Pharming, che cos’è?
Il mondo delle truffe online è vasto e sempre in continua evoluzione. Ecco che oltre al fenomeno del phishing oggi è opportuno sapere anche quando ci troviamo di fronte alla pratica del pharming. Ne avete mai sentito parlare?
Nel caso in cui questo termine vi risulti completamente sconosciuto, dobbiamo dirvelo, siete capitati nel posto giusto.
In questo articolo parleremo degli attacchi Pharming, una tecnica di hacking che porta l’utente vittima a navigare su siti web fraudolenti generalmente con lo scopo di sottrarre quante più informazioni riservate possibili.
Siete pronti?
In questo articolo ci focalizzeremo sui seguenti argomenti:
- Cos’è il Pharming
- Come funziona
- Quali rischi si corrono
- Come ci si difende
Cos’è il Pharming
Il pharming è una truffa online. A rendere così temibile questa minaccia è propriamente la sua natura: l’hacker crea una copia di un sito web e cerca in tutti i modi possibili di farvi atterrare gli utenti. Il risultato che si ottiene in seguito ad un attacco Pharming è portare la vittima a navigare su siti web fraudolenti o siti cloni dei domini ufficiali. Le piattaforme maggiormente prese di mira sono quelle appartenenti a banche, enti pubblici e aziende finanziare in generale.
Se questa pericolosa minaccia vi riporta alla mente il fenomeno del phishing dobbiamo sottolinearne una differenza sostanziale:
- Nel Phishing la vittima viene attirata da un’esca, come il contenuto di un’e-mail che la invita a compiere un’azione, aprire un link che porti al sito fraudolento.
- Nel Pharming la vittima accede, o meglio è convinta di accedere, ad un sito noto, digitando un URL che conosce a memoria (p.e. www.google.com) o scegliendo tra quelli salvati tra preferiti o segnalibri, ma viene reindirizzata a sua insaputa su un sito clone.
Ma come funziona l’attacco pharming?
Il pharming utilizza il meccanismo alla base della navigazione in Internet. Ecco come
Come si svolge un attacco informatico con tecnica di Pharming
Per comprendere appieno il meccanismo di funzionamento di questa truffa online bisogna fare un passo indietro. Per comprendere i rischi legati al Pharming è necessario conoscere i meccanismi di base della navigazione Internet.
Siamo tutti abituati a identificare i siti web che vogliamo visitare col nome del loro dominio, ad esempio google.com o cyberment.it.
Questo ci permette di ricordarli facilmente; ma dietro un URL esiste un meccanismo che permette di convertire gli Uniform Resource Locator in indirizzi IP. In questo passaggio entrano in gioco i server DNS.
I server DNS (Domain Name System) sono macchine generalmente gestiti dai provider di servizi Internet (ISP).
Ogni server DNS ha un suo specifico indirizzo IP, questo viene assegnato in maniera dinamica ai dispositivi per la navigazione internet dagli apparati di rete del provider o dell’infrastruttura a cui ci si connette. Il loro compito è “tradurre” il nome di un sito in una informazione numerica.
Quando sul nostro browser web digitiamo un URL qualsiasi, ovvero l’indirizzo del sito che si vuole visitare, viene interrogato un server DNS per associare al dominio il suo corrispettivo indirizzo IP.
Ad esempio, quando scriveremo www.google.it, il server DNS restituirà l’indirizzo IP 142.250.180.131, che è il dato necessario per raggiungere in maniera univoca il server che ospita il sito web indicato.
La tecnica del Pharming interferisce esattamente in questo sistema di risoluzione dei nomi e si completa in due fasi:
- compromissione del meccanismo di risoluzione DNS;
- truffa attraverso il sito web fake.
Il vero problema implicato dal pharming è che si tratta di una pratica cybercrime difficile da identificare per il comune utente.
In caso di attacchi al server DNS, l’utente colpito può disporre di un computer senza malware ed essere comunque vittima di un attacco.
Il Pharming può manifestarsi in due modi diversi:
- Pharming malware
- Compromissione del server DNS (DNS poisoning)
Pharming via malware
Il Pharming malware è una tecnica di hacking per mezzo della quale avviene l’infezione del dispositivo utilizzato per la navigazione Internet.
L’attaccante quindi decide di colpire un computer o un dispositivo specifico attraverso un malware.
Quasi sempre, i malware che vengono impiegati per l’attacco di Pharming vengono installati a bordo dispositivo con la complicità di utenti ignari.
L’attacco viene reso possibile dalla presenza di virus come i Trojan horse.
La presenza di un trojan horse in questo caso non provoca blocchi o malfunzionamenti evidenti del dispositivo. Gli unici sintomi che possono in qualche modo allarmare l’utente si manifestano solo quando viene effettuato l’accesso ai siti web trappola.
