Tra le tante truffe organizzate dai cyber criminali, c’è anche il pharming. Si tratta di un attacco volto ad installare malware su PC e server. Il suo nome deriva dalla fusione delle parole “farming” (coltivare) e “phishing”, tecnica di cui abbiamo spesso parlato. La tecnica è nuova e più complessa ed è adottata per accedere ai dati personali delle vittime. Ce lo spiega Panda Security.
Il malware installato sui dispositivi modifica l’indirizzo IP e reindirizza gli utenti su siti Web fraudolenti senza che essi se ne rendano conto. Da qui vengono chiesti i dati personali, utilizzati poi per furti d’identità o frodi finanziare. La tecnica del pharming è impiegata per colpire principalmente clienti di banche e piattaforme di invio e scambio di valute. A differenza del phishing, questa nuova tecnica non richiede l’errore della vittima.
Come funziona il pharming
Il malware utilizzato negli attacchi di pharming modifica gli indirizzi IP, reindirizzando gli utenti su siti web fraudolenti senza che se ne rendano conto. Qui, gli viene chiesto di inserire i propri dati personali, che poi vengono utilizzati per commettere un furto di identità o frodi finanziarie. I criminali che usano il pharming prendono di mira soprattutto i clienti di banche e altre piattaforme di invio e intercambio di valute.
Il pharming può avvenire attraverso l’hackeraggio di singoli computer. Spesso viene inviata una mail malevola, che integra uno script in grado di modificare i file host del PC della vittima. Dopodiché questa verrà reindirizzata su pagine Web fraudolente, con un IP diverso dall’originale. Il reindirizzamento avviene anche se il malcapitato digita correttamente l’URL che vuole raggiungere. Questo avviene perché i file host hanno la priorità sugli altri elementi del sistema.
C’è un altro metodo utilizzato dal pharming, che prende di mira i server DNS, ovvero server pubblici online che consentono ai PC di connettersi ai siti. L’indirizzo digitato dall’utente viene dunque tradotto nell’IP corrispondente. Rimane però un attacco più complesso da portare a segno, dal momento che i sistemi di sicurezza dei DNS sono più attrezzati. Tuttavia potrebbero portare a conseguenze significanti perché potrebbero interessare milioