Scopri come funziona e come mitigare i rischi di un attacco di pharming.
Il pharming è un tipo di truffa utilizzata dai cybercriminali per installare malware su personal computer e server. Il nome in inglese è la fusione delle parole “farming” (coltivare) e “phishing” (le truffe digitali) e rappresenta una tecnica nuova e più complessa che gli hacker hanno inventato per accedere ai dati personali delle vittime.
Il malware utilizzato negli attacchi di pharming modifica gli indirizzi IP, reindirizzando gli utenti su siti web fraudolenti senza che se ne rendano conto. Qui, gli viene chiesto di inserire i propri dati personali, che poi vengono utilizzati per commettere un furto di identità o frodi finanziarie.
I criminali che usano il pharming prendono di mira soprattutto i clienti di banche e altre piattaforme di invio e intercambio di valute. La strategia è efficace perché gli hacker possono accedere a più dispositivi contemporaneamente. Inoltre, non devono neanche convincere gli utenti a fare clic su link di email sospette o annunci poco convincenti. Il malware viene scaricato automaticamente senza che l’utente debba fare niente.
Come funziona il pharming
Come abbiamo detto, il pharming è una tecnica che consente di accedere a computer di singole vittime o infettare dei server. In entrambi i casi, viene utilizzato del codice che reindirizza gli utenti su siti fraudolenti, che funziona in modo diverso a seconda del caso. Per capirne esattamente la meccanica e le sfumature possibili, partiamo da una breve analisi dei tipi di pharming.
Hackeraggio di singoli computer
In questo tipo di pharming, l’hacker invia un’email con uno script che modifica i file hosts del computer della vittima. I file hosts vengono usati da Windows per risolvere gli indirizzi IP e i domini in mancanza di un DNS, il che succede quando non è possibile contattare il server DNS o quando sono necessari degli aggiustamenti alle richieste inviate al server.
Una volta infettati file hosts del computer, la vittima viene reindirizzata su pagine web fraudolente (IP diverso da quello originale). Anche se l’utente digita personalmente l’URL corretto, la navigazione viene reindirizzata perché i file hosts hanno la priorità sugli altri elementi del sistema.
Poisoning dei DNS o della cache dei DNS
La versione più radicale del pharming è quella che prende di mira direttamente i server DNS, chiamata appunto poisoning dei DNS (letteralmente “avvelenamento dei DNS”). I server DNS (Domain Name System) sono server pubblici online che consentono ai computer di connettersi ai siti traducendo l’indirizzo digitato dall’utente nell’indirizzo IP corrispondente. I DNS non sono altro che lunghissimi elenchi di coppie URL-indirizzo IP.
In questo tipo di pharming, l’hacker attacca direttamente il server DNS invece di bucare un singolo computer. Questo tipo di attacco è più difficile da mandare a segno a causa dei sistemi di sicurezza dei DNS, ma quelli che funzionano hanno conseguenza catastrofiche, perché interessano milioni e milioni di richieste URL degli utenti!
Il brutto di questo attacco, inoltre, è che l’utente può subirlo anche avendo un dispositivo sicuro e protetto con un buon antivirus, perché agisce a monte, senza arrivare a toccare il sistema informatico dell’utente finale.
A differenza del phishing, il pharming non richiede un errore della vittima.
Differenze tra pharming e phishing
Si tratta di due tecniche simili e che in certi casi si sovrappongono l’una all’altra, ma c’è una differenza fondamentale e capirla ci aiuta a comprendere come funziona il pharming e perché è così pericoloso.
Il phishing è un’ampia categoria di truffe in cui il cybercriminale cerca di ingannare le vittime, di “acchiapparle” come farebbe un pescatore (phishing viene dalla parola inglese fishing, pescare). Per farlo, utilizza messaggi ingannevoli che convincono le vittime a fare clic su link che portano a siti fraudolenti o su allegati infetti. Nel phishing, quindi, è necessaria la partecipazione involontaria della vittima, che senza saperlo apre la porta all’hacker. Il phishing, inoltre, non usa più solo il canale email, ma sempre più spesso viene veicolato tramite SMS (smishing) o messaggi di voce (vishing).
Il pharming, invece, non richiede un errore involontario dell’utente e il criminale non deve cercare di acchiappare le sue vittime come nel phishing: queste vengono direttamente portate nel suo territorio tramite la manipolazione delle richieste DNS.
Sintomi di un attacco di pharming
Gli attacchi di pharming possono essere difficili da rilevare, soprattutto se il sito fraudolento è fatto bene ed è difficile da distinguere da quello originale. Tuttavia, ci sono alcuni modi per capire se siamo vittime di un attacco di pharming. Ecco i sintomi tipici del pharming:
- Piccolissimi cambiamenti di un link o un sito. A volte, gli hacker cambiano alcune lettere nell’URL o usano elementi grafici diversi quando creano il sito fraudolento. Se noti errori di ortografia, un logo leggermente diverso o con una risoluzione inferiore, colori leggermente diversi da quelli che ricordavi o che variano da una pagina all’altra, fai attenzione: potresti essere finito sulla copia fraudolenta di un sito di pharming.
