Che cos'è il pharming?
Il pharming è un tipo di attacco informatico che prevede il reindirizzamento del traffico web da un sito legittimo a un sito falso allo scopo di rubare nomi utente, password, dati finanziari e altre informazioni personali.
Quando scrivi un URL nella barra degli indirizzi del tuo browser, come www.google.com per esempio, diversi processi in background devono avvenire prima di vedere il familiare logo di Google e la casella di ricerca sullo schermo del tuo computer. Durante un attacco di pharming, i cybercriminali manipolano discretamente questi processi, indirizzando il tuo traffico web a un sito web dannoso invece di quello che intendevi visitare. Il sito di destinazione potrebbe caricare malware sul tuo computer. Più spesso, è un falso sito di phishing. È quest'ultima attività che dà al pharming il suo nome, una fusione delle parole “phishing” e “farming.”
Un tipico sito di phishing è spoofato o falsificato per sembrare un sito che la vittima visita abitualmente, spesso di natura finanziaria o e-commerce. L'obiettivo con un sito di phishing è raccogliere o coltivare nomi utenti e password quando la vittima ignara tenta di accedere al proprio account.
Il pharming è un tipo sofisticato di attacco di phishing e può colpire chiunque su qualsiasi piattaforma. Windows e Mac e Mac, ma anche gli utenti mobili su Android e iOS dovrebbero diffidare di potenziali attacchi di pharming. Fortunatamente, esistono alcuni accorgimenti di buon senso per proteggersi dal pharming: continuate a leggere per scoprire tutto quello che c'è da sapere sul pharming.
Come funziona il pharming?
Per capire come funziona il pharming, dobbiamo iniziare con una breve introduzione sui nomi di dominio e sugli indirizzi IP. Nomi di dominio e indirizzi IP sono per i siti web come il tuo nome e l'indirizzo per la posta tradizionale.
Se indirizzi una lettera a "Nancy Thompson", per esempio, scrivendo solo il suo nome sulla busta affrancata, Nancy non riceverà la tua lettera. Il servizio postale ha bisogno sia del suo nome che della posizione; ad esempio, "Nancy Thompson, 1428 Elm Street, Springwood, Ohio," per consegnare correttamente la tua lettera.
Allo stesso modo, l'indirizzo IP (abbreviazione di Internet protocol address) funge da posizione di base per il nome di dominio che si desidera contattare. Quando si digita "www.facebook.com" nella barra degli indirizzi del browser, la richiesta viene inviata a un server DNS. Il server DNS è un computer con un unico compito: tradurre i nomi di dominio in indirizzi IP. Per il tipo più comune di protocollo Internet, l'IPv4, questo indirizzo sarà costituito da quattro numeri separati da punti: "0.0.0.0". Nel caso di Facebook, l'indirizzo IP avrà un aspetto simile a "66.220.159.255", anche se i numeri effettivi possono variare, perché le grandi aziende come Facebook possiedono grandi blocchi di indirizzi IP.
Con l'indirizzo IP alla mano, il server DNS comunica queste informazioni al tuo computer e il tuo computer ti indirizza al sito web di Facebook. Questo processo di risoluzione DNS, dal momento in cui premi il tasto invio sulla barra degli indirizzi al momento in cui la pagina web inizia a caricarsi, di solito avviene in millisecondi.
Ora, tornando al tema del pharming, i cybercriminali possono manipolare questo sistema di indirizzi online per dirottare la tua richiesta a "www.facebook.com" verso un altro indirizzo controllato dal criminale. Questo può succedere in un paio di modi diversi.
Quali sono i tipi di pharming?
Esistono due tipi di pharming: il malware pharming e il DNS poisoning.
