Che cos'è il pharming?
Il pharming è un tipo di cyberattacco che comporta la deviazione del traffico web da un sito legittimo a un sito falso con l'intento di rubare nomi utenti, password, dati finanziari e altre informazioni personali.
Quando scrivi un URL nella barra degli indirizzi del tuo browser, come www.google.com per esempio, diversi processi in background devono avvenire prima di vedere il familiare logo di Google e la casella di ricerca sullo schermo del tuo computer. Durante un attacco di pharming, i cybercriminali manipolano discretamente questi processi, indirizzando il tuo traffico web a un sito web dannoso invece di quello che intendevi visitare. Il sito di destinazione potrebbe caricare malware sul tuo computer. Più spesso, è un falso sito di phishing. È quest'ultima attività che dà al pharming il suo nome, una fusione delle parole “phishing” e “farming.”
Un tipico sito di phishing è spoofato o falsificato per sembrare un sito che la vittima visita abitualmente, spesso di natura finanziaria o e-commerce. L'obiettivo con un sito di phishing è raccogliere o coltivare nomi utenti e password quando la vittima ignara tenta di accedere al proprio account.
Il pharming è un tipo sofisticato di attacco phishing e può colpire chiunque su qualsiasi piattaforma. Gli utenti di Windows e Mac così come gli utenti mobili su Android e iOS devono essere tutti vigili per potenziali attacchi di pharming. Fortunatamente, ci sono alcuni semplici passaggi che puoi seguire per proteggerti dal pharming, quindi continua a leggere per scoprire tutto ciò che devi sapere sul pharming.
Come funziona il pharming?
Per capire come funziona il pharming, dobbiamo iniziare con una breve introduzione sui nomi di dominio e sugli indirizzi IP. Nomi di dominio e indirizzi IP sono per i siti web come il tuo nome e l'indirizzo per la posta tradizionale.
Se indirizzi una lettera a "Nancy Thompson", per esempio, scrivendo solo il suo nome sulla busta affrancata, Nancy non riceverà la tua lettera. Il servizio postale ha bisogno sia del suo nome che della posizione; ad esempio, "Nancy Thompson, 1428 Elm Street, Springwood, Ohio," per consegnare correttamente la tua lettera.
Allo stesso modo, l'indirizzo IP (abbreviazione di indirizzo di protocollo Internet) funge da posizione sottostante per il nome di dominio che vuoi contattare. Quando inserisci "www.facebook.com" nella barra degli indirizzi del tuo browser, la tua richiesta viene inviata a un server DNS. Il server DNS è un computer con un solo compito: tradurre i nomi di dominio in un indirizzo IP. Per il tipo più comune di protocollo Internet, IPv4, questo indirizzo sarà composto da quattro numeri separati da punti: "0.0.0.0". Nel caso di Facebook, l'indirizzo IP sembrerà qualcosa come "66.220.159.255" anche se i numeri effettivi possono variare, perché grandi aziende come Facebook possiedono grandi blocchi di indirizzi IP.
Con l'indirizzo IP alla mano, il server DNS comunica queste informazioni al tuo computer e il tuo computer ti indirizza al sito web di Facebook. Questo processo di risoluzione DNS, dal momento in cui premi il tasto invio sulla barra degli indirizzi al momento in cui la pagina web inizia a caricarsi, di solito avviene in millisecondi.
Ora, tornando al tema del pharming, i cybercriminali possono manipolare questo sistema di indirizzi online per dirottare la tua richiesta a "www.facebook.com" verso un altro indirizzo controllato dal criminale. Questo può succedere in un paio di modi diversi.
Quali sono i tipi di pharming?
Ci sono due tipi di pharming: malware pharming e DNS poisoning.
