Содержание:
- Определение фарминга и основные виды этой техники
- Методы обнаружения фишинговых сайтов и защиты от фарминг-атак
Фишинг (англ. phishing), как вид мошенничества в Интернете, сегодня явление массовое и известное многим пользователям. Термин фишинг произошел от английского слова «fishing», переводящегося как «рыбная ловля». Действительно, аналогия очень уместная. В классическом фишинге злоумышленник распространяет письма электронной почты среди пользователей социальных сетей, онлайн-банкинга, почтовых веб-сервисов («закидывает удочку»). В этих письмах злоумышленник, от имени легальной организации, формулирует причины, по которым пользователю следует сообщить свои логин и пароль, используемые для регистрации в указанных службах. Такая причина выступает в роли «наживки» и часто в ее качестве указывается введение дополнительных мер безопасности, что требует от пользователя зайти на сайт службы (ссылка прилагается) и заново ввести логин и пароль. Ссылка в письме ведет на поддельный (фишинговый) сайт, имитирующий сайт легальной службы. Пользователи, ставшие жертвой обмана («проглотившие наживку»), сообщают, таким образом, свои логин и пароль. Собранные в результате подобной «рыбной ловли» аккаунты используются злоумышленниками в разнообразных схемах: рассылка спама, вымогательство денег за возвращение украденного аккаунта, кража денег и т.д. Многие пользователи, активно использующие современные веб-сервисы, не раз сталкивались с подобными случаями фишинга и проявляют осторожность к подобным фишинговым письмам. В тоже время техника фарминга, позволяющая злоумышленникам повысить эффективность фишинговых атак, используя специальные вредоносные программы, менее известна широкой аудитории. В нашем сегодняшнем выпуске мы расскажем о фарминге, его популярных видах и особенностях, а также о методах дополнительной защиты от этого распространенного явления.
В схеме классического фишинга основным слабым звеном, определяющим эффективность всей схемы, является зависимость от пользователя – «клюнет» он на «наживку» или нет. При этом с течением времени, повышается информированность пользователей о фишинговых атаках. Банки, социальные сети, прочие веб-службы предупреждают о разнообразных мошеннических приемах с использованием методов социальной инженерии. Все это снижает количество откликов в фишинговой схеме – все меньше пользователей удается завлечь обманным путем на поддельный сайт. Поэтому злоумышленники придумали механизм скрытого перенаправления пользователей на фишинговые сайты, получивший название фарминга («pharming» – производное от слов «phishing» и англ. «farming» – занятие сельским хозяйством, животноводством). Злоумышленник распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения к заданным сайтам на поддельные сайты. Таким образом, обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму – достаточно дождаться, когда пользователь решит посетить интересующие злоумышленника сайты. Вредоносные программы, реализующие фарминг-атаку, используют два основных приема для скрытного перенаправления на поддельные сайты – манипулирование файлом HOSTS или изменением информации DNS.
Изменение файла HOSTS мы неоднократно обсуждали в предыдущих выпусках (#5, #4), поэтому не будем останавливаться здесь подробно. Дополнительно к сказанному ранее отметим, разве что, разнообразие используемых платформ. Так вредоносные программы этого вида могут быть BAT-файлами (семейства , ), обычными PE EXE-файлами (семейства , , , ), скриптовыми программами (семейства , ), java-программами (). Основными целями являются социальные сети, системы онлайн-банкинга и всевозможные веб-службы. И еще один важный момент. Многие вредоносные программы перенаправляют пользователя на фишинговые сайты, которые под разными предлогами выманивают деньги. В других случаях, злоумышленники меняют пароль украденного аккаунта и потом предлагают вернуть аккаунт законному пользователю путем отправки на его адрес электронной почты письма с вымогательством денег. В обоих вариантах перечисление денег злоумышленникам осуществляется путем отправки SMS. Поэтому вредоносные программы этого вида часто блокируют доступ к сайтам компаний, владеющих указанным и короткими номерами, или перенаправляют на поддельные сайты. Делается это с целью не дать пользователю возможности узнать реальную стоимость SMS на сайте такой компании или обратиться в службу поддержки этой компании за помощью. Изменение файла HOSTS – наиболее простой прием фарминга. В следующем приеме данная идея развивается, затрудняя обнаружение факта подмены.
