Захист від фармінг-атаки на NetSpider - персональний блог

Захист від фармінг-атаки

Фармінг-атаки – це атаки, при яких браузер користувача потай направляється на фішинговий (підроблений) сайт.

Файл hosts

За умовчанням, файл HOSTS лежить у каталозі %SYSTEMROOT%\system32\drivers\etc (інший варіант вказівки шляху: %WINDIR%\system32\drivers\etc).

Для відновлення працездатності у файлі HOSTS слід видалити всі рядки, залишивши тільки 127.0.0.1 localhost і ті, які особисто ви туди додавали (якщо додавали). Не забудьте змінити паролі до всіх веб-сервісів, якими ви користуєтеся, та фішингові сайти яких були вказані у зміненому файлі HOSTS.

/!\ Важливо! Після внесення змін до файлу HOSTS слід перезапустити всі відкриті браузери, а найкраще – перезавантажити комп'ютер.

Розташування файлу HOSTS

Модифікацію файлу HOSTS легко знайти. У пошуках шляхів підвищення скритності своїх дій зловмисники придумали змінювати розташування файлу HOSTS. Шлях до файлу HOSTS може бути змінений шляхом визначення нового значення в ключі системного реєстру DataBasePath гілки HKLM\System\ControlSet001\Services\tcpip\parameters (краще подивитися всі гілки, починаючи з CurrentControlSet і до ControlSet001/N). Так Trojan.BAT.Delude.e створює власний файл HOSTS у каталозі %WINDIR%\Help і встановлює шлях до нього в реєстрі, а Trojan-Downloader.Win32.Esepor.z встановлює шлях %WINDIR%\NSDB до файлу HOSTS.

захист

Якщо в даному ключі прописаний шлях, відмінний від %SystemRoot%\System32\drivers\etc, перевірте файл HOSTS по вказаному там шляху, щоб дізнатися, до яких сайтів має сенс змінювати паролі. Потім поміняйте шлях на стандартний, а шкідливий файл HOSTS видаліть.

Перевірка налаштувань DNS-серверів

Ще один метод фармінгу полягає у вказівці DNS-серверів зловмисника. Наприклад, шкідлива програма Trojan.Win32.DNSChanger.pwf замінює вказані в операційній системі DNS-сервера на DNS-сервера зловмисників шляхом змін у системному реєстрі.

Для виявлення такого типу фармінг-атаки виконайте команду:

яка виведе вам усі налаштування мережевих інтерфейсів. Перевірте вказані там "DNS Servers" і порівняйте їх із виданими вам вашим провайдером. Якщо виявите, що DNS-сервера підмінені, відновити коректні значення можна в налаштуваннях властивостей TCP/IP.