Три способа обнаружения фарминг-атаки в Windows

[BarsMonster]

Да уж, сменить IP адрес нужного сервера — самый простой способ перехватить пароли…
И не обязательно снифить весь трафик…

А еще можно эмулировать ответы DNS сервера… :-)

[BarsMonster]

Это-то как раз элементарно, обычный HTTP прокси на 80-м порту :-)

[blum]

На «сменненом» IP достаточно поднять прокси, который бы выборочно логировал введённые жертвой данные, например логины с паролями, номера кредиток и т.п…

[BiTA]

Можно и так. Но выгоднее продавать услугу перенаправления пользователей такого своеобразного «ботнета» на заданные фишинговые сервера. Сегодня оплатили одни — перенаправление на одних, завтра другие — значит на них будет осуществлять перенаправление. Бизнес, так сказать.

[Makor]

SEO ботнет?:)

[Andrey_Rogovsky]

Если не работать от админского аккаунта — то по идее эти действия трояны не смогут совершать (под обычным юзером)

[BiTA]

Если в сети есть ложный DHCP-сервер, то не имеет никакого значения под какой учетной записью работать. В общем-то, не требуется даже наличие вредоносной программы на этом компьютере. Действующий в сети DNSChanger может подбросить ложные данные о DNS-серверах и все:) Подробнее про это описано в разделе «Регистрация ложного DHCP-сервера» полной версии статьи: av-school.ru/article/a-107.html

[GOLDEN_key]

Ложные DHCP-сервера детектятся

en.wikipedia.org/wiki/Rogue_DHCP

Rogue DHCP servers can be detected using:

* dhcp_probe (UNIX)
* dhcploc.exe (Win32) in ResourceKit
* Roadkil's DHCP Find (Win32)
* DHCP Sentry (Win32) – DHCP Sentry tool
* Scapy (Python)
* Rogue detect (Perl)

[CaptainFlint]

HKLM\System\ControlSet001\Services\tcpip\parameters

Лучше не ControlSet001, а CurrentControlSet, потому что ещё неизвестно, первый ли профиль используется системой на данный момент.

[CaptainFlint]

Хотя нет, лучше проверить сразу уж все профили ControlSetN.

[BiTA]

Точно! Обновил текст. Спасибо!

[BiTA]

Ха-ха-ха. Соглашусь на 100%. Меня буквально на днях спрашивали, неужели есть такие пользователи. Не просто есть, а много :) Впрочем, фарминг — атака скрытная, а поддельные странички настолько точно имитируют настоящие, что без спецсредств увидеть подмену имхо и не получится…

[Alibobaevich]

вот пару часов назад заметил в хроме:



конечно попасть на такую удочку сложно, т.к. хром отправляет на страницу поиска а не на свой «я счастливчик», да и хром пока не браузер «по умолчанию».

[BiTA]

Самое прикольное, что в нашей полной статье есть головоломка, которая очень близко связана с вашим скриншотом, он мог бы быть отправной точкой для решения :)

[sapsan]

В некоторых антивирусах уже добавлена проверка на изменение файла HOSTS. Думаю, что и вышеописанные проверки добавят. По крайней мере, стоит им задуматься о добавлении данной возможности, так как это их прерогатива. Спасибо за обзор.

[srka]

ну незнаю… незнаюю…

пойду-ка обновлю свою кубунту :)