How is pharming different from regular phishing attacks?

Pharming doesn't require you to click malicious links in emails or messages—it operates invisibly by manipulating DNS systems or your device's network settings to automatically redirect legitimate web addresses to fraudulent sites. While phishing relies on tricking you into clicking something suspicious, pharming works even when you type the correct URL directly into your browser. This makes pharming significantly more dangerous because you can follow all standard advice about avoiding suspicious links and still become a victim.

Can pharming attacks affect my mobile phone or only computers?

Pharming attacks affect any device that uses DNS to access websites, including smartphones, tablets, smart TVs, and IoT devices. If your home router's DNS settings are compromised, every device connected to your Wi-Fi network becomes vulnerable. Mobile devices can also be targeted through malicious apps that modify local DNS settings or through compromised public Wi-Fi networks that perform DNS hijacking. Both iOS and Android devices are susceptible, though mobile operating systems include some built-in protections against host file modifications.

How can I tell if my router has been compromised by pharming malware?

Log into your router's administration panel and check the DNS server settings—if you see unfamiliar IP addresses instead of your ISP's DNS servers or the public DNS you configured, your router may be compromised. Look for unexpected remote access settings being enabled, unfamiliar devices on your network, or recent configuration changes you didn't make. Many modern routers include security dashboards that flag suspicious DNS changes. If you're uncertain, contact your ISP or a technical support professional to verify your router settings are legitimate.

What should I do immediately if I suspect I've been victim of a pharming attack?

Immediately disconnect from the internet and change passwords for all financial accounts using a different device on a different network (like mobile data). Reset your router to factory settings and reconfigure it with a strong password and trusted DNS servers. Run comprehensive malware scans on all devices that used the compromised network. Contact your bank and credit card companies to freeze accounts and monitor for fraudulent transactions. File reports with the FBI's IC3 (ic3.gov) and your local police, as pharming incidents often require law enforcement involvement for investigation and recovery.

Are public DNS services like Google or Cloudflare really safer than my ISP's DNS?

Reputable public DNS services typically offer stronger security protections than default ISP DNS servers, including real-time threat intelligence, malware filtering, and DNSSEC validation that helps prevent DNS poisoning attacks. Services like Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8), and Quad9 (9.9.9.9) invest heavily in infrastructure security and have dedicated teams monitoring for DNS-based attacks. However, no DNS service is completely immune to sophisticated attacks. Using public DNS in combination with updated router firmware, strong passwords, and security software provides the best protection against pharming threats.

极高风险平均损失: $5,000 持续时间: 1-7 days

法默钓鱼（DNS重定向）诈骗：完整防护指南

法默钓鱼代表当今互联网用户面临的最复杂和最危险的网络威胁之一。与需要受害者点击恶意链接的钓鱼不同，法默钓鱼攻击通过操纵域名系统（DNS）设置来自动将合法网络流量重定向到欺诈网站。当您在浏览器中输入信任的URL（如您银行的网站）时，法默钓鱼恶意软件或被入侵的DNS服务器会将您重定向到一个外观相同的虚假网站，该网站被设计用来窃取您的凭证、财务信息和个人数据。根据FBI互联网犯罪投诉中心的数据，基于DNS的攻击在2023年导致超过5700万美元的报告损失，个人受害者平均每次事件损失5000美元。法默钓鱼攻击在两个层面上运作：本地法默钓鱼通过修改主机文件或安装劫持DNS请求的恶意软件来针对个人设备，而DNS服务器中毒攻击则破坏互联网服务提供商或公共DNS服务器，可能同时影响数千名用户。自2018年以来，这些攻击的复杂性急剧增加，网络犯罪集团部署自动化工具包，可以感染家庭路由器并为整个家庭重定向流量。安全研究人员已记录了针对北美和欧洲主要金融机构、加密货币交易所和电子商务平台的法默钓鱼活动。法默钓鱼的危险性超越了直接的经济损失。由于受害者相信他们正在通过正确的URL访问合法网站，他们会主动输入敏感信息，包括用户名、密码、信用卡号码、社会安全号码和安全问题答案。这些数据导致身份盗窃、账户接管和长期欺诈，可能需要数月才能被发现，数年才能解决。反钓鱼工作组报告称，基于法默钓鱼的凭证窃取成功率达到78%，而传统钓鱼电子邮件的成功率仅为32%，使其在破坏受害者方面的效率高出近2.5倍。

