Il pharming è un attacco informatico avanzato che reindirizza segretamente gli utenti da siti web legittimi a quelli falsi. Questo metodo combina aspetti di phishing e farming per rubare informazioni sensibili. A differenza del phishing, che inganna le vittime tramite email false, il pharming modifica il funzionamento della navigazione su internet per inviare automaticamente gli utenti a siti dannosi. Gli aggressori ottengono questo risultato modificando le impostazioni DNS o utilizzando malware, permettendo loro di raccogliere dettagli personali, dati finanziari e credenziali di accesso senza che la vittima se ne accorga.
Comprendere le basi degli attacchi di Pharming
Gli attacchi di pharming mirano al Domain Name System (DNS), che traduce gli indirizzi dei siti web (URL) in indirizzi IP utilizzati dai computer per comunicare. Normalmente, quando gli utenti digitano l'URL di un sito nel loro browser, il DNS li indirizza all'indirizzo IP corretto. In un attacco di pharming, tuttavia, questo processo viene manipolato per reindirizzare gli utenti a siti falsi.
Lo scopo principale dei pharmer è rubare informazioni sensibili come credenziali di accesso, dettagli delle carte di credito, numeri di previdenza sociale e altri dati personali che possono essere utilizzati per il furto d'identità o frodi finanziarie. Poiché gli attacchi di pharming avvengono a livello di DNS, le vittime spesso non si accorgono di essere state reindirizzate a un sito falso, soprattutto perché questi siti fraudolenti imitano da vicino quelli legittimi.
Il pharming è particolarmente pericoloso perché richiede pochissima interazione da parte dell'utente. A differenza del phishing, che dipende dall'utente che clicca su link dannosi, il pharming può reindirizzare automaticamente gli utenti dopo che il DNS è stato compromesso. Questo lo rende un metodo potente per i cybercriminali per raccogliere dati su larga scala.
Tipi di attacchi di Pharming
Gli attacchi di pharming si suddividono in due principali categorie: pharming basato su DNS e pharming basato su host. Il pharming basato su DNS si verifica quando gli aggressori sfruttano vulnerabilità nell'infrastruttura DNS per reindirizzare gli utenti a siti web dannosi. Questo può essere realizzato tramite metodi come l'avvelenamento della cache DNS, compromettendo i server DNS o prendendo il controllo delle impostazioni DNS.
Il pharming basato su host, d'altra parte, implica la modifica del file host nel computer dell'utente o la modifica della configurazione DNS nella loro rete locale. Gli aggressori possono farlo cambiando il file host locale, manomettendo le impostazioni DNS del router o utilizzando malware. Il malware può manipolare le impostazioni DNS o i file host per reindirizzare gli utenti a siti fraudolenti.
Un'altra variante è il credential pharming, che mira specificamente alle credenziali di accesso. In questo tipo di attacco, gli utenti vengono reindirizzati a pagine di login false che imitano strettamente i siti web legittimi. Il credential pharming spesso combina più tecniche per aumentare la sua efficacia nel rubare informazioni sensibili degli utenti.
Come funzionano gli attacchi di Pharming
Gli attacchi di pharming di solito iniziano in uno dei due modi: tramite infezione da malware o avvelenamento della cache DNS. Negli attacchi basati su malware, gli utenti installano inconsapevolmente software dannoso che altera le impostazioni DNS o il file host del loro computer. Questo malware può essere consegnato tramite allegati di email infetti, download compromessi o siti web non sicuri che installano automaticamente codice dannoso.
L'avvelenamento della cache DNS prende di mira direttamente i server DNS. Gli aggressori corrompono i dati del server, permettendo loro di reindirizzare molti utenti contemporaneamente a siti falsi. Un server DNS avvelenato invia indirizzi IP errati, portando gli utenti su siti fraudolenti anziché su quelli che intendevano visitare.
Una volta che gli utenti vengono indirizzati a questi siti falsi, spesso vengono ingannati nell'inserire informazioni sensibili, come i dettagli di accesso o i dati finanziari. Questi siti fraudolenti sono progettati per sembrare identici a quelli legittimi, rendendo difficile per gli utenti riconoscere la truffa.
Sintomi comuni di un attacco di Pharming
Diversi segnali di avvertimento possono indicare che un attacco di pharming è in corso. Gli utenti potrebbero notare cambiamenti imprevisti su siti web familiari, come layout modificati o elementi mancanti. Avvisi o errori del certificato di sicurezza possono apparire quando si visitano siti precedentemente sicuri.
Altri segnali includono comportamenti di rete insoliti, reindirizzamenti imprevisti verso URL diversi o richieste strane di informazioni personali. Inoltre, i browser web potrebbero impiegare più tempo per caricare siti familiari o indirizzare gli utenti verso versioni sconosciute di siti web noti.
Anomalie finanziarie o relative agli account possono anche segnalare un attacco di pharming. Questo include transazioni non autorizzate, password cambiate o attività inaspettate sugli account. Gli utenti potrebbero anche ricevere email di conferma per azioni che non hanno intrapreso.
Pharming vs Phishing: Comprendere le differenze
Pharming e phishing sono entrambe tecniche utilizzate per rubare informazioni sensibili, ma utilizzano approcci diversi. Il phishing si basa sull'ingegneria sociale, utilizzando email false o messaggi per ingannare gli utenti e far cliccare su link dannosi. Il pharming, tuttavia, funziona senza richiedere alcuna azione da parte degli utenti. Reindirizza il traffico web manipolando il DNS o i file host.
Il pharming è generalmente considerato più pericoloso del phishing perché può colpire più utenti contemporaneamente e non richiede l'interazione dell'utente al di fuori della normale navigazione web. Tuttavia, gli attacchi di pharming sono meno comuni rispetto al phishing perché richiedono maggiore competenza tecnica e risorse per essere eseguiti con successo.
La differenza principale sta nel vettore di attacco: il phishing richiede l'azione dell'utente per cliccare su un link o scaricare un allegato, mentre il pharming reindirizza automaticamente gli utenti senza che se ne accorgano una volta che la compromissione iniziale è avvenuta. Questo rende il pharming particolarmente insidioso e difficile da rilevare.
Come proteggersi dal Pharming
Per proteggersi dagli attacchi di pharming, è essenziale adottare un approccio di sicurezza multilivello. Le organizzazioni dovrebbero utilizzare servizi DNS sicuri e aggiornare regolarmente il loro software DNS per affrontare le vulnerabilità potenziali. L'implementazione di DNSSEC (DNS Security Extensions) offre uno strato aggiuntivo di autenticazione, prevenendo efficacemente lo spoofing DNS.
Per gli utenti individuali, la protezione prevede l'aggiornamento del software antivirus, la scansione regolare per malware e l'adozione di precauzioni quando si scaricano file o si clicca su link sconosciuti. Verificare sempre i certificati di sicurezza del sito web e assicurarsi che l'URL inizi con HTTPS prima di inserire informazioni sensibili.
Passi protettivi aggiuntivi includono l'abilitazione della autenticazione a due fattori quando disponibile, l'aggiornamento del firmware del router e la sostituzione delle password predefinite del router con password forti e uniche. Le organizzazioni dovrebbero anche condurre regolarmente formazione sulla sicurezza per i dipendenti per aiutarli a identificare e segnalare attività sospette online.