Изменение файла HOSTS широко используется вредоносными программами, однако такую модификацию легко обнаружить. В поисках путей повышения скрытности своих действий злоумышленники придумали изменять местоположение файла HOSTS. По умолчанию, система анализирует файл HOSTS, находящийся в директории . Однако этот путь может быть изменен путем определения нового значения в ключе системного реестра ветки . Так создает собственный файл HOSTS в каталоге и устанавливает путь к нему в системном реестре, а устанавливает путь к файлу HOSTS (рис. 1).
Рисунок 1. Переопределение пути к файлу HOSTS, выполненное вредоносной программой Trojan-Downloader.Win32.Esepor.z
Чтобы изменения немедленно вступили в действие, сразу же после изменения пути к файлу HOSTS вредоносная программа очищает DNS-кэш (рис. 2).
Рисунок 2. Очистка DNS-кэша командой ipconfig, выполняемая вредоносной программой Trojan-Downloader.Win32.Esepor.z
Таким образом, оригинальный файл HOSTS остается нетронутым, в то время как пользователь будет перенаправлен на фишинговые сайты. Особенностями рассмотренных приемов модификации файла HOSTS является их относительная простота в аспекте реализации, скрытность действия (зачастую, после изменения файла HOSTS вредоносная программа прекращает свою работу), отсутствие гибкой настройки (как правило, адреса фишинговых сайтов «жестко» прошиты внутри вредоносных программ без возможности их обновления). Реализация фарминга путем модификации DNS-информации предоставляют злоумышленникам большие возможности, более высокую скрытность и потому более опасны для пользователей.
Еще одним способом фарминга является скрытное изменение настроек DNS-серверов на компьютере пользователя путем изменения ключей системного реестра (рис. 3).
Так – представитель семейства – после запуска устанавливает собственные DNS-сервера (рис. 4). Схема работает следующим образом. Пользователь обращается к сайту онлайн-банкинга. Операционная система считывает содержимое файла HOSTS и, не обнаружив там соответствия для запрашиваемого доменного имени, обращается к заданному DNS-серверу. А поскольку вредоносной программой указан DNS-сервер злоумышленника, то последний может гибко управлять передаваемой пользователю информацией. Например, перенаправлять его на фишинговые сайты социальных сетей. Более того, злоумышленник может предоставлять услугу перенаправления зараженных компьютеров пользователей на заданные фишинговые сайты для прочих киберпреступников. Ведь все зараженные его вредоносной программой компьютеры будут обращаться к одному и тому же DNS-серверу. Например, один киберпреступник оплачивает услугу перенаправления в течение месяца пользователей, обращающихся к заданным социальным сетям, на указанные им фишинговые сайты. Другой киберпреступник заказывает услугу перенаправления на фишинговые сайты при обращении к указанным банковским сайтам. Альтернативным использованием вредоносных DNS-серверов может стать перенаправление пользователей на поддельные сайты, преследующие целью не кражу информации, а заражение пользовательского компьютера через уязвимости в браузерах. В результате, возможно осуществление массового заражения и организация нового ботнета. Таким образом, фарминг является весьма доходным видом мошенничества в Интернете. Рассмотренный прием обеспечивает высокую скрытность действий злоумышленника, т.к. видимых проявлений действия вредоносной программы не наблюдается – для большинства сайтов DNS-сервер злоумышленника предоставляет корректную информацию. Однако, злоумышленникам удалось усовершенствовать и этот механизм, подделывая не только DNS-сервера, но и DHCP-сервера – прием, который мы рассмотрим в следующем разделе.
Рисунок 4. Изменение DNS-серверов, выполняемые вредоносной программой Trojan.Win32.DNSChanger.pwf
Следующая вариация техники фарминга основана на создании ложного DCHP-сервера в локальной сети. С помощью протокола DCHP и DHCP-сервера в корпоративных локальных сетях осуществляется раздача IP-адресов и прочих сетевых настроек рабочим станциям. На этапе загрузки операционной системы рабочая станция, сконфигурированная на работу с DHCP, запрашивает в локальной сети доступные DCHP-серверы. DHCP-сервер, обнаруживший запрос от рабочей станции, предоставляет ей IP-адрес и, при необходимости, другие сетевые настройки, включая (!) адреса DNS-серверов. Протокол DCHP позволяет администраторам гибко управлять настройками TCP/IP в корпоративной сети, упрощает администрирование рабочих станций. Технику фарминга с использованием манипулирования DHCP-информацией, проиллюстрируем на примере одного из представителей этого метода. Рассмотрим процесс загрузки рабочей станции, настроенной на динамическое получение IP-адреса в локальной сети, в которой на одной из рабочих станций активна вредоносная программа . В процессе запуска рабочая станция (PC1) посылает в сеть широковещательный запрос «DHCP Discover» с целью обнаружить доступные DHCP-серверы. Поскольку стация еще не имеет собственного IP-адреса, то в поле «источник» указывается адрес , а в качестве адресата – (рис. 5).
