Pharming: Cos’è, Tipologie e Come prevenirlo

La sicurezza e la privacy online degli utenti sono costantemente a rischio. Una delle minacce più diffuse e insidiose nell’ambito della sicurezza informatica è il pharming: una tecnica impiegata per installare malware, rubare dati personali e danneggiare reti aziendali o private.

Ma cos’è il pharming? Scopriamo la differenza tra pharming e phishing e alcuni consigli per difendersi da questi attacchi.

Definizione di Pharming in informatica

Il pharming è una pratica fraudolenta messa in atto dai cosiddetti pharmer. Durante un attacco di pharming, l’hacker reindirizza l’utente verso un sito web fraudolento. Tali siti fasulli vengono creati e utilizzati con il preciso intento di acquisire i dati riservati dell’utente (password, nome utente, informazioni relative alla carta di credito o al conto corrente). 

Un altro obiettivo della pratica del pharming è quello di installare malware sui dispositivi utilizzati dall’utente. Infine, tra gli obiettivi principali del pharmer rientra il furto dell’identità dell’utente, acquisendone le informazioni personali (nome, cognome, indirizzo, numero di previdenza sociale e altro).

In genere, i pharmer dirottano gli utenti che navigano su siti web finanziari, costruendo finti siti bancari, destinazioni di e-commerce e piattaforme di pagamento online. 

Il pharmer ha la capacità di ingannare il computer della vittima, compromettendo il traffico Internet a livello del DNS, ovvero il server che ha il compito di tradurre l’URL dei siti in indirizzi IP numerici. Il server DNS, una sorta di rubrica nel quale viene conservato ogni URL e relativo indirizzo IP numerico, può essere modificato dal pharmer affinché il browser non sia più in grado di riconoscere l’indirizzo malevolo.

Tipologie

Sostanzialmente, il pharming può assumere due diverse forme. Da un lato l’hacker utilizza strumenti informatici malevoli per installare malware su pc e dispositivi. In questo caso, è il virus stesso a reindirizzare l’utente sul sito web fasullo, molto spesso graficamente simile al sito legittimo. 

Dall’altro lato, l’hacker può scegliere di infettare l’intero server DNS, reindirizzando tutti gli utenti che desiderano visitare quel sito legittimo verso il sito fraudolento. 

Valutiamo nel dettaglio le tipologie di attacco nei seguenti paragrafi. 

DNS pharming

Il DNS pharming si verifica nel momento in cui il pharmer riesce a compromettere il sistema DNS, associando all’URL legittimo un indirizzo IP malevolo. L’attaccante, quindi, può dirottare il traffico su siti web fasulli che incorporano un codice malevolo nei loro script. Il DNS poisoning rappresenta una tattica utilizzata dall’attaccante per contaminare le risoluzioni DNS, inserendo false informazioni nella cache del sistema. Il pharmer può manipolare il server DNS impiegando le vulnerabilità nella sicurezza del server stesso, o attraverso sofisticati attacchi di spoofing. 

Router pharming

Una seconda tipologia di attacco pharming coinvolge le impostazioni del router: tali impostazioni vengono modificate con lo scopo di indirizzare il traffico verso siti web malevoli. In questo caso, l’hacker sfrutta le vulnerabilità del firmware del router oppure le password deboli per ottenere l’accesso non autorizzato e modificare, di conseguenza, le impostazioni di rete. Questa tipologia di pharming può avere un impatto importante, poiché si ripercuote su tutti i dispositivi collegati alla rete infetta.

Hosts file pharming

Tale approccio coinvolge i file hosts del sistema operativo. Trattasi di una tipologia più locale di pharming, in quanto gli attaccanti modificano il file di configurazione per reindirizzare l’utente verso il server malevolo. Una tipologia di pharming particolarmente insidiosa, in quanto agisce a livello di sistema operativo, aggirando le impostazioni DNS tradizionali. 

