc hại thao túng tập tin hosts cục bộ trên máy tính Windows, Mac hoặc Linux để ghi đè các tra cứu DNS và chuyển hướng các tên miền giá trị cao đến các địa chỉ IP do kẻ tấn công kiểm soát.
• Kẻ gian tạo ra các bản sao hoàn hảo của các trang web ngân hàng, tiền điện tử và thương mại điện tử, giữ nguyên URL chính xác trên thanh địa chỉ thông qua các thủ thuật máy chủ phức tạp, khiến người dùng bình thường gần như không thể phát hiện.
• Kẻ lừa đảo lợi dụng các lỗ hổng trong firmware bộ định tuyến lỗi thời để truy cập từ xa và thay đổi vĩnh viễn cấu hình DNS, đảm bảo tất cả lưu lượng vẫn bị chuyển hướng ngay cả khi vectơ lây nhiễm ban đầu đã bị loại bỏ.
• Kẻ tấn công sử dụng kỹ thuật man-in-the-middle kết hợp với chiếm đoạt DNS để chặn mã xác thực hai yếu tố theo thời gian thực, cho phép họ vượt qua các biện pháp bảo mật và rút tiền ngay lập tức trước khi nạn nhân nhận ra.

Cách nhận biết

Trình duyệt của bạn hiển thị cảnh báo hoặc lỗi chứng chỉ bảo mật khi truy cập các trang web quen thuộc, đặc biệt nếu bạn thấy thông báo về tên chứng chỉ không khớp hoặc nhà phát hành không đáng tin cậy trên các trang bạn thường xuyên truy cập.
Các trang web ngân hàng hoặc tài chính tải với những khác biệt nhỏ về hình ảnh như logo hơi lệch, nút bấm không thẳng hàng, thiếu thông tin chân trang hoặc màn hình đăng nhập bất thường yêu cầu nhiều thông tin hơn bình thường.
Bạn nhận thấy các chuyển hướng bất ngờ khi nhập URL dẫn bạn đến một trang web trông đúng nhưng có giao diện hơi khác, tải chậm hơn bình thường hoặc hiển thị các chỉ báo bảo mật lạ.
Biểu tượng ổ khóa HTTPS bị mất trên các trang thường dùng kết nối bảo mật, hoặc khi nhấp vào ổ khóa lại hiển thị chứng chỉ được cấp cho tổ chức khác hoặc có ngày cấp gần đây.
Nhiều tài khoản của bạn có dấu hiệu truy cập trái phép hoặc yêu cầu đặt lại mật khẩu mà bạn không thực hiện, cho thấy thông tin đăng nhập đã bị thu thập từ trang đăng nhập bị xâm phạm trong một cuộc tấn công pharming.
Bảng quản trị bộ định tuyến của bạn hiển thị các địa chỉ máy chủ DNS mà bạn không cấu hình, đặc biệt là các địa chỉ IP lạ thay vì các máy chủ DNS tiêu chuẩn của nhà cung cấp dịch vụ hoặc các dịch vụ DNS công cộng nổi tiếng như 8.8.8.8.

Cách tự bảo vệ

Ngay lập tức thay đổi mật khẩu quản trị viên mặc định của bộ định tuyến thành mật khẩu mạnh, duy nhất và ít nhất 16 ký tự, đồng thời tắt các tính năng quản trị từ xa trừ khi thực sự cần thiết cho cấu hình mạng của bạn.
Cấu hình thủ công cài đặt DNS trên bộ định tuyến và thiết bị của bạn để sử dụng các dịch vụ DNS uy tín như Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8) hoặc Quad9 (9.9.9.9) có tích hợp tính năng bảo vệ chống phần mềm độc hại và phishing.
Cài đặt và duy trì phần mềm diệt virus và chống phần mềm độc hại cập nhật, bao gồm tính năng bảo vệ DNS và giám sát tập tin hosts, thực hiện quét toàn bộ hệ thống hàng tuần để phát hiện phần mềm độc hại pharming trước khi nó xâm nhập thông tin đăng nhập.
Xác minh firmware bộ định tuyến của bạn đã được cập nhật lên phiên bản mới nhất từ nhà sản xuất, vì các bản vá bảo mật thường khắc phục các lỗ hổng chiếm đoạt DNS mà kẻ tấn công khai thác trên các phiên bản cũ.
Kích hoạt xác thực DNSSEC (Mở rộng Bảo mật Hệ Thống Tên Miền) nếu bộ định tuyến hoặc dịch vụ DNS của bạn hỗ trợ, giúp xác minh mật mã rằng các phản hồi DNS không bị giả mạo trong quá trình truyền tải.
Đánh dấu trang các website tài chính quan trọng và chỉ truy cập chúng qua các bookmark đã lưu thay vì gõ URL, đồng thời bật các tính năng bảo mật trình duyệt cảnh báo về các trang độc hại đã biết và chứng chỉ SSL không hợp lệ.

Ví dụ thực tế

Một gia đình ở Seattle mất 190 triệu đồng khi phần mềm độc hại lây nhiễm vào bộ định tuyến gia đình và thay đổi cài đặt DNS để chuyển hướng trang web ngân hàng của họ đến một bản sao giả mạo. Trong ba ngày, cả hai cha mẹ đã đăng nhập vào cổng ngân hàng trực tuyến trông có vẻ hợp pháp mà không hay biết rằng thông tin đăng nhập của họ đã bị kẻ tấn công sử dụng để thực hiện các giao dịch chuyển tiền. Gia đình chỉ phát hiện vụ trộm khi khoản thanh toán thế chấp bị trả lại, và phân tích pháp y cho thấy bộ định tuyến của họ đã bị xâm phạm qua một lỗ hổng chưa được vá, bị khai thác bởi các công cụ quét tự động.

Một chủ doanh nghiệp nhỏ ở Toronto cố gắng truy cập tài khoản sàn giao dịch tiền điện tử của mình nhưng bị chuyển hướng đến một trang pharming sao chép hoàn hảo nền tảng hợp pháp. Trong vòng 45 phút sau khi nhập thông tin đăng nhập và mã xác thực hai yếu tố, kẻ tấn công đã rút 350 triệu đồng Bitcoin khỏi tài khoản của anh ta. Cuộc điều tra cho thấy máy chủ DNS của nhà cung cấp dịch vụ internet đã bị đầu độc tạm thời, ảnh hưởng đến hơn 300 khách hàng trong khu vực trong khoảng sáu giờ trước khi cuộc tấn công được phát hiện và xử lý.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), lừa đảo pharming (chuyển hướng dns): hướng dẫn bảo vệ toàn diện is described at https://scamlens.org/vi/encyclopedia/pharming.

https://scamlens.org/vi/encyclopedia/pharming

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API