Il malware da pharming, noto anche come cambiadns/hijackers, infetta il computer della vittima e apporta modifiche furtivamente al file hosts della vittima. È utile pensare al file hosts del tuo computer come a un elenco di siti web. Come menzionato, il processo di invio di un nome di dominio a un server DNS e la traduzione di quel nome di dominio in un indirizzo IP di solito avviene così rapidamente che la maggior parte di noi non se ne accorge neanche. "Di solito" è la parola chiave qui. Per evitare intoppi nel caricamento di una pagina, il tuo computer memorizza le traduzioni tra nomi di dominio e indirizzi IP, riducendo il tempo necessario per caricare ogni sito web. Con un attacco di pharming basato su malware, il malware si insinua nel tuo computer (spesso tramite Trojan) e inizia a modificare il tuo file hosts in modo che il nome di dominio di un dato sito web punti a un sito dannoso. Alcuni malware da pharming, ad esempio, il Trojan Extenbro, bloccheranno anche l'accesso ai siti di cybersecurity, impedendo alle vittime di scaricare software per rimuovere il malware cambiadns.
Il DNS poisoning, noto anche come DNS spoofing, approfitta delle vulnerabilità nel software che controlla i server DNS per dirottare i server e reindirizzare il traffico web. Tipicamente, il DNS poisoning colpisce le aziende che gestiscono e mantengono i server DNS che traducono nomi di dominio in IP pronti per il computer. Come tale, il DNS poisoning ha una base di potenziali vittime molto più ampia, che conta decine di migliaia di persone. Detto ciò, il tuo router Internet domestico ha una cache DNS che memorizza le precedenti risoluzioni DNS. Ogni dispositivo connesso alla tua rete domestica può riferirsi a questa cache quando prova a connettersi a un sito web che tu o qualcun altro della tua rete avete visitato in precedenza. Funziona, in un certo senso, come un server DNS su piccola scala e può anch'esso essere avvelenato.
Come proteggersi dal pharming?
Crea una password forte per il tuo Internet domestico. E, sicuramente, non utilizzare la password predefinita scritta sul fondo del tuo router. Questo è come proteggere la tua rete domestica dal DNS poisoning locale. Se hai difficoltà a ricordare la tua password, considera di usare una passphrase. Una passphrase è una stringa di parole senza senso che è facile da ricordare per un umano, ma quasi impossibile da forzare usando un'applicazione di cracking delle password. A differenza di una password lunga e complessa convenzionale, non ci sono miscele di maiuscole/minuscole o simboli speciali. Ad esempio, (per favore non usare questo come passphrase) "gattonigurapedinialtithmeticomani" sarebbe un'ottima passphrase. Tutto ciò che devi fare è immaginare un gatto viola che indossa tacchi alti con un'aria pensosa.
Usa un gestore di password. Specificamente, hai bisogno di un gestore di password che offra il riempimento automatico dei campi username e password quando riconosce una pagina di accesso che hai già visitato. Un sito di phishing contraffatto può passare per quello reale a un'ispezione superficiale, ma un gestore di password non si lascia ingannare così facilmente. Se atterri su un sito malevolo, il gestore di password non lo riconoscerà e non offrirà di completare automaticamente le tue credenziali di accesso.
Utilizza un buon programma anti-malware. Il phishing non è un tipo di virus informatico e le forme tradizionali di antivirus non possono proteggere contro di esso. Gli anti-malware avanzati, d'altra parte, possono attivamente bloccare il malware che tenta di compromettere il file hosts del tuo computer. Malwarebytes, ad esempio, ha programmi per Windows, Mac, Chromebook, Android e iOS che fermano adware, spyware e Trojan dall'intralciare il tuo file hosts. Malwarebytes bloccherà anche siti web sospetti su cui potresti capitare a causa di un DNS avvelenato.
Considera l'uso di un servizio DNS diverso. Anche se i consumatori possono usare un programma di sicurezza informatica per bloccare il pharming basato su malware e siti web dannosi da un DNS avvelenato, non possono fare veramente nulla per prevenire il DNS poisoning fin dall'inizio. Spetta alle aziende che offrono i servizi DNS mantenere i loro server sicuri. Per la maggior parte delle persone, il servizio DNS predefinito è quello offerto dal tuo provider di servizi Internet (ISP), che probabilmente va bene, ma ci sono altre alternative popolari, vale a dire Google DNS, OpenDNS e Cloudflare. Tutte e tre le aziende affermano che i loro servizi DNS offrono miglioramenti in termini di sicurezza e privacy rispetto a un DNS tradizionale. OpenDNS offre anche server speciali specificamente per le famiglie che desiderano bloccare i contenuti per adulti.
