How is pharming different from regular phishing attacks?

Pharming doesn't require you to click malicious links in emails or messages—it operates invisibly by manipulating DNS systems or your device's network settings to automatically redirect legitimate web addresses to fraudulent sites. While phishing relies on tricking you into clicking something suspicious, pharming works even when you type the correct URL directly into your browser. This makes pharming significantly more dangerous because you can follow all standard advice about avoiding suspicious links and still become a victim.

Can pharming attacks affect my mobile phone or only computers?

Pharming attacks affect any device that uses DNS to access websites, including smartphones, tablets, smart TVs, and IoT devices. If your home router's DNS settings are compromised, every device connected to your Wi-Fi network becomes vulnerable. Mobile devices can also be targeted through malicious apps that modify local DNS settings or through compromised public Wi-Fi networks that perform DNS hijacking. Both iOS and Android devices are susceptible, though mobile operating systems include some built-in protections against host file modifications.

How can I tell if my router has been compromised by pharming malware?

Log into your router's administration panel and check the DNS server settings—if you see unfamiliar IP addresses instead of your ISP's DNS servers or the public DNS you configured, your router may be compromised. Look for unexpected remote access settings being enabled, unfamiliar devices on your network, or recent configuration changes you didn't make. Many modern routers include security dashboards that flag suspicious DNS changes. If you're uncertain, contact your ISP or a technical support professional to verify your router settings are legitimate.

What should I do immediately if I suspect I've been victim of a pharming attack?

Immediately disconnect from the internet and change passwords for all financial accounts using a different device on a different network (like mobile data). Reset your router to factory settings and reconfigure it with a strong password and trusted DNS servers. Run comprehensive malware scans on all devices that used the compromised network. Contact your bank and credit card companies to freeze accounts and monitor for fraudulent transactions. File reports with the FBI's IC3 (ic3.gov) and your local police, as pharming incidents often require law enforcement involvement for investigation and recovery.

Are public DNS services like Google or Cloudflare really safer than my ISP's DNS?

Reputable public DNS services typically offer stronger security protections than default ISP DNS servers, including real-time threat intelligence, malware filtering, and DNSSEC validation that helps prevent DNS poisoning attacks. Services like Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8), and Quad9 (9.9.9.9) invest heavily in infrastructure security and have dedicated teams monitoring for DNS-based attacks. However, no DNS service is completely immune to sophisticated attacks. Using public DNS in combination with updated router firmware, strong passwords, and security software provides the best protection against pharming threats.