Il malware Pharming, alias DNS changer/hijackers, infetta il computer della vittima e apporta furtivamente modifiche al file hosts della vittima. È utile pensare al file hosts del computer come a un Rolodex di siti web. Come già accennato, il processo di invio di un nome di dominio a un server DNS e di traduzione di tale nome di dominio in un indirizzo IP avviene solitamente in modo così rapido che la maggior parte di noi non se ne accorge nemmeno. "Di solito" è la parola chiave. Per evitare qualsiasi intoppo durante il caricamento di una pagina, il computer memorizza le traduzioni del nome di dominio in indirizzo IP, riducendo il tempo necessario per caricare ogni sito web. In un attacco di pharming basato su malware, il malware si insinua nel computer (spesso tramite un trojan) e inizia a modificare il file hosts in modo che il nome di dominio di un determinato sito web punti a un sito dannoso. Alcuni malware di pharming, ad esempio il Trojan Extenbro, bloccano anche l'accesso ai siti di cybersicurezza, impedendo alle vittime di scaricare il software per rimuovere il malware DNS changer.
L'avvelenamento DNS, alias spoofing DNS, sfrutta gli exploit nel software che controlla i server DNS per dirottare i server e reindirizzare il traffico web. In genere, l'avvelenamento DNS colpisce le aziende che gestiscono e mantengono i server DNS che traducono i nomi di dominio di facile utilizzo in indirizzi IP pronti per il computer. Per questo motivo, l'avvelenamento dei DNS ha una base molto più ampia di potenziali vittime, che si contano a decine di migliaia. Detto questo, il router Internet di casa dispone di una cache DNS che memorizza le ricerche DNS precedenti. Qualsiasi dispositivo connesso alla rete domestica può fare riferimento a questa cache quando tenta di connettersi a un sito Web visitato in precedenza da voi o da altri utenti della rete. Il router funziona, in un certo senso, come un server DNS su piccola scala e anch'esso può essere avvelenato.
Come proteggersi dal pharming?
Create una password forte per la vostra rete Internet domestica. E non utilizzate assolutamente la password predefinita scritta sul fondo del router. In questo modo si protegge la rete domestica dall'avvelenamento del DNS locale. Se avete problemi a ricordare la vostra password, prendete in considerazione l'utilizzo di una passphrase. Una passphrase è una stringa di parole senza senso facile da ricordare per un essere umano, ma quasi impossibile da forzare con un'applicazione di cracking di password. A differenza di una password convenzionale lunga e forte, non c'è alcuna mescolanza di maiuscole/minuscole o simboli speciali. Ad esempio, (non usatela come passphrase) "pensivepurplecathighheelshoes" sarebbe un'ottima passphrase. Tutto ciò che dovete fare è immaginare un gatto viola che indossa tacchi alti con uno sguardo pensoso.
Utilizzate un gestore di password. In particolare, è necessario un gestore di password che si offra di compilare automaticamente i campi del nome utente e della password quando rileva una pagina di accesso già visitata. Un sito di phishing camuffato può passare per quello vero a un'ispezione superficiale, ma un gestore di password non può essere ingannato così facilmente. Se si approda su un sito sbagliato, il gestore di password non lo riconoscerà e non offrirà il completamento automatico delle credenziali di accesso.
Utilizza un buon programma anti-malware. Il phishing non è un tipo di virus informatico e le forme tradizionali di antivirus non possono proteggere contro di esso. Gli anti-malware avanzati, d'altra parte, possono attivamente bloccare il malware che tenta di compromettere il file hosts del tuo computer. Malwarebytes, ad esempio, ha programmi per Windows, Mac, Chromebook, Android e iOS che fermano adware, spyware e Trojan dall'intralciare il tuo file hosts. Malwarebytes bloccherà anche siti web sospetti su cui potresti capitare a causa di un DNS avvelenato.
Considera l'uso di un servizio DNS diverso. Anche se i consumatori possono usare un programma di sicurezza informatica per bloccare il pharming basato su malware e siti web dannosi da un DNS avvelenato, non possono fare veramente nulla per prevenire il DNS poisoning fin dall'inizio. Spetta alle aziende che offrono i servizi DNS mantenere i loro server sicuri. Per la maggior parte delle persone, il servizio DNS predefinito è quello offerto dal tuo provider di servizi Internet (ISP), che probabilmente va bene, ma ci sono altre alternative popolari, vale a dire Google DNS, OpenDNS e Cloudflare. Tutte e tre le aziende affermano che i loro servizi DNS offrono miglioramenti in termini di sicurezza e privacy rispetto a un DNS tradizionale. OpenDNS offre anche server speciali specificamente per le famiglie che desiderano bloccare i contenuti per adulti.