Рисунок 5. Запрос «DHCP Discover» рабочей станции на получение IP
Легальный DHCP-сервер (S1), имеющий IP-адрес и работающий в локальной сети, обнаружив такой широковещательный запрос, отвечает сообщением «DHCP Offer», в котором предоставляет ей IP-адрес , а также адрес DNS-сервера (рис. 6, 7). Важно, что сервер S1 отвечает широковещательным запросом, что позволяет всем сетевым устройствам, в том числе и зараженной станции, быть в курсе происходящих переговоров.
Рисунок 6. Предложение настроек сети от легального DHCP-сервера
Рисунок 7. Предложение настроек сети от легального DHCP-сервера
Рабочая станция PC1 отвечает DHCP-серверу сообщением «DHCP Request», которым подтверждает принятие предложенных настроек (рис. 8). В общем случае, когда в локальной сети может быть множество DHCP-серверов, это сообщение со специально установленным полем сигнализирует DHCP-серверу, что рабочей станцией выбран именно он.
Рисунок 8. Сообщение рабочей станции о принятии предложенных настроек
Вслед за этим, DHCP-сервер отправляет подтверждение клиенту «DHCP ACK», в котором сообщает базовые сетевые настройки: маску подсети, срок аренды IP-адреса и др. (рис. 9).
Следующим сообщением «DHCP Inform» рабочая станция запрашивает дополнительные DHCP-настройки у DHCP-сервера (такие как, настройки HTTP-прокси и т.д.), используя для этого опять-таки широковещательный запрос (рис. 10).
Рисунок 10. Запрос на предоставление дополнительных DHCP-настроек
И тут на сцене появляется новое действующее лицо, молчавшее доселе и лишь внимательно слушавшее переговоры, благо вся переписка шла в широковещательном режиме. Вредоносная программа на зараженной станции TR1 (IP-адрес ) вмешивается в процесс коммуникации и отвечает сообщением «DHCP ACK» вместо легального DHCP-сервера, предоставляя собственные настройки. Эти настройки включают DNS-сервера злоумышленника (рис. 11). Мгновение спустя легальный сервер также отвечает на запрос рабочей станции РС1, но та уже приняла настройки от зараженной машины, т.е. фактически от ложного DHCP-сервера, и поэтому проигнорировала сообщение легального DHCP-сервера (рис. 12).
Рисунок 11. Предоставление DNS-настроек от зараженной машины
Рисунок 12. Предоставление DNS-настроек от легального сервера, уже игнорируемые рабочей станцией
В результате, рабочая станция приняла ложные настройки DNS, что приводит к скрытному перенаправлению на фишинговые сайты (рис. 13).
Рисунок 13. Настройки DNS на рабочей станции указывают на DNS-сервера злоумышленников
По сравнению с рассмотренными ранее схемами фарминга, данный прием позволяет атаковать не одного пользователя, но и соседей по локальной сети. Причем в число жертв могут попасть не только корпоративные пользователи, где чаще всего сетевые настройки устанавливаются DHCP-сервером, но и пользователи Wi-Fi сетей, доступных бесплатно в публичных местах. Заражение описанным способом вполне возможно в неправильно сконфигурированных Wi-Fi сетях. Отметим, что для выполнения DCHP-подмены вредоносная программа устанавливает в систему легальный драйвер , что может являться одним из признаков наличия вредоносной программы, реализующей описанную фарминг-атаку.
Существует множество менее распространенных, но не менее опасных механизмов реализации фарминг-атак. Например, манипулирование локальным DNS-кэшем компьютера. В DNS-кэше операционная система временно сохраняет соответствия между IP-адресом и доменным именем, чтобы не запрашивать каждый раз у DNS-серверов IP-адреса тех сайтов, обращения к которым уже осуществлялись в течение сеанса работы пользователя (рис. 14).