Critical Average Loss: $5,000 Typical Duration: 1-7 days

Arnaque au Pharming (Redirection DNS) : Guide Complet de Protection

Le pharming représente l'une des menaces cybernétiques les plus sophistiquées et dangereuses auxquelles font face les utilisateurs d'Internet aujourd'hui. Contrairement au phishing qui exige que les victimes cliquent sur des liens malveillants, les attaques de pharming manipulent les paramètres du système de noms de domaine (DNS) pour rediriger automatiquement le trafic web légitime vers des sites frauduleux. Lorsque vous tapez une URL de confiance, comme celle de votre banque, dans votre navigateur, le malware de pharming ou les serveurs DNS compromis vous redirigent vers un faux site identique conçu pour capturer vos identifiants, informations financières et données personnelles. Selon le FBI's Internet Crime Complaint Center, les attaques basées sur le DNS ont contribué à plus de 57 millions de dollars de pertes signalées en 2023, les victimes individuelles perdant en moyenne 5 000 dollars par incident. Les attaques de pharming opèrent à deux niveaux : le pharming local cible les appareils individuels en modifiant le fichier hosts ou en installant des logiciels malveillants qui détournent les requêtes DNS, tandis que les attaques d'empoisonnement de serveurs DNS compromettent les serveurs DNS des fournisseurs d'accès Internet ou les serveurs DNS publics, affectant potentiellement des milliers d'utilisateurs simultanément. La sophistication de ces attaques a augmenté dramatiquement depuis 2018, avec des groupes de cybercriminels déployant des kits d'outils automatisés capables d'infecter les routeurs domestiques et de rediriger le trafic pour des ménages entiers. Les chercheurs en sécurité ont documenté des campagnes de pharming ciblant les principales institutions financières, les bourses de cryptomonnaies et les plateformes de commerce électronique en Amérique du Nord et en Europe. Le danger du pharming dépasse la perte financière immédiate. Parce que les victimes croient accéder à des sites web légitimes via des URL correctes, elles saisissent volontairement des informations sensibles incluant les noms d'utilisateur, mots de passe, numéros de cartes de crédit, numéros de sécurité sociale et réponses aux questions de sécurité. Ces données alimentent l'usurpation d'identité, les reprises de compte et les fraudes à long terme qui peuvent prendre des mois à détecter et des années à résoudre. L'Anti-Phishing Working Group rapporte que le vol d'identifiants basé sur le pharming a un taux de succès de 78 % comparé à 32 % pour les courriels de phishing traditionnels, ce qui le rend près de 2,5 fois plus efficace pour compromettre les victimes.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Les escrocs installent un malware de routeur qui modifie les paramètres DNS sur les routeurs résidentiels et les petits routeurs commerciaux, redirigeant tous les appareils du réseau vers des sites frauduleux sans aucun avertissement visible ni interaction utilisateur requise.
• Les attaquants compromettent les serveurs DNS auprès des fournisseurs d'accès Internet ou exploitent les vulnérabilités des services DNS publics pour empoisonner les enregistrements du cache DNS, causant la redirection de milliers d'utilisateurs vers des sites malveillants lors de l'accès à des domaines légitimes.
• Les criminels déploient un malware de manipulation du fichier hosts qui modifie le fichier hosts local sur les ordinateurs Windows, Mac ou Linux pour contourner les recherches DNS et rediriger des domaines spécifiques de haute valeur vers des adresses IP contrôlées par des attaquants.
• Les fraudeurs créent des répliques parfaites au pixel près des sites bancaires, de cryptomonnaies et de commerce électronique qui maintiennent l'URL correcte dans la barre d'adresse grâce à des astuces sophistiquées côté serveur, rendant la détection presque impossible pour les utilisateurs moyens.
• Les escrocs exploitent les vulnérabilités du micrologiciel de routeur obsolète pour obtenir un accès à distance et modifier définitivement les configurations DNS, garantissant que tout le trafic reste redirigé même après la suppression du vecteur d'infection initial.
• Les attaquants utilisent des techniques d'attaque par interception combinées au détournement DNS pour intercepter les codes d'authentification à deux facteurs en temps réel, leur permettant de contourner les mesures de sécurité et de vider immédiatement les comptes avant que les victimes ne s'en aperçoivent.

How to Identify

Votre navigateur affiche des avertissements ou des erreurs de certificat de sécurité lors de l'accès aux sites web familiers, surtout si vous voyez des messages indiquant que les noms de certificat ne correspondent pas ou que les émetteurs ne sont pas fiables sur les sites que vous visitez régulièrement.
Les sites bancaires ou financiers se chargent avec des différences visuelles subtiles comme des logos légèrement décalés, des boutons mal alignés, des informations de pied de page manquantes ou des écrans de connexion inhabituels demandant plus d'informations que d'habitude.
Vous remarquez des redirections inattendues où la saisie d'une URL vous mène à un site web qui semble correct mais a une apparence légèrement différente, se charge plus lentement que d'habitude ou affiche des indicateurs de sécurité inhabituels.
Les indicateurs de cadenas HTTPS manquent sur les sites qui utilisent normalement des connexions sécurisées, ou cliquer sur le cadenas révèle des certificats émis par des organisations différentes ou avec des dates d'émission récentes.
Plusieurs comptes affichent des tentatives d'accès non autorisées ou des demandes de réinitialisation de mot de passe que vous n'avez pas initiées, suggérant que les identifiants ont été collectés à partir d'une page de connexion compromise lors d'une attaque de pharming.
Votre panneau d'administration de routeur affiche des adresses de serveur DNS que vous n'avez pas configurées, en particulier des adresses IP non familières au lieu des serveurs DNS standard de votre fournisseur ou des services DNS publics bien connus comme 8.8.8.8.