- Connessione non protetta. Anche se ormai gli hacker hanno trovato il modo di ottenere i certificati SSL per le pagine di phishing e pharming, la maggior parte continua a utilizzare URL senza certificato di sicurezza, per cui l’indirizzo inizia con “http” e non con “https”.
Alcuni browser o antivirus ti avvertono quando la connessione non è sicura, ma anche in mancanza di un avviso esplicito, se non vedi l’icona del lucchetto a sinistra dell’indirizzo, potresti essere su un sito di pharming. Ricorda che tutti i siti che gestiscono dati sensibili, e tra questi i siti delle banche, hanno bisogno di un login e quindi di un certificato di sicurezza che protegga la trasmissione dei dati su Internet. Una banca non avrà mai un indirizzo che inizia solo con HTTP, senza la S finale.
LEGGI ANCHE: Come navigare sicuri nel Web
- Attività insolite nell’account o sul conto bancario. I criminali usano il pharming per accedere ai conti bancari e altre informazioni personali delle vittime. Se noti dei movimenti sospetti nel tuo conto in banca o delle attività insolite nel tuo account, potresti essere vittima di un attacco di pharming.
- Cambi di password non autorizzati. Se un criminale riesce ad accedere al tuo conto di home banking, potrebbe provare a cambiare la password per impedirti di accedere al tuo conto. È per questo che devi sempre attivare le notifiche di sicurezza e l’autenticazione a 2 fattori nei tuoi account online, così verrai avvisato al tuo indirizzo email o sul telefono ogni volta che qualcuno prova a modificare le tue credenziali o ad accedere all’account.
- Download e app sconosciute. Se sul tuo dispositivo appare un’app o un programma che non ricordi di aver scaricato, potresti avere un malware. Controlla periodicamente le app sul telefono e sul computer, se ne trovi una sospetta cercane il nome su Internet e rimuovi quelle che non ti convincono.
È importante prendere sul serio la cybersicurezza: dobbiamo usare tutti sistemi di difesa disponibili e informarci periodicamente.
Rischi di cybersicurezza
Gli attacchi di pharming possono avere un impatto molto negativo sia sulle aziende che sui privati. I rischi più comuni comprendono:
- Perdita di dati. I criminali usano il pharming per accedere alle informazioni personali salvate nei sistemi. Questo è un grosso problema per chi ha un’attività economica o per chi gestisce gli account di più persone, ma anche per chi riutilizza la stessa password per tutti i suoi account online (cosa che non dovresti fare MAI!).
- Oltre al furto di informazioni, chi finisce su un sito di pharming corre il rischio di scaricare altri virus, ad esempio un ransomware o uno spyware. L’unico modo per evitare questo problema è installare un buon sistema di cybersicurezza.
- Frodi e furti. Se l’attacco di pharming è diretto a un conto di home banking, il criminale ruberà i soldi sul conto della vittima e potrebbe usarne l’identità e i dati per altre attività finanziare fraudolente. Ad esempio, potrebbe bucare il portafoglio di criptovalute di una persona, impossessarsi della sua identità finanziaria e usarla per spostare somme ingenti senza essere tracciato o facendo ricadere i costi sulla vittima.
Come proteggersi dagli attacchi di pharming
In senso stretto, non è possibile prevenire il pharming, soprattutto nei casi di poisoning dei DNS, ma possiamo fare alcune cose per essere più al sicuro e mitigare i danni di un eventuale attacco:
- Se pensi di essere sotto attacco, la prima cosa da fare è svuotare la cache DNS.
- Poi, ti consigliamo di scaricare un buon antivirus su tutti i tuoi dispositivi e mantenerlo sempre aggiornato.
- Inoltre, se hai bisogno di aiuto, puoi contattare la tua compagnia di servizi Internet.
- Infine, puoi installare una VPN per navigare in modo sicuro.
Il pharming ci insegna che i cyberattacchi sono sempre più sofisticati e pericolosi. Per questo è importante prendere sul serio la cybersicurezza: dobbiamo usare tutti sistemi di difesa a nostra disposizione e informarci periodicamente per sapere quali sono le minacce più recenti e pericolose. Prese le dovute precauzioni e con un comportamento online consapevole, i cybercriminali hanno poche chance di riuscire a rubare i tuoi dati o il tuo denaro.
CONTINUA A LEGGERE: Perché l’igiene digitale è un dovere civico
Buona navigazione e buona protezione dal pharming!