Рисунок 14. Пример содержимого DNS-кэша
Вредоносные программы могут изменить эти данные в памяти, сделав фарминг-атаку еще более скрытной. Изменение DNS-информации на DNS-серверах представляет собой еще более незаметную, а потому и опасную угрозу. В этом случае злоумышленники могут компрометировать информацию на DNS-серверах провайдеров Интернета, что позволяет им перенаправлять пользователей, вне зависимости используемой ими операционной системы, на фишинговые сайты. Впрочем, данную атаку значительно сложнее реализовать, поэтому основными механизмами реализации фарминг-атак остаются всевозможные манипуляции файлом HOSTS и настройками DNS-серверов. Те, кого данная тема интересует глубже, в частности, специфические способы фарминг-атак, могут познакомиться с документом «Pharming guide», подготовленным компанией NGS.
Поскольку конечная цель фарминга – посещение пользователем фишинговых сайтов, рассмотрим разнообразные подозрительные признаки таких сайтов, методы определения этих признаков и некоторые практически способы защиты от фарминг-атак. Начнем с самого простого. Как правило, фишинговые сайты регистрируются на подставных лиц, и физически могут располагаться на веб-серверах практически по всему миру. Эта особенность может использоваться как косвенный признак фарминг-атаки. Например, если веб-сайт российской социальной сети располагается на веб-сервере в Китае, Перу или Зимбабве, это повод усомниться в легальности подобного сайта даже самому неискушенному пользователю. Определить страну, в которой расположен веб-сервер посещаемого веб-сайта, можно, используя, например, расширение «Flagfox» для браузера Mozilla Firefox. На рисунке 15 изображена страница фишингового сайта, имитирующего сайт социальной сети «В Контакте». Перенаправление на данный сайт осуществила вредоносная программа . При этом расширение «Flagfox» демонстрирует, что веб-сервер данного сайта располагается в Китае. Если вы не помните все флаги, то достаточно навести указатель мыши на изображение флага, чтобы во всплывающем окне появилась расшифровка с полным названием страны.
Рисунок 15. Расширение «Flagfox» показывает, посещаемый сайт расположен на веб-сервере в Китае
Данный способ хорош своей универсальностью, т.к. позволит выявить признаки фишингового сайта, даже в самом сложном случае манипулирования информацией на удаленном DNS-сервере. Конечно же, если сайт злоумышленников располагается в той же стране, что и оригинальный сайт, выявить подделку данным способом не удастся. Еще одной особенностью фарминг-атаки является то, что, как правило, перенаправлению подвергаются сразу несколько сайтов, например, сайты разных банков или популярных социальных сетей. При этом физически все поддельные веб-сайты, опять же в большинстве случаев, располагаются на одном веб-сервере. Следовательно, если на сайте «Одноклассников» и «В Контакте» вы видите один и тот же IP-адрес, это явный признак злоумышленного перенаправления (рис. 16).
Рисунок 16. Разнообразные фишинговые сайты на одном и том же веб-сервере.
Так перенаправляет пользователей на поддельные сайты социальных сетей «Одноклассники», «В Контакте», почтовых сервисов «Яндекс.Почта», «Ramber.Почта». При этом все эти сайты размещены на одном и том же IP-адресе, что легко определить, используя расширение «Show IP» к браузеру Firefox. После установки расширения в строке статуса красным цветом будет отображаться IP-адреса посещаемого веб-сайта (рис. 17). А щелкнув правой кнопкой мыши на высветившимся IP-адресе и выбрав в контекстном меню пункт «whois», можно посмотреть на какого зарегистрирован указанный IP-адрес (рис. 17). Данная информация тоже может быть полезна в случае сомнений относительно посещаемого веб-сайта.
Рисунок 17. Регистрационные данные на фишинговый сайт.
Еще одним защитным механизмом является использование разнообразных антифишинговых фильтров. Данные фильтры включают в себя постоянно обновляемые базы фишинговых адресов, что позволяет блокировать доступ к поддельным сайтам. При этом неважно каким путем пользователь перенаправляется на поддельный сайт – в результате неосторожного открытия ссылки в фишинговом письме или в результате скрытого перенаправления с использованием вредоносных программ, т.е. с использованием техники фарминга. Если сайт находится в антифишинговой базе, доступ к нему будет ограничен. В современных браузерах, таких как Internet Explorer 8 или Firefox 3.5, есть встроенная защита от фишинга (рис. 18).
Рисунок 18. Блокирование фишингового сайта в Firefox 3.5.
Также антифишинговые модули присутствуют во многих продуктах, обеспечивающих комплексную антивирусную защиту. Например, в Kaspersky Internet Security 2010 встроен компонент защиты от фишинга, работа которого описана нами ранее в AVSSB #2. Он обеспечивает дополнительную защиту при работе в Интернете.