How to Protect Yourself

Changez immédiatement le mot de passe administrateur par défaut de votre routeur en un mot de passe fort et unique d'au moins 16 caractères, et désactivez les fonctionnalités d'administration à distance sauf si absolument nécessaires pour la configuration de votre réseau.
Configurez manuellement les paramètres DNS de votre routeur et de vos appareils pour utiliser des services DNS réputés comme Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8) ou Quad9 (9.9.9.9) qui incluent des fonctionnalités de protection contre les malwares et le phishing.
Installez et maintenez à jour un logiciel antivirus et anti-malware qui inclut la protection DNS et la surveillance du fichier hosts, en exécutant des analyses système complètes chaque semaine pour détecter le malware de pharming avant qu'il ne compromette les identifiants.
Vérifiez que le micrologiciel de votre routeur est mis à jour vers la dernière version disponible auprès du fabricant, car les correctifs de sécurité traitent souvent les vulnérabilités de détournement DNS que les attaquants exploitent activement dans les versions anciennes.
Activez la validation DNSSEC (Domain Name System Security Extensions) si votre routeur ou service DNS la supporte, ce qui vérifie cryptographiquement que les réponses DNS n'ont pas été altérées pendant la transmission.
Créez des signets pour les sites financiers critiques et accédez-y uniquement par les signets enregistrés plutôt que de taper les URL, et activez les fonctionnalités de sécurité du navigateur qui avertissent des sites malveillants connus et des certificats SSL invalides.

Real-World Examples

Une famille de Seattle a perdu 8 200 dollars lorsqu'un malware a infecté leur routeur domestique et a modifié les paramètres DNS pour rediriger le site web de leur banque vers un clone frauduleux. Sur trois jours, les deux parents se sont connectés à ce qui semblait être leur vrai portail bancaire en ligne, fournissant involontairement des identifiants que les attaquants ont utilisés pour initier des virements. La famille n'a découvert le vol que lorsque leur paiement hypothécaire a été rejeté, et l'analyse médico-légale a révélé que leur routeur avait été compromis par une vulnérabilité non corrigée exploitée par des outils d'analyse automatisés.

Un propriétaire de petite entreprise à Toronto a tenté d'accéder à son compte de bourse de cryptomonnaies mais a été redirigé vers un site de pharming qui imitait parfaitement la plateforme légitime. En moins de 45 minutes après avoir saisi ses identifiants et son code d'authentification à deux facteurs, les attaquants ont vidé 12 400 dollars de Bitcoin de son compte. L'enquête a révélé que le serveur DNS de son fournisseur d'accès avait été temporairement empoisonné, affectant plus de 300 clients dans sa région pendant environ six heures avant que l'attaque ne soit détectée et résolue.

Une étudiante à Manchester a perdu l'accès à son courrier électronique, ses comptes de médias sociaux et ses comptes de magasinage en ligne après que un malware de pharming ait modifié le fichier hosts de son ordinateur portable pour rediriger les sites web courants vers des serveurs de collecte d'identifiants. Sur une période de quatre jours, elle a involontairement fourni des mots de passe pour 11 services différents, que les attaquants ont utilisés pour effectuer des achats frauduleux totalisant 3 800 dollars et envoyer des courriels de phishing à ses contacts. L'étudiante n'a découvert la compromission que lorsque des amis ont signalé des messages suspects, et le support informatique a trouvé 47 entrées modifiées dans son fichier hosts pointant vers des adresses IP malveillantes.

Frequently Asked Questions

En quoi le pharming diffère-t-il des attaques de phishing ordinaires ?