常见手法如何识别如何保护自己真实案例常见问题

常见手法

• 诈骗者在家庭和小型企业路由器上安装路由器恶意软件，更改DNS设置，将网络上的所有设备重定向到欺诈网站，无需任何可见警告或用户交互。
• 攻击者破坏互联网服务提供商的DNS服务器或利用公共DNS服务中的漏洞来中毒DNS缓存记录，导致数千名用户在访问合法域名时被重定向到恶意网站。
• 犯罪分子部署主机文件操纵恶意软件，修改Windows、Mac或Linux计算机上的本地主机文件以覆盖DNS查询，将特定高价值域名重定向到攻击者控制的IP地址。
• 诈骗者创建银行、加密货币和电子商务网站的像素完美副本，通过复杂的服务器端技巧在地址栏中维持正确的URL，使普通用户几乎无法检测。
• 诈骗者利用过时路由器固件中的漏洞获得远程访问权限，永久更改DNS配置，确保即使在移除初始感染向量后，所有流量仍保持重定向状态。
• 攻击者结合中间人技术和DNS劫持来实时拦截两步验证代码，允许他们绕过安全措施并在受害者注意到之前立即清空账户。

如何识别

您的浏览器在访问熟悉网站时显示安全证书警告或错误，特别是如果您看到关于证书名称不匹配或在您经常访问的网站上来自不受信任发行者的消息。
银行或金融网站加载时出现细微的视觉差异，如略微偏离的徽标、错位的按钮、缺失的页脚信息或请求超过正常信息的不寻常登录屏幕。
您注意到意外的重定向，输入URL后会转到看似正确但外观略有不同、加载速度比平常慢或显示陌生安全指标的网站。
通常使用安全连接的网站上的HTTPS挂锁指标缺失，或单击挂锁时显示颁发给不同组织的证书或最近颁发日期的证书。
多个账户显示您未启动的未授权访问尝试或密码重置请求，表明凭证在法默钓鱼攻击期间从被入侵的登录页面被窃取。
您的路由器管理面板显示您未配置的DNS服务器地址，特别是不熟悉的IP地址，而不是您ISP的标准DNS服务器或众所周知的公共DNS服务（如8.8.8.8）。

如何保护自己

立即将路由器的默认管理员密码更改为至少16个字符的强唯一密码，并除非绝对必要，否则禁用远程管理功能。
手动配置您的路由器和设备DNS设置以使用信誉良好的DNS服务，如Cloudflare（1.1.1.1）、Google公共DNS（8.8.8.8）或Quad9（9.9.9.9），这些服务包括恶意软件和钓鱼防护功能。
安装并维护包括DNS保护和主机文件监控的最新防病毒和反恶意软件，每周运行完整系统扫描以在凭证被泄露之前检测法默钓鱼恶意软件。
验证您的路由器固件已更新到制造商提供的最新版本，因为安全补丁通常可以解决攻击者在旧版本中积极利用的DNS劫持漏洞。
启用DNSSEC（域名系统安全扩展）验证（如果您的路由器或DNS服务支持），它可以以加密方式验证DNS响应在传输过程中未被篡改。
为关键金融网站添加书签，仅通过保存的书签访问它们而不是输入URL，并启用浏览器安全功能，对已知恶意网站和无效SSL证书发出警告。

真实案例

西雅图一个家庭损失了8200美元，当恶意软件感染他们的家庭路由器并更改DNS设置以将他们的银行网站重定向到欺诈克隆时。在三天内，两位父母都登录了他们认为是合法在线银行门户的网站，无意中提供了攻击者用来启动电汇的凭证。该家庭只有在他们的抵押贷款支付被拒绝时才发现盗窃，法医分析显示他们的路由器已被通过自动扫描工具利用的未修补漏洞破坏。