Рисунок 19. KIS2010 блокирует доступ к фишинговому сайту.
Также, можно порекомендовать альтернативные расширения к браузерам, информирующие об опасных веб-сайтах. Например, расширение «Web Of Trust» (WOT) для браузера Firefox, позволяет использовать альтернативную базу потенциально-опасных адресов (рис. 20). Комбинация нескольких антифишинговых механизмов позволяет повысить общий уровень защиты от фишинга за счет использования разных источников информации об опасных сайтах. Кроме того, присоединившись к сообществу WOT, вы сможете сами устанавливать рейтинги опасности веб-сайтов, помогая общей борьбе с Интернет-угрозами.
Слабым звеном антифишинговых решений является зависимость от антифишинговых баз, частоты их обновления и оперативности добавления в них информации о новых поддельных сайтах. Здесь помогли бы специализированные, анти-фарминговые средства защиты, однако ситуация с ними обстоит не самым лучшим образом. Например, из расширений к Firefox, заявленных как противостоящих фармингу, ни одно не решает поставленной задачи.
Рисунок 20. Расширение «WOT» блокирует доступ к фишинговому сайту.
Расширение «TrustBar» во-первых, не поддерживается уже много лет, а во-вторых, по факту позволяет защититься только от фишинга, но не фарминга. Расширение «Router Status», позволяющее выводить информацию о настройках маршрутизатора, поддерживает весьма ограниченный набор этих сетевых устройств и его эффективность в противодействии фарминг-атакам сомнительна. Интересная идея реализована в расширении «SCM», разработка которого была прекращена в 2007 году. Для всех посещаемых сайтов, расширение «SCM» запоминает соответствие между IP-адресом и доменным именем. При повторном посещении веб-сайта, «SCM» сравнивает IP-адрес, сохраненный в своей базе, с текущим IP-адресом веб-сайта. При обнаружении несоответствия, расширение пытается определить, является ли это следствием посещения фишингового сайта или же просто легальный веб-сайт использует несколько IP-адресов. Однако используемые в расширении алгоритмы разрешения обнаруженной проблемы, как показывает практика, не эффективны. Кроме того, само расширение существует только для 2-й версии Firefox и более не поддерживается. Можно отметить также антивирусную утилиту AVZ, с помощью которой можно выявить один из признаков проведенной фарминг-атаки – изменение местоположения файла HOSTS (рис. 21). Однако, в данном случае использование AVZ является не способом превентивной защиты, а скорее способом выяснения причин случившегося.
Рисунок 21. AVZ определяет факт изменения местоположения файла HOSTS.
Таким образом, в настоящее время для защиты от новых и старых вредоносных программ, осуществляющих фарминг-атаки, наиболее целесообразным является использование антивирусного продукта. Дополнительную безопасность могут обеспечить механизмы проактивной защиты. Так модуль «Контроль Приложений» в составе Kaspersky Internet Security 2010 во многих случаях позволяет блокировать попытки неизвестных приложений внести изменения в файл HOSTS. Для эксперимента мы установили KIS2010, и, не выполнив обновление антивирусных баз, запустили вредоносную программу , добавленную в антивирусные базы несколько месяцев спустя. Эта вредоносная программа перенаправляет пользователей на фишинговые банковские сайты. После ее запуска, KIS2010 предупредил о потенциальной опасности программы и предложил выбрать продолжение ее исполнение, ограничение выполнения опасных операций или запрет работы программы (рис. 22). В таких ситуациях мы рекомендуем блокировать работу программы или ограничивать ее исполнение. Мы выбрали режим «Ограничить», после чего программа запустилась, но изменить файл HOSTS не смогла, потому что попала в группу «Сильные ограничения» KIS2010.
Рисунок 22. Запуск вредоносной программы Trojan.Win32.QHost.mca, отсутствующей в антивирусной базе KIS2010 и изменяющей файл HOSTS, приводит к появлению диалогового сообщения KIS2010.
