Cos'è il pharming e come proteggersi

Pharming: significato e definizione

Il termine pharming, coniato dall'unione di "phishing" e "farming", indica una truffa online simile al phishing, in cui viene manipolato il traffico di un sito Web e vengono rubate informazioni riservate. In sostanza, si tratta dell'atto criminale di creare un sito Web falso al fine di ingannare gli ignari utenti.

Cos'è il pharming?

Il pharming è un tipo di attacco informatico basato su tecniche di social engineering in cui i criminali reindirizzano a un sito falso gli utenti di Internet che cercano di raggiungere un determinato sito Web. Questi siti falsi mirano a catturare le informazioni di identificazione personale (PII, Personally Identifiable Information) e le credenziali di accesso delle vittime (come password, numeri di previdenza sociale, IBAN e così via) oppure tentano di installare un malware di pharming nei loro computer. I pharmer prendono spesso di mira i siti Web del settore finanziario (banche, piattaforme di pagamento online, siti di e-commerce e così via), solitamente avendo come obiettivo finale il furto di identità.

Come funziona il pharming?

Il pharming utilizza il meccanismo fondante della navigazione su Internet, ovvero la sequenza di lettere che forma un indirizzo Internet, ad esempio www.google.com, e che deve essere convertita in un indirizzo IP da un server DNS per consentire la connessione.

Esistono due metodi di attacco.

1. Nel primo, un hacker può inviare codice dannoso dentro un'e-mail che installa un virus o un trojan sul computer di un utente. Questo codice dannoso modifica il file host del computer per deviare il traffico dalla destinazione prevista e verso un sito Web falso. In questo caso parliamo di pharming basato su malware: indipendentemente dal fatto di digitare l'indirizzo Internet corretto, il file host danneggiato condurrà comunque al sito fraudolento.
2. Con il secondo metodo, l'hacker utilizza una tecnica chiamata poisoning (o avvelenamento) del DNS. DNS sta per "Domain Name System": i pharmer possono modificare la tabella DNS in un server facendo sì che più utenti visitino inavvertitamente siti Web falsi invece di quelli legittimi. I pharmer possono utilizzare siti Web falsi per installare virus o trojan sul computer dell'utente o rastrellare informazioni personali e finanziarie da utilizzare per il furto di identità.

Mentre i server DNS sono più difficili da attaccare perché si trovano sulla rete di un'organizzazione, cioè all'interno del suo sistema di difesa, l'avvelenamento del DNS può colpire un numero significativo di vittime e quindi fruttare parecchio ai cybercriminali. L'avvelenamento può diffondersi anche ad altri server DNS. Qualsiasi provider di servizi Internet che riceve informazioni da un server avvelenato può portare alla memorizzazione nella cache della voce DNS danneggiata sui server dell'ISP, diffondendola tra altri router e dispositivi.

Ciò che rende gli attacchi di pharming una forma molto pericolosa di frode online è che richiedono un'azione minima da parte della vittima. L'utente interessato da un caso di avvelenamento del server DNS può avere il computer completamente privo di malware e diventare comunque una vittima. Anche adottare misure di precauzione come inserire manualmente l'indirizzo di una pagina Web o usare sempre segnalibri affidabili non è sufficiente, poiché il raggiro avviene dopo che il computer invia una richiesta di connessione.

Una volta che i pharmer hanno ottenuto le informazioni personali, le utilizzeranno per scopi fraudolenti o le venderanno ad altri criminali sul Dark Web.

Phishing e pharming: che differenza c'è?

Le truffe di phishing e di pharming sono simili, ma non esattamente uguali.

Il phishing è una pratica fraudolenta con cui i cybercriminali inviano e-mail che sembrano provenire da organizzazioni rispettabili. Queste e-mail contengono collegamenti dannosi a un sito Web falso in cui gli utenti ignari inseriscono informazioni personali come nome utente e password. Una volta fornite queste informazioni, i truffatori possono utilizzarle a scopi criminali.

Il pharming è una forma di phishing ma senza l'elemento di adescamento. Il pharming si svolge in due fasi: in primo luogo, gli hacker installano codice dannoso sul tuo computer o su un server. In secondo luogo, il codice dannoso ti invia a un sito Web falso, dove potresti essere indotto a fornire informazioni personali. Il pharming informatico non richiede quel clic iniziale per indirizzarti a un sito Web fraudolento. Vi verrai reindirizzato automaticamente, e qui i pharmer avranno accesso a tutte le informazioni personali da te condivise.

Il phishing usa e-mail, social media o messaggi di testo ingannevoli che ti chiedono informazioni finanziarie, mentre il pharming non richiede un'esca. Per questo motivo il pharming è anche chiamato "phishing senza esca". Il pharming è considerato più pericoloso del phishing poiché può colpire un numero significativo di computer senza alcuna azione consapevole da parte delle vittime. Tuttavia, gli attacchi di pharming sono meno comuni del phishing perché richiedono molto più lavoro da parte degli truffatori.

Esempi di pharming

Nel 2019 in Venezuela si è verificato un importante attacco di pharming. Il presidente del Venezuela aveva lanciato quell'anno un appello pubblico chiedendo ai volontari di unirsi a un nuovo movimento chiamato "Voluntarios por Venezuela". Lo scopo di questo movimento era collegare gruppi di volontari con organizzazioni internazionali impegnate a fornire aiuti umanitari al Paese. I volontari vennero invitati a registrarsi tramite un sito Web che richiedeva il loro nome completo, ID personale, numero di telefono, indirizzo e altri dettagli personali.

