Il pharming è un cyberattacco che prevede che un attore malintenzionato reindirizzi il traffico di un sito web verso un altro sito web falso all’insaputa dell’utente. Si tratta di una tattica sempre più comune utilizzata dagli hacker per ottenere l’accesso alle informazioni personali di utenti ignari. A differenza di altre forme di attacco, come il phishing, che si basa su tattiche di ingegneria sociale, gli attacchi pharming eludere del tutto la consapevolezza dell’utente. Attraverso il pharming, i malintenzionati sono in grado di accedere silenziosamente a informazioni sensibili come password, credenziali bancarie e dati della carta di credito. In alcuni casi, l’aggressore può persino prendere il controllo del computer dell’utente. Per questo motivo, è importante che gli utenti siano consapevoli dei rischi posti dal pharming, al fine di proteggersi da potenziali attività dannose.
Pharming, di che cosa si tratta?
Il termine Pharming è frutto dell’unione di due parole: “phishing“, ossia reato “virtuale”, e “farming”, in italiano “agricoltura”.
Al pari del phishing, il pharming rappresenta un atto criminoso indirizzato a sottrarre dati degli utenti.
Nel caso specifico, gli hacker che ricorrono al pharming sono impegnati a manipolare il traffico di un determinato sito web.
I siti web truffaldini, in molti casi, portano l’ignaro utente a installare virus informatici o trojan sul Pc dell’utente. E questo dà modo ai criminali di rubare informazioni confidenziali e dati finanziari.
Pharming e phishing: tutte le differenze
Qual è la principale differenza tra pharming e phishing?
Il phishing consiste nell’inviare un’e-mail all’utente vittima. Il messaggio di posta elettronica inviato è dotato di un layout molto simile a quello delle comunicazioni rilasciate abitualmente da banche, istituti di credito o a quelle dell’azienda di cui hanno rubato l’identità. Chi solitamente riceve le e-mail di phishing potrebbe non essere così accorto nel comprendere di essere colpito da una truffa. La maggior parte delle email phishing contengono un allegato infetto, o un link che rimanda a siti web truffa.
Cliccando sul collegamento, l’utente viene rinviato su un sito web e invitato a inserire i suoi dati personali.
Trattandosi di una e-mail che non proviene realmente dalla banca o dall’istituto di credito in questione, bensì creata e inviata da un attaccante non autorizzato, i dati forniti finiranno nelle mani di tali soggetti. I dati raccolti nelle campagne phishing dalle povere vittime ignare vengono rivendute dai criminali informatici all’interno dei siti sul dark web.
Il successo degli attacchi di phishing è proprio legato al fatto che le e-mail sono solite presentare i medesimi indirizzi, numeri telefonici e loghi delle “vere” controparti.
Pharming, sotto la lente di ingrandimento
Al contrario, il pharming, dal canto suo, attacca l’utente variando gli indirizzi IP del server DNS.
In questo caso, lo scopo del pharming consiste nel far collegare gli utenti a un sito web fasullo. Sarà proprio su tale sito che avrà luogo la richiesta di dati personali e di credenziali. Sono soprattutto i siti di e-commerce, online banking e hosting, le vittime predilette. Purtroppo, la sola protezione del software antivirus non è sufficiente a garantire la distanza dal pharming informatico.
Per fronteggiare il phishing, invece, potresti affidarti a un software apposito, e verificare regolarmente lo stato di sicurezza del tuo account e i rapporti di credito.
Sempre parlando delle differenze esistenti tra phishing e pharming
c’è un altro aspetto che merita di essere ricordato: il pharming è molto meno semplice da rilevare, in quanto non fa ricorso a un’esca ma spinge l’utente verso un determinato sito senza attendere alcuna forma di consenso. Questo implica che sarà il destinatario dell’attacco a digitare l’URL sospetta. Non prevedendo un clic sull’email, con ogni probabilità la persona non si renderà conto della tentata frode.
I tipi di pharming attack
Sono due le metodologie di attacco più comuni basate sul pharming. La prima prevede l’installazione sul Pc dell’utente di un virus o di un trojan che modifica i file host per portarlo su un sito web fittizio. La seconda vede l’hacker intento a infettare un server DNS, raggiungendo il medesimo obiettivo finale: la visita a un sito fittizio.
Come funziona un attacco di pharming
La modifica delle impostazioni relative ai DNS consente ai cyber criminali di reindirizzare qualsivoglia richiesta verso pagine web sotto il loro controllo. A tal proposito, l’utente è destinato ad accorgersene quando è troppo tardi.
Tale tipologia di attacco è divenuta famosa con il nome di “drive-by“.
Altrettanto abituale è la compromissione del Pc dell’utente sotto attacco.
Cosa caratterizza questo metodo?
La modifica del file host locale (ossia una directory locale di indirizzi IP). Si è al cospetto, quindi, di un attacco combinato.
Per quale motivo?
Perché normalmente fa seguito al phishing o ad altre azioni destinate a propagare malware che intaccano il file host. Ulteriore via per condurre un’azione di pharming informatica consiste nell’avvelenamento DNS.
Gli hacker, nello specifico, approfittano della vulnerabilità del server DNS con l’obiettivo di reindirizzare il traffico verso l’indirizzo IP di una macchina sotto diretto controllo degli hacker. Questo processo porta la vittima a connettersi al sito Web malevolo senza effettuare nessuna azione.