Generalmente questi malware si limitano a:
- modificare il file Hosts
- modificare alcune chiavi di registro
- mettere mano agli indirizzi dei server DNS di riferimento
- modificare la cache DNS.
In un ambiente di lavoro in cui un insieme di computer siano in rete sotto un Domain Controller che funga anche da server DNS per le macchine del dominio locale, riuscire a compromettere il server significa esporre al Pharming l’intera rete aziendale.
DNS Poisoning
La Compromissione del Server DNS (DNS Poisoning) da parte di un criminale informatico è molto più complessa, ma in paragone con la tecnica precedentemente illustrata, è molto più remunerativa.
Infatti, avvelenare un server DNS significa che ogni dispositivo che acceda ad internet che abbia come fornitore DNS il server compromesso sarà potenzialmente vittima di Pharming. Immaginate la portata dei danni qualora uno dei sistemi di server DNS più popolari al mondo, il famoso 8.8.8.8 di Google venisse bucato da un gruppo di pirati informatici.
Tuttavia, l’ipotesi che questo accada oggi sono al limite del possibile.
Tutti i rischi di un attacco Pharming
Navigare in buona fede su un sito web fraudolento può portare alla compromissione di una quantità incredibile di dati.
Banalmente fare acquisti su un sito e-commerce fasullo significa come minimo essere truffati nell’acquisto di oggetti, ma non solo. La vittima rischia inoltre di fornire i propri dati anagrafici e fiscali.
Ancora peggio, in un attacco pharming può succedere che la vittima comunichi le proprie credenziali di accesso.
Non sono esclusi dalle mire della criminalità informatica gli account dei social network.
Come ci si difende da un attacco Pharming
Come per tutti gli attacchi informatici la parola d’ordine è: non abbassare la guardia.
Ponete le basi per assicurarvi di non cadere vittima di attacchi pharming seguendo questi pochi ma solidi consigli di sicurezza informatica.
Fate attenzione in primis a questi due elementi per assicurarvi la massima protezione:
- Assicuratevi che l’indirizzo dei siti web (o anche URL) che visitate sia corretto;
- Ricorrete ad un Internet Service Provider affidabile e visitate solo pagine web sicure (con protocollo https);
Inoltre, se siete all’interno di una struttura aziendale è fondamenta dotarsi di servizi di sicurezza informatica per la difesa dalle minacce del crimine informatico, tra cui anche il Pharming.
Ad oggi, i browser web se aggiornati correttamente sono dotati di meccanismi che segnalano eventuali problemi di pericolosità dei siti web e attendibilità degli stessi. Questo potrebbe non bastare, quindi è sempre bene adottare ogni precauzione necessaria, ad esempio:
- Essere vigili nella scelta del fornitore di servizi internet
- Prestare attenzione a che l’indirizzo del sito visitato sia sempre preceduto da https
- Notare strani cambiamenti nel layout del sito o errori ortografici nel testo
- Abilitare, dove possibile, autenticazione a due fattori
- Abilitare tutti gli alert relativi ad operazioni, cambi password o accesso da dispositivi sconosciuti.
Nel caso si ricevano alert relativi ad attività sospette, verificare subito ed eventualmente mettere in pratica tutte le azioni consigliate dal gestore del servizio che ha inviato l’alert (p.e. cambio password, blocco carte, etc.) e provvedere a far verificare da un professionista l’integrità del proprio dispositivo.
In ambito professionale e nelle realtà aziendali l’intera infrastruttura va protetta dal pericolo del Pharming, come già detto la vulnerabilità di un solo computer con funzioni chiave può compromettere la sicurezza dell’intera rete.
Per concludere, alcune considerazioni sul Pharming
Conoscere l’ennesima minaccia informatica è un modo per avvicinarsi sempre più alla consapevolezza nell’uso degli strumenti informatici nella vita quotidiana. Proteggere i propri dispositivi e i propri dati deve diventare una pratica e una forma mentis che non serve a vivere nella paranoia, ma al contrario a vivere serenamente l’utilizzo dei sistemi informatici sapendo di aver intrapreso tutte le azioni necessarie a prevenire attacchi e truffe. Rivolgersi a professionisti della Cyber security come Cyberment consente, al professionista come alla grande impresa, di monitorare lo stato di sicurezza dei propri sistemi informatici, e individuare e poter quindi correggere eventuali falle di sicurezza attraverso uno strumento fondamentale come il Vulnerability Assessment.
Articolo di:
Consulente Cyber Security per Cyberment
- Responsabile Settore Tecnico IT
Visita il profilo Linkedin
Consulente Cyber Security per Cyberment
- Responsabile Settore Tecnico IT
Visita il profilo Linkedin
Articolo di:
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.