多伦多一位小企业主试图访问他的加密货币交易所账户，但被重定向到完美模仿合法平台的法默钓鱼网站。输入凭证和两步验证代码后的45分钟内，攻击者从他的账户中抽取了价值12,400美元的比特币。调查显示他ISP的DNS服务器已被临时中毒，影响了他所在地区超过300名客户，约六小时后才被发现和解决。

曼彻斯特一名大学生在法默钓鱼恶意软件修改了她笔记本电脑上的主机文件以将常见网站重定向到凭证收集服务器后，失去了对她的电子邮件、社交媒体和在线购物账户的访问权限。在四天的时间内，她无意中为11个不同的服务提供了密码，攻击者使用这些密码进行了总计3800美元的欺诈购买，并向她的联系人发送了钓鱼电子邮件。该学生只有在朋友报告了可疑消息时才发现被破坏，IT支持发现她的主机文件中有47个修改条目指向恶意IP地址。

常见问题

法默钓鱼与常规钓鱼攻击有什么不同？

法默钓鱼不需要您点击电子邮件或消息中的恶意链接——它通过操纵DNS系统或您设备的网络设置来隐形地工作，自动将合法网址重定向到欺诈网站。虽然钓鱼依赖于欺骗您点击可疑内容，但法默钓鱼即使在您直接在浏览器中输入正确URL时也能工作。这使法默钓鱼特别危险，因为您可以遵循所有关于避免可疑链接的标准建议，但仍然可能成为受害者。

法默钓鱼攻击是否只影响计算机，还是也影响我的手机？

法默钓鱼攻击影响任何使用DNS访问网站的设备，包括智能手机、平板电脑、智能电视和物联网设备。如果您的家庭路由器的DNS设置被破坏，连接到您Wi-Fi网络的每个设备都会变得易受攻击。移动设备也可以通过修改本地DNS设置的恶意应用或执行DNS劫持的被入侵公共Wi-Fi网络成为目标。iOS和Android设备都易受攻击，尽管移动操作系统包括针对主机文件修改的一些内置保护。

我如何判断我的路由器是否已被法默钓鱼恶意软件入侵？

登录您的路由器管理面板并检查DNS服务器设置——如果您看到不熟悉的IP地址而不是您ISP的DNS服务器或您配置的公共DNS，您的路由器可能已被入侵。查找您未进行的意外远程访问设置启用、网络上的不熟悉设备或最近配置更改。许多现代路由器包括标记可疑DNS更改的安全仪表板。如果您不确定，请联系您的ISP或技术支持专业人员以验证您的路由器设置是否合法。

如果我怀疑自己成为法默钓鱼攻击的受害者，我应该立即做什么？

立即断开互联网连接，并使用不同设备在不同网络上（如移动数据）更改所有财务账户的密码。将路由器重置为出厂设置，并使用强密码和受信任的DNS服务器重新配置。对所有使用被入侵网络的设备运行全面恶意软件扫描。联系您的银行和信用卡公司冻结账户并监控欺诈交易。向FBI IC3网站（ic3.gov）和当地警察提交报告，因为法默钓鱼事件通常需要执法部门参与调查和恢复。

Google或Cloudflare等公共DNS服务真的比我ISP的DNS更安全吗？

信誉良好的公共DNS服务通常提供比默认ISP DNS服务器更强大的安全保护，包括实时威胁情报、恶意软件过滤和有助于防止DNS中毒攻击的DNSSEC验证。Cloudflare（1.1.1.1）、Google公共DNS（8.8.8.8）和Quad9（9.9.9.9）等服务对基础设施安全投入巨资，并拥有专门的团队监控DNS攻击。但是，任何DNS服务都不完全免疫于复杂攻击。将公共DNS与更新的路由器固件、强密码和安全软件结合使用可以针对法默钓鱼威胁提供最佳保护。

按线索进入

安全检测

威胁情报

工具与举报

高级服务

扩展与 API