Immagina questa situazione: inserisci nel browser l’indirizzo Web della tua banca e utilizzi il sito Web come al solito, ma ti sei perso qualcosa di fondamentale. Questo perché invece di essere sul sito Web effettivo, ti trovi su un sito Web falso che sembra reale. Ecco cosa succede esattamente in un attacco di pharming: come degli abili burattinai, i criminali informatici manipolano segretamente il funzionamento interno di Internet per indirizzare gli utenti verso siti Web dannosi.
E qual è la cosa più pericolosa? Non è possibile sapere se si tratta di pharming finché non è troppo tardi. Fortunatamente, con le giuste conoscenze e le misure di sicurezza idonee, è possibile adottare misure efficaci per proteggersi da questa minaccia. Uno strumento di sicurezza affidabile come Avira Free Security non solo garantisce protezione in tempo reale contro virus e malware, ma offre anche una protezione anti-phishing per il tuo browser. Questo aumenta la sicurezza online e ti consente di navigare in Internet con maggiore tranquillità.
Che cos’è il pharming?
Il pharming è una delle tecniche di truffa online più subdole: gli utenti vengono indirizzati a siti Web falsi senza esserne a conoscenza. Per raggiungere questo obiettivo, i criminali informatici manipolano i record DNS (Domain Name System) o i file host locali di un dispositivo per reindirizzare il traffico.
Il termine pharming è una combinazione delle parole “phishing” (derivato da “fishing”) e “farming”. Con questo metodo combinato, gli hacker mirano a coprire la più ampia superficie di attacco possibile.
Che cosa rende il pharming tanto pericoloso?
Rispetto ai metodi di attacco più comuni come il phishing, che richiedono un inganno attivo, il pharming avviene in background attraverso la manipolazione dei sistemi informatici, un’attività che spesso gli utenti non riescono a individuare.
Vengono indirizzati a siti Web falsi che sembrano reali, dove inseriscono password, dati bancari o altre informazioni personali.
Non sei al sicuro anche se inserisci l’indirizzo corretto del sito Web nel browser. Questo perché il sito Web stesso non è stato hackerato. Al contrario, è stata compromessa l’infrastruttura sottostante che collega il browser al sito Web. Ecco perché questi attacchi sono così subdoli:
- Gli attacchi di pharming avvengono in background senza che gli utenti se ne accorgano.
- Anche gli utenti più esperti di tecnologia possono essere tratti in inganno, perché spesso i siti Web falsi sembrano reali.
- Invece di essere un incidente casuale o isolato, un sistema DNS manipolato (che converte gli indirizzi Web) può colpire più utenti contemporaneamente, indirizzandoli tutti a siti Web falsi.
Pharming e phishing: quali sono le differenze?
Gli obiettivi del phishing e del pharming sono simili, ma il loro approccio presenta differenze fondamentali:
Phishing | Pharming |
Utilizza messaggi o e-mail falsi per manipolare gli utenti inducendoli a compiere determinate azioni. | Manipola sistemi tecnici come record DNS o file host. |
Scopo: incoraggiare gli utenti a inserire i propri dati. | Scopo: intercettare il traffico dati in modo passivo. |
Basato su tecniche di ingegneria sociale. | Manipola l’infrastruttura del sistema. |
Il phishing richiede l’interazione attiva dell’utente, mentre il pharming avviene in background ed è difficile da rilevare.
Come funziona il pharming?
Gli attacchi di pharming comportano la manipolazione dei record Domain Name System (DNS) o dei file host di un dispositivo. Il DNS è responsabile della conversione dei nomi di dominio leggibili dall’uomo come www.avira.com nei corrispondenti indirizzi IP comprensibili ai computer. Il file host funziona in modo simile al DNS, ma viene memorizzato in locale sul computer.
Quando inserisci l’indirizzo di un sito Web nel browser, il server DNS lo converte automaticamente. È questo il punto in cui i criminali informatici iniziano i loro attacchi di pharming, distorcendo la conversione a loro favore, come se qualcuno imbrogliasse durante il gioco del telefono senza fili.
A causa dell’interferenza fraudolenta del criminale, l’utente finisce per essere reindirizzato un sito Web falso progettato per rubare le sue informazioni personali, come i dettagli dell’account o le password.
Quali sono i tipi principali di pharming?
Il pharming si presenta in diverse forme, ma in genere è possibile dividere gli attacchi in due categorie principali: pharming basato su DNS e pharming basato su host.
In genere, gli autori degli attacchi utilizzano uno dei seguenti metodi per raggiungere i loro obiettivi:
Pharming basato su DNS: infezione della cache DNS
L’infezione della cache DNS si verifica quando gli autori dell’attacco manipolano la cache DNS di un server o di un router per reindirizzare l’utente a un sito Web falso. L’infezione della cache DNS è anche nota come spoofing DNS (da non confondere con lo spoofing IP).