Pharming locale

Questo genere di attacco a livello locale viene condotto mediante la compromissione di un dispositivo interno alla rete. Possono ritrovarsi sotto attacco numerosi dispositivi collegati: smart TV, stampanti o strumenti IoT. 

Pharming vs phishing

Nonostante gli scopi siano i medesimi, ovvero trafugare dati e informazioni personali, il pharming e il phishing si differenziano nel metodo. 

Il phishing si serve prettamente di e-mail o comunicazioni di altro genere, apparentemente ufficiali, impiegate per spingere la vittima a visitare un sito web fraudolento. Il phishing coinvolge, generalmente, sofisticate tecniche di social engineering, impiegando un’esca (il termine phishing, infatti, ricorda esattamente l’atto di “pescare” quando la vittima abbocca all’amo).

Nel pharming, invece, non esiste nessuna esca: la vittima designata viene indirizzata direttamente sul sito web fasullo, senza il suo consenso e senza che essa ne sia a conoscenza. 

Come prevenire e difendersi dal pharming

Il pharming è una tecnica particolarmente subdola e infima: come fare, quindi, a prevenire un attacco pharming o a difendersi adeguatamente? È fondamentale seguire le seguenti best practice:

• scegliere un provider di servizi Internet estremamente affidabile, in grado di filtrare in automatico i reindirizzamenti sospetti;
• analizzare gli URL e assicurarsi che non contengano errori grammaticali. I pharmer, infatti, spesso introducono minimi errori ortografici per mascherare i siti malevoli;
• accedere sempre e solo a URL che iniziano con HTTPS. HTTPS, infatti, rappresenta il traffico criptato, in grado di garantire massima protezione ai dati degli utenti;
• navigare in Internet usando buon senso, evitando di accedere a siti web palesemente sospetti;
• valutare l’aspetto del sito prima di inserire dati o effettuare transazioni. Analizzare il sito è essenziale per comprendere se si tratta di una versione creata da un pharmer o di un sito legittimo. Un metodo utile è quello di controllare l’alberatura del sito e la presenza dell’informativa sulla privacy e dei termini di servizio;
• evitare di scaricare file provenienti da mittenti sconosciuti, ed evitare di aprire collegamenti sospetti. Il pharmer, infatti, spesso tenta di inviare e installare un malware sul dispositivo per effettuare la truffa più facilmente;
• installare un buon software antivirus e ascoltarne i consigli, soprattutto quando suggerisce di non navigare su un determinato sito web;
• evitare di effettuare acquisti quando le offerte sono troppo allettanti. Non è tutto oro quel che luccica: è bene controllare i prezzi dei prodotti su altri siti prima di procedere, evitando così di incappare in un probabile attacco pharming.

Esempi

Il pharming, a differenza del phishing attack, si declina in scenari estremamente concreti, sofisticati e complessi. Scopriamo alcuni esempi di attacchi pharming per comprenderne meglio le dinamiche e le possibili conseguenze:

• attacco su banche online. Il pharmer dirotta gli utenti su falsi siti web, i quali imitano i siti legittimi delle banche online. L’utente, inserendo le proprie credenziali bancarie, inconsapevolmente cede queste informazioni al pharmer, che può raccogliere tali dati e accedere al conto della vittima;
• attacco su un e-commerce. In questo caso, il pharmer reindirizza l’utente da una piattaforma e-commerce a un sito web contraffatto. Quando l’utente effettua una transazione finanziaria, cede involontariamente le informazioni di pagamento e può essere soggetto a una truffa o una frode finanziaria;
• raccolta di dati personali. Il cyber criminale, reindirizzando l’utente su siti malevoli, raccoglie i dati sensibili della vittima designata (nome, cognome, indirizzo, numero di telefono) e li utilizza per creare account falsi, vendere le informazioni nel dark web oppure per effettuare altre truffe;
• falsi siti di servizi online. In questo caso il pharmer crea siti falsi di servizi come la posta elettronica o i social media. L’utente che finisce su tali siti, senza saperlo svelerà i propri dati personali, le password e le credenziali d’accesso al criminale.