Фарминг-атаки представляют опасную угрозу для пользователей современных Интернет-сервисов в силу скрытности перенаправления на поддельные сайты злоумышленников. А современные фишинговые сайты выполняются на очень высоком уровне, не позволяя «на глаз» выявить их отличия от настоящих сайтов. Ящики электронной почты, аккаунты в социальных сетях, аккаунты к Интернет-банкингу являются основными мишенями злоумышленников, проводящих фарминг-атаки. Для защиты от фарминг-атак мы рекомендуем использовать комплексные решения по защите от Интернет-угроз. Комплексный подход позволяет противодействовать фарминг-атаке на разных этапах ее осуществления. Механизм антивирусной защиты с постоянно обновляемыми антивирусными базами блокирует известные вредоносные программы. Модули эвристической и проактивной защиты направлены на выявление вредоносных программ, отсутствующих в антивирусных базах. Модуль контроля приложений позволяет ограничивать активность неизвестных программ, блокируя изменения системных настроек. Наконец, специализированный антифишинговый компонент защищает от посещения фишинговых сайтов, заданных как доменными именем, так и IP-адресом. В том случае, если вы обнаружили на своем компьютере вредоносную программу одного из «фарминговых» семейств – , или , мы рекомендуем поменять пароли к используемым Интернет-сервисам.
На обложке нашего очередного выпуска мы впервые разместили головоломку. Она связана непосредственно с темой номера и потребует выполнения некоторых действий для нахождения ответа.
AV-School SECURITY BULLETIN #6
электронной почты среди пользователей социальных сетей, онлайн-банкинга, почтовых веб-сервисов («закидывает удочку»). В этих письмах злоумышленник, от имени легальной организации, формулирует причины, по которым пользователю следует сообщить свои логин и пароль, используемые для регистрации в указанных службах. Такая причина выступает в роли «наживки» и часто в ее качестве указывается введение дополнительных мер безопасности, что требует от пользователя зайти на сайт службы (ссылка прилагается) и заново ввести логин и пароль. Ссылка в письме ведет на поддельный (фишинговый) сайт, имитирующий сайт легальной службы. Пользователи, ставшие жертвой обмана («проглотившие наживку»), сообщают, таким образом, свои логин и пароль. Собранные в результате подобной «рыбной ловли» аккаунты используются злоумышленниками в разнообразных схемах: рассылка спама, вымогательство денег за возвращение украденного аккаунта, кража денег и т.д. Многие пользователи, активно использующие современные веб-сервисы, не раз сталкивались с подобными случаями фишинга и проявляют осторожность к подобным фишинговым письмам. В тоже время техника фарминга, позволяющая злоумышленникам повысить эффективность фишинговых атак, используя специальные вредоносные программы, менее известна широкой аудитории. В нашем сегодняшнем выпуске мы расскажем о фарминге, его популярных видах и особенностях, а также о методах дополнительной защиты от этого распространенного явления.
пользователей о фишинговых атаках. Банки, социальные сети, прочие веб-службы предупреждают о разнообразных мошеннических приемах с использованием методов социальной инженерии. Все это снижает количество откликов в фишинговой схеме – все меньше пользователей удается завлечь обманным путем на поддельный сайт. Поэтому злоумышленники придумали механизм скрытого перенаправления пользователей на фишинговые сайты, получивший название фарминга («pharming» – производное от слов «phishing» и англ. «farming» – занятие сельским хозяйством, животноводством). Злоумышленник распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения к заданным сайтам на поддельные сайты. Таким образом, обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму – достаточно дождаться, когда пользователь решит посетить интересующие злоумышленника сайты. Вредоносные программы, реализующие фарминг-атаку, используют два основных приема для скрытного перенаправления на поддельные сайты – манипулирование файлом HOSTS или изменением информации DNS.
(семейства , ), обычными PE EXE-файлами (семейства , , , ), скриптовыми программами (семейства , ), java-программами (). Основными целями являются социальные сети, системы онлайн-банкинга и всевозможные веб-службы. И еще один важный момент. Многие вредоносные программы перенаправляют пользователя на фишинговые сайты, которые под разными предлогами выманивают деньги. В других случаях, злоумышленники меняют пароль украденного аккаунта и потом предлагают вернуть аккаунт законному пользователю путем отправки на его адрес электронной почты письма с вымогательством денег. В обоих вариантах перечисление денег злоумышленникам осуществляется путем отправки SMS. Поэтому вредоносные программы этого вида часто блокируют доступ к сайтам компаний, владеющих указанным и короткими номерами, или перенаправляют на поддельные сайты. Делается это с целью не дать пользователю возможности узнать реальную стоимость SMS на сайте такой компании или обратиться в службу поддержки этой компании за помощью. Изменение файла HOSTS – наиболее простой прием фарминга. В следующем приеме данная идея развивается, затрудняя обнаружение факта подмены.
/ 
/ 