Ecco come funziona: il server DNS interessato memorizza nella cache voci manipolate, pertanto le richieste legittime generano indirizzi IP fraudolenti. Questo significa che i tuoi dati sono a rischio, anche se ti prendi meticolosamente cura del tuo dispositivo e il sistema non è infetto da malware.
L’aspetto più subdolo di questo metodo è che l’attacco prende di mira il resolver DNS.
Il resolver DNS opera come intermediario. Quando inserisci un indirizzo Web nel browser, la richiesta passa attraverso il resolver, che trova l’indirizzo IP per il dominio. Il processo si svolge in questo modo:
- Invio della richiesta. Inserisci un URL e il dispositivo invia una richiesta al resolver DNS per recuperare l’indirizzo IP corrispondente.
- Query nella cache. Il resolver verifica innanzitutto se l’indirizzo IP è già memorizzato nella cache (a seguito di richieste precedenti).
- Query esterna. Se l’indirizzo non è nella cache, il resolver inoltra la richiesta ad altri server DNS finché non viene trovato l’indirizzo IP.
- Il resolver invia l’indirizzo IP al dispositivo in modo che la pagina Web possa essere caricata.
Ciò significa che anche se inserisci l’URL corretto, il server restituirà dalla cache un indirizzo IP falsificato, reindirizzandoti a un sito Web falso senza che tu te ne accorga.
Altri esempi di attacchi basati su DNS includono:
- Compromissione del server DNS. I criminali informatici ottengono l’accesso non autorizzato ai server DNS e ne assumono il controllo completo. I truffatori modificano quindi le impostazioni DNS in modo che i domini da loro scelti riportino indirizzi IP errati.
- Dirottamento del DNS. Gli autori dell’attacco manipolano le impostazioni DNS sul router o su endpoint quali computer, smartphone o tablet per reindirizzare le loro richieste a server DNS fraudolenti. Questi server forniscono indirizzi IP falsi e reindirizzano gli utenti a siti Web dannosi.
Tipo di attacco | Livello di attacco | Durata della manipolazione | Risultato |
Infezione della cache DNS | Cache DNS di un server | Temporaneo (fino alla scadenza della cache) | Singoli utenti vengono reindirizzati quando effettuano richieste legittime. |
Compromissione del server DNS | Server DNS stesso | Permanente (finché le modifiche non vengono annullate) | Tutti gli utenti del server sono instradati a indirizzi IP falsi. |
Dirottamento del DNS | Router o dispositivo | Permanente (finché le impostazioni non vengono corrette) | Gli utenti della rete vengono reindirizzati a server DNS manipolati. |
Pharming basato su malware: manipolazione del file host
La manipolazione del file host consente agli autori dell’attacco di sfruttare una vulnerabilità nel file host locale del computer che converte i nomi di dominio direttamente in indirizzi IP. Gli hacker modificano questo file per reindirizzare i siti Web legittimi verso indirizzi IP fraudolenti.
Che cos’è il file host?
Il file host è un file locale sul computer che mappa i nomi di dominio direttamente a indirizzi IP. Funziona in modo simile a un sistema DNS e viene utilizzato dal tuo dispositivo per trovare i siti Web.
Come funziona la manipolazione del file host?
Gli hacker modificano il file host per reindirizzare le richieste legittime dei siti Web verso indirizzi IP fraudolenti. A differenza dello spoofing DNS, questo metodo prende di mira direttamente il tuo dispositivo. Per raggiungere questo scopo, gli autori dell’attacco spesso utilizzano malware.
Come viene diffuso il malware?
Il malware, come virus informatici, trojan o keylogger, viene spesso utilizzato per manipolare il file host. Questo malware spesso entra nel dispositivo tramite e-mail o download infetti, apportando modifiche al file host in modo invisibile.
Perché questo metodo è tanto pericoloso?
Una volta apportata la modifica, questa rimane attiva anche se si cambia rete. Poiché gli attacchi vengono effettuati in locale sul dispositivo dell’utente, sono indipendenti dai server esterni e molto difficili da rilevare.
Ecco come proteggersi
Puoi rilevare e prevenire i tentativi di manipolazione di questo tipo eseguendo regolarmente la scansione del sistema alla ricerca di vulnerabilità e modifiche dannose e utilizzando software antivirus come Avira Free Security.
Esempi di attacchi di pharming
Il pharming è una minaccia reale e si sono già verificati diversi casi in cui è stato utilizzato in attacchi su larga scala.
