Il 9% delle persone l’ha incontrato almeno una volta, ma sono pochi quelli che conoscono il suo nome: pharming. Infatti, pur appartenendo alla medesima famiglia, è il phishing ad attrarre la maggior parte delle attenzioni mediatiche; insieme, però, i due generano in USA più di 48 milioni di dollari di danni ogni anno e coinvolgono un numero di vittime ormai prossimo alle 30mila unità. Si darà quindi definizione di cos’è il pharming partendo dal capire le differenze con il phishing.
Pharming e phishing, cosa sono
Il pharming è, di fatto, una frode online simile al phishing ma, per certi aspetti, ancora più insidiosa. L’obiettivo dell’attacco di pharming, che rientra nell’ambito del social engineering, è fare in modo che il malcapitato, volendo accedere a uno specifico servizio online (per esempio, al suo home banking), venga invece indirizzato verso una replica fraudolenta del sito della banca e lì inserisca le credenziali d’accesso, che vengono acquisite dai malintenzionati e usate per accedere agli stessi servizi o per un furto d’identità in piena regola. Oltre al fatto che, talvolta, il sito malevolo è anche un ricettacolo di malware di altra natura.
La finalità del pharming è quindi la stessa del phishing, ma tra i due resta una differenza sostanziale nella modalità d’attacco: nel phishing la vittima viene ingannata da una comunicazione apparentemente legittima (la classica newsletter via e-mail), inserisce i dati o clicca su un link e, in questo modo, accede alla replica del sito originale; nel pharming, la vittima raggiunge il sito fraudolento semplicemente digitando nella barra del proprio browser l’URL ‘corretto’ del sito che vuole raggiungere. Se ciò che l’utente visualizza è una copia verosimile di quello originale, diventa molto difficile rendersi conto del raggiro.
Come si realizza un attacco di pharming
Alla base degli attacchi di pharming c’è sempre l’alterazione fraudolenta del funzionamento del DNS – Domain Name System. Nell’ipotesi elementare, a livello cioè di singolo PC o workstation, l’attacco di pharming agisce modificando le impostazioni dei server DNS locali, alterando la cache o modificando direttamente il file hosts. La manomissione può avvenire in diversi modi: sfruttando una vulnerabilità del browser, per esempio, accedendo fisicamente al device della vittima con privilegi di amministrazione oppure tramite un malware, che solitamente assume la forma di un virus o trojan.
Da notare che, se anche la compromissione del singolo dispositivo resta un’ipotesi certamente percorribile, più pericolose sono le alterazioni fraudolente dei server DNS a livello di rete aziendale (magari tramite server DHCP non autorizzati o rogue) e, peggio ancora, di ISP o di server DNS globali. Un metodo di pharming tanto noto quanto datato è il DNS Cache Poisoning, un processo ingegnoso che, sfruttando le vulnerabilità del server DNS, mira a estendere le informazioni presenti nella cache con record fraudolenti che indirizzino le persone verso repliche di siti realizzate ad hoc. In questo modo, la portata dell’attacco di pharming cresce a dismisura poiché non coinvolge un solo endpoint, bensì tutti gli utenti che si affidano al server oggetto di DNS hijacking.
Indizi sospetti e come difendersi da un attacco di pharming
Fortunatamente, gli attacchi di pharming possono essere evitati mediante gli strumenti adatti, cui aggiungere semplicemente una buona dose di attenzione a ciò che si fa quando si è online, sia da privato cittadino che da professionista. Il fattore umano resta determinante: lasciare un terminale acceso e incustodito o inserire le proprie credenziali in siti di dubbia attendibilità sono tipici comportamenti che favoriscono un attacco di pharming. A livello aziendale, aggiornare costantemente i sistemi di sicurezza, fornire un’adeguata attività formativa su come si possano identificare siti fraudolenti è fondamentale per prevenire gli effetti sia del phishing che del pharming. Per il resto, ecco alcuni consigli per dormire sonni tranquilli:
- Abilitare, ovunque possibile, l’autenticazione a due fattori
Il malintenzionato acquisisce i dati immessi nei form online, che solitamente corrispondono alle informazioni personali, a quelle aziendali e alle credenziali di accesso ai servizi online. L’impiego di codici usa-e-getta, tipici delle autenticazioni forti, rende impossibile l’accesso, anche se gli altri dati vengono comunque esposti.
- Evitare siti dubbi e non sicuri
Siti che sembrano leggermente diversi da quelli cui si è soliti accedere, con strani errori e che richiedono informazioni aggiuntive rispetto a quelle richieste fino a ieri devono quanto meno sollevare qualche sospetto. In questi casi, è sempre utile verificare l’indirizzo nella barra del browser per sincerarsi che sia effettivamente il sito cui si vuole accedere (e non, invece, un dominio simile, come potrebbe essere faceboook.com). È fondamentale che il sito impieghi il protocollo per la comunicazione sicura HTTPS, cosa che peraltro viene chiaramente segnalata dai browser.
- Software di sicurezza sempre aggiornati
Come anticipato, il vettore più comune degli attacchi locali è il malware. Per questo motivo è fondamentale associare a comportamenti virtuosi anche software sempre aggiornati e che, a livello di singolo endpoint, riescano a fornire una protezione a 360° nei confronti delle minacce online, non solo dei file da scaricare.
- Affidarsi a ISP sicuri e affidabili
Il pharming non avviene solo a livello di singolo dispositivo ma può colpire anche i server DNS degli ISP. In tal caso, non potendo agire direttamente né sperare che un antivirus rilevi qualcosa nel PC (che, effettivamente, è sano), è fondamentale affidarsi a un fornitore riconosciuto e in grado di garantire i massimi livelli di security.
Quando questo attacco informatico arriva in prima pagina
Il pharming non è un fenomeno recente, tutt’altro. I primi casi documentati risalgono agli anni ’90 e, se anche in pochi hanno conquistato la massima attenzione mediatica, il fenomeno è ancora in corso ed è sempre pericoloso. Ecco alcuni casi noti:
- com (2005)
Nel 2005, l’ISP newyorkese fu oggetto di un Domain Name Hijacking che dirottò tutto il traffico web e le e-mail verso un server australiano. Si scoprì che, per attuare il piano, fu sufficiente una richiesta di cambio Registrar, che venne attuata senza le autorizzazioni del titolare del dominio.
- Istituto di credito Messicano (2008)
Uno dei principali istituti bancari messicani (non meglio identificato) fu colpito da pharming nel 2008: all’atto di entrare nel proprio home banking, infatti, molti clienti vennero dirottati verso un sito malevolo. Ingegnosa la metodologia di attacco: un malware allegato a un biglietto di auguri, che modificava le impostazioni DNS del router domestico.
- Attacco coordinato a 50 banche (2017)
In tempi più recenti si assistette a un attacco pharming elaborato ed efficace contro i clienti di più di 50 istituti di credito in tutto il mondo, per un totale di 3.000 utenti coinvolti nell’arco di 72 ore. L’attacco sfruttò una vulnerabilità di Windows: le persone venivano “attirate” verso siti contenenti codice malevolo, ovvero un Trojan che, a sua volta, scaricava cinque file da un server ubicato in Russia. In questo modo i criminali, che nel frattempo avevano replicato il front end di più di 50 banche, riuscivano a indirizzare verso i siti ‘fake’ più di 3.000 ignari clienti nell’arco di 3 giorni.