Ecco per quale motivo questo attacco informatico viene denominato anche come phishing senza esca. È vero che non è così semplice compromettere i server DNS, in quanto protetti dalle difese adottate dall’azienda che li ospita. Ma, se perpetrato con successo, questo attacco finisce per coinvolgere un maggior numero utenti, traducendosi in una remunerazione migliore per gli aggressori.
L’avvelenamento dei DNS, inoltre, è capace di diffondersi ad ulteriori server DNS.
Un esempio ti renderà più chiaro quanto appena scritto. Prova a immaginare un ISP che riceva informazioni DNS da un server oggetto di “avvelenamento”. Memorizzando la voce danneggiata finirebbe per diffonderla su router e dispositivi. Gli host sono soliti aggirare il problema adottando una serie di precauzioni, a partire dalla digitazione manuale dell’indirizzo di un sito.
Diffuso è anche l’utilizzo di segnalibri affidabili. Entrambe le soluzioni, tuttavia, non sono tutt’oggi in grado di contrastare lo spoofing DNS, in quanto il reindirizzamento ha luogo dopo che la richiesta di connessione è già stata lanciata dal pc.
Se stai pensando che l’ipotesi di diventare vittime di tale attacco sia piuttosto remota, vi ricordiamo che un caso molto grave si è già verificato nel 2010.
Ad oggi gli attacchi più distruttivi si sono verificati in Brasile, nel 2015, e in Venezuela, quattro anni più tardi. In Brasile, in particolare, ad essere contaminati sono stati i router domestici appartenenti alla maggiore azienda operante nell’ambito delle telecomunicazioni.
Altrettanto celebre è stato l’attacco pharming che, nel 2017, ha colpito ben 50 istituti finanziari.
Riconoscere il pharming: i sintomi
Abbiamo appena sottolineato che, di fronte a un hacker abile a condurre attacchi pharming, è molto complesso (quasi impossibile) rendersi conto di essere stati reindirizzati su un sito web differente da quello desiderato, creato al solo scopo di rubare dati.
Ad ogni modo, esistono dei segnali che dovrebbero far insorgere in noi qualche sospetto. Non è raro che a porre in evidenza l’azione fraudolenta sia un messaggio proveniente dalla banca, o dal provider del servizio email, che chiede all’utente conferma dell’avvenuto accesso.
Le banche potrebbero divenire sospettose nel rilevare un accesso proveniente da un dispositivo (o da una posizione) diverse dal solito.
In tal caso non esitare a dare conferma della mancata autorizzazione all’accesso, seguendo poi le indicazioni rilasciate dall’istituto che ha inviato l’email. Esistono ulteriori attività anomale connesse al pharming. Tra le altre ricordiamo addebiti inattesi (su carta di credito, carta di debito o PayPal), post, messaggi o richieste di amicizia sui canali social non provenienti dall’utente, e password di account online variate.
Meno frequente è la comparsa di nuovi programmi su Pc o dispositivi mobile.
Proteggersi dal pharming: tutti i consigli
In linea generale spetterebbe all’internet service provider (ISP) trovare la risposta adeguata a un’azione contro il pharming informatica.
Gli strumenti più utilizzati?
Oltre a filtrare i siti web contenenti falsi reindirizzamenti, l’ISP può provvedere alla chiusura dei siti fraudolenti.
Ma al di fuori dell’intervento da parte dell’ISP ti sarà comunque possibile adottare misure capaci di bloccare il tentativo di frode.
Prima di visitare le pagine di un sito, ad esempio, dovresti controllare che l’URL sia riportato in modo corretto, e modificato in “https“.
La “s” finale, infatti, costituisce l’abbreviazione di “secure“, e la sua presenza ti rassicurerà sul fatto che il sito in cui ti troverai a navigare sia sicuro.
Fai ricorso all’azione del software di sicurezza per essere certo di visitare solo siti web affidabili. Anche un lucchetto chiuso, o l’esistenza di una chiave, inserite nella barra delle applicazioni del Pc, o nella parte inferiore del browser, indicano chiaramente che la connessione crittografica è sicura.
Al contrario, un lucchetto aperto, o una chiave rotta, fanno riferimento a una connessione non protetta.
La misura più importante per far fronte al pharming consiste nell’installare un potente antivirus in grado di individuare e rimuovere il malware presente sul proprio computer che causa il reindirizzamento verso siti dannosi.
E ancora,
Assicurati che l’URL dei siti che visiti sia corretto e, per la navigazione, scegli un ISP di comprovata esperienza.
Inoltre, un comportamento utile a difendersi dal pharming è cambiare spesso le password, evitando di impiegare la medesima password per più account online. La soluzione migliore è rappresentata da password al tempo stesso complesse e univoche (e un gestore di password ti aiuterà a gestirle senza problemi).
Per una sicurezza maggiore scegli l’autenticazione a due fattori, se te ne verrà data occasione.
Cerca inoltre di mantenere sempre “pulito” il browser eliminando cookie e plugin sospetti, e provvedi a cancellare la cronologia.
In questo articolo abbiamo potuto descrivere le caratteristiche dei attacco informatico pharming. Ci auguriamo di essere riusciti nell’intento di mettervi al corrente dei rischi che ogni giorno correte. Ecco per quale motivo vi sollecitiamo sempre a seguire, passo dopo passo, i nostri consigli di sicurezza informatica.
Lato tecnico, eseguire un Vulnerability Assessment sulla vostra rete vi permetterà di analizzare quali vulnerabilità di sicurezza sono presenti e come porvi rimedio. Questa soluzione vi salverà da ogni genere di attacco pharming.
Chi è Onorato Informatica?
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni. Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci!
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