- Malware DNSChanger (2007–2011). Questa campagna ha utilizzato impostazioni DNS manipolate per reindirizzare milioni di utenti verso siti Web falsi. Una volta visualizzati tali siti, gli utenti venivano bombardati da annunci pubblicitari. L’obiettivo: generare entrate pubblicitarie e rubare dati. I colpevoli, catturati solo anni dopo, sono riusciti a rubare 14 milioni di dollari. A causa della notevole portata dell’attacco, non era possibile semplicemente chiudere i server dannosi: è stato necessario sostituirli con server dell’FBI, affrontando notevoli spese, per garantire che gli utenti infetti non venissero tagliati fuori da Internet.
- Attacco in Brasile (2017). In questo attacco di pharming, gli hacker hanno compromesso i server DNS di una grande banca brasiliana e reindirizzato i clienti a siti Web falsi, apparentemente autentici. Gli autori dell’attacco hanno ottenuto l’accesso ai dati sensibili dei clienti, causando perdite finanziarie per milioni di dollari. L’attacco ha interessato tutti i 36 domini della banca, dimostrando l’immenso pericolo rappresentato dalle infrastrutture DNS manipolate.
- Attacco di pharming in Venezuela (2019). È stato creato un sito Web falso che assomigliava al sito ufficiale del movimento Voluntarios por Venezuela (Volontari per il Venezuela). Questo ha comportato il furto di massa di informazioni personali.
Segnali rivelatori di un attacco di pharming
Gli attacchi di pharming sono difficili da rilevare perché avvengono in background. Tuttavia, vi sono alcuni tipici segnali di allarme a cui occorre prestare attenzione:
- URL sospetti. Fai attenzione a eventuali errori di ortografia, sottodomini imprevisti o caratteri speciali nella riga dell’indirizzo.
- Contenuti insoliti su un sito Web familiare. Modifiche al layout, loghi mancanti o richieste sospette di inserimento di dati personali possono rappresentare un segnale d’allarme.
- E-mail o messaggi di testo indesiderati. I link presenti nei messaggi potrebbero indirizzarti a siti Web manipolati.
- Errore del certificato SSL. Se all’improvviso su un sito Web attendibile compaiono avvisi relativi a certificati non validi, potrebbe trattarsi di un tentativo di pharming.
- Reindirizzamenti imprevisti. Se vieni reindirizzato inaspettatamente a una pagina diversa da quella che ti aspettavi, questo potrebbe indicare una manipolazione del DNS.
- Problemi di rete. Spesso i siti Web fraudolenti vengono caricati più lentamente di quelli reali. Problemi improvvisi di Internet o connessioni lente potrebbero indicare che le impostazioni DNS sono state manipolate.
- Transazioni sospette. Transazioni o altre attività inspiegabili potrebbero indicare che i tuoi dati di accesso sono stati compromessi.
Se noti segnali di questo tipo, disconnettiti immediatamente da Internet e controlla le impostazioni DNS.
Per farlo, vai alle impostazioni di rete del computer o dello smartphone e controlla se sono presenti voci insolite nei server DNS.
Se non sei sicuro che questi indirizzi siano corretti, puoi reimpostare le impostazioni DNS su “Ottieni automaticamente” o immettere server DNS sicuri come Google DNS (8.8.8.8) o Cloudflare DNS (1.1.1.1).
Come puoi proteggerti dal pharming?
Per proteggerti dal pharming, devi adottare alcune misure specifiche. Non basta agire con cautela: anche le precauzioni tecniche svolgono un ruolo cruciale. Continua a leggere per scoprire quali misure puoi adottare per proteggere i dispositivi e modificare il tuo comportamento online. In tal modo, ridurrai notevolmente il rischio di cadere vittima di un attacco di pharming.
Suggerimenti per la protezione tecnica
- Cambia la password predefinita del router e aggiorna regolarmente il firmware.
- Attiva il firewall sui dispositivi.
Suggerimenti pratici
- Non inserire mai informazioni sensibili se il sito Web sembra sospetto.
- Verifica che il sito Web sia sicuro, ad esempio cercando l’icona HTTPS (a forma di lucchetto) nella barra degli indirizzi.
- Evita di utilizzare hotspot Wi-Fi pubblici per effettuare operazioni bancarie o acquisti online.
- Controlla regolarmente le impostazioni di sicurezza dei dispositivi.
Conclusioni: presta attenzione e naviga in sicurezza
Il pharming è una minaccia silenziosa ma seria per la tua sicurezza online. Dotandoti delle giuste conoscenze e adottando le misure appropriate, sarai meglio equipaggiato per proteggere te stesso e i tuoi dati. Strumenti come Avira Free Security ti aiuteranno a raggiungere questo obiettivo, bloccando il malware e individuando le attività sospette.