Le pharming ne vous oblige pas à cliquer sur des liens malveillants dans des courriels ou des messages—il fonctionne de manière invisible en manipulant les systèmes DNS ou les paramètres réseau de votre appareil pour rediriger automatiquement les adresses web légitimes vers des sites frauduleux. Alors que le phishing repose sur le fait de vous tromper pour que vous cliquiez sur quelque chose de suspect, le pharming fonctionne même si vous tapez la bonne URL directement dans votre navigateur. Cela rend le pharming beaucoup plus dangereux car vous pouvez suivre tous les conseils standard pour éviter les liens suspects et devenir quand même victime.

Les attaques de pharming peuvent-elles affecter mon téléphone mobile ou seulement les ordinateurs ?

Les attaques de pharming affectent tout appareil qui utilise le DNS pour accéder aux sites web, y compris les smartphones, tablettes, téléviseurs intelligents et appareils IoT. Si les paramètres DNS de votre routeur domestique sont compromis, chaque appareil connecté à votre réseau Wi-Fi devient vulnérable. Les appareils mobiles peuvent également être ciblés via des applications malveillantes qui modifient les paramètres DNS locaux ou via des réseaux Wi-Fi publics compromis qui effectuent un détournement DNS. Les appareils iOS et Android sont tous deux susceptibles, bien que les systèmes d'exploitation mobiles incluent certaines protections intégrées contre les modifications du fichier hosts.

Comment puis-je savoir si mon routeur a été compromis par un malware de pharming ?

Connectez-vous au panneau d'administration de votre routeur et vérifiez les paramètres du serveur DNS—si vous voyez des adresses IP non familières au lieu des serveurs DNS de votre fournisseur ou du DNS public que vous avez configuré, votre routeur peut être compromis. Cherchez les paramètres d'accès à distance inattendus activés, les appareils non familiers sur votre réseau ou les modifications de configuration récentes que vous n'avez pas effectuées. De nombreux routeurs modernes incluent des tableaux de bord de sécurité qui signalent les changements DNS suspects. Si vous êtes incertain, contactez votre fournisseur d'accès ou un professionnel du support technique pour vérifier que les paramètres de votre routeur sont légitimes.

Que dois-je faire immédiatement si je soupçonne être victime d'une attaque de pharming ?

Déconnectez-vous immédiatement d'Internet et modifiez les mots de passe de tous vos comptes financiers en utilisant un appareil différent sur un réseau différent (comme les données mobiles). Réinitialisez votre routeur aux paramètres d'usine et reconfigurez-le avec un mot de passe fort et des serveurs DNS de confiance. Exécutez des analyses anti-malware complètes sur tous les appareils qui ont utilisé le réseau compromis. Contactez votre banque et les sociétés de cartes de crédit pour geler les comptes et surveiller les transactions frauduleuses. Déposez des rapports auprès du FBI's IC3 (ic3.gov) et de votre police locale, car les incidents de pharming nécessitent souvent l'intervention des forces de l'ordre pour l'enquête et la récupération.

Les services DNS publics comme Google ou Cloudflare sont-ils vraiment plus sûrs que le DNS de mon fournisseur d'accès ?

Les services DNS publics réputés offrent généralement des protections de sécurité plus fortes que les serveurs DNS ISP par défaut, y compris l'intelligence des menaces en temps réel, le filtrage des malwares et la validation DNSSEC qui aide à prévenir les attaques d'empoisonnement DNS. Des services comme Cloudflare (1.1.1.1), Google Public DNS (8.8.8.8) et Quad9 (9.9.9.9) investissent massivement dans la sécurité des infrastructures et disposent d'équipes dédiées surveillant les attaques basées sur le DNS. Cependant, aucun service DNS n'est complètement immune aux attaques sophistiquées. L'utilisation du DNS public en combinaison avec un micrologiciel de routeur mis à jour, des mots de passe forts et un logiciel de sécurité offre la meilleure protection contre les menaces de pharming.

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API