A una settimana dalla pubblicazione del sito Web originale apparve un secondo sito Web. In apparenza era pressoché identico al primo, con un nome di dominio e una struttura simili. Ma era un falso. Entro i confini del Venezuela, sia il sito vero che quello contraffatto si risolvevano con lo stesso indirizzo IP appartenente al creatore del dominio falso. Ciò significava che, indipendentemente dal fatto che un utente aprisse il sito Web vero o falso, i suoi dati finivano comunque su quello falso (fuori dal paese, invece, l'indirizzo IP utilizzato era diverso).

Nel 2015, in Brasile, gli hacker hanno inviato e-mail di phishing a utenti di router domestici di marca UTStarcom e TR-Link fingendo di appartenere alla più grande società di telecomunicazioni del Brasile. I collegamenti contenuti nelle e-mail scaricarono un malware di pharming progettato per sfruttare le vulnerabilità del router e consentire agli aggressori di modificare le impostazioni del server DNS.

Uno degli attacchi di pharming più significativi e famosi è meno recente: si verificò nel 2007 e prese di mira oltre 50 società finanziarie negli Stati Uniti, in Europa e in Asia. Gli hacker crearono una pagina Web a imitazione di ciascuna società finanziaria presa di mira e ciascuna contenente codice dannoso. Queste pagine costringevano i computer dei consumatori a scaricare un trojan. Il sistema permise di raccogliere le informazioni di accesso di tutte le società finanziarie presa di mira. Non si conosce il numero totale delle vittime, ma l'attacco durò in tutto tre giorni.

Segnali di pharming: come capire di essere caduti vittima del pharming

Tra i segnali che indicano un attacco di pharming riuscito citiamo:

1. PayPal o addebiti su carte di credito o di debito non riconosciuti
2. Post o messaggi sui tuoi social media che non hai pubblicato tu
3. Richieste di amicizia o di connessione dai tuoi account di social media che non hai inviato tu
4. Password modificate in uno qualsiasi dei tuoi account online
5. Nuovi programmi sul tuo dispositivo che non hai scaricato o installato

Se ritieni di essere stato colpito da malware di pharming o da un attacco di pharming:

• Cancella la cache del DNS.
• Esegui un programma anti-virus per rimuovere il malware e assicurarti che il tuo dispositivo sia protetto
• Contatta il tuo provider di servizi Internet se ritieni che il tuo server sia stato compromesso
• Cambia le password di tutti i tuoi account online
• Segui le procedure di segnalazione delle frodi notificando le piattaforme bancarie, e-mail e social media coinvolte, a seconda dei casi

Come proteggersi dal pharming

1. Scegli un provider Internet affidabile. Un buon provider di servizi Internet filtrerà i reindirizzamenti sospetti per impostazione predefinita, assicurandoti di non aprire mai un sito Web di pharming.
2. Utilizza un server DNS affidabile. Per la maggior parte degli utenti, il server DNS dipende dal provider Internet. È tuttavia possibile passare a un servizio DNS specializzato che potrebbe offrire maggiore sicurezza contro il poisoning del DNS.
3. Segui solo collegamenti che iniziano con HTTPS, non semplicemente HTTP. La "s" in più sta per "sicuro" e indica che il sito dispone di un valido certificato di sicurezza. Una volta sul sito, controlla l'icona del lucchetto nella barra degli indirizzi, un altro indicatore che il sito è sicuro.
4. Non fare mai clic su collegamenti o allegati provenienti da fonti sconosciute. Anche se non puoi proteggerti totalmente dall'avvelenamento del DNS, puoi fare attenzione a evitare il software dannoso che consente il pharming. Evita di fare clic su collegamenti o di aprire allegati in qualsiasi e-mail o messaggio di origine dubbia.
5. Controlla l'assenza di errori di battitura negli URL. I pharmer a volte utilizzano trucchi ortografici per ingannare i visitatori, sostituendo o aggiungendo lettere ai nomi di dominio. Osserva attentamente l'URL e se noti un errore di battitura, evitalo.
6. In generale, evita i siti Web dall'aspetto sospetto. A parte l'URL, i segnali a cui prestare attenzione includono errori di ortografia o grammaticali, caratteri o colori insoliti e contenuti mancanti. Alcuni pharmer, ad esempio, non si preoccupano di riprodurre l'informativa sulla privacy o le condizioni d'uso. Controlla che tutto sia come ti aspetti prima di condividere qualsiasi informazione.
7. Evita le offerte troppo belle per essere vere. I truffatori online a volte attirano le vittime con offerte accattivanti, ad esempio sconti molto inferiori rispetto alla concorrenza legittima. Se le offerte ti sembrano inverosimili, fai attenzione.
8. Quando è possibile, abilita l'autenticazione a due fattori. Molte piattaforme offrono l'autenticazione a due fattori e, laddove disponibile, è una buona idea attivarla. Renderà più difficile hackerare i tuoi account: anche se i truffatori hanno ottenuto i tuoi dettagli di accesso tramite pharming, non saranno in grado di accedere ai tuoi account.
9. Modifica le impostazioni predefinite del router Wi-Fi. Cambiare la password standard e usarne una complessa per la tua rete privata ti aiuterà a proteggerti dall'avvelenamento del DNS. È anche essenziale mantenere aggiornato il router. Se il tuo router non dispone di aggiornamenti automatici, valuta la possibilità di sostituirlo con uno che li abbia.
10. Usa una valida soluzione anti-malware e mantienila sempre aggiornata. Ad esempio, Kaspersky Total Security ti protegge da hacker, virus e malware e funziona 24 ore su 24, 7 giorni su 7 per proteggere i tuoi dispositivi e dati.

Il modo migliore per proteggersi dai crimini informatici come il pharming e il phishing è attraverso una combinazione di protezione anti-virus e seguendo le più recenti best practice di sicurezza informatica.

Articoli correlati:

• Cos'è il phishing?
• Minacce del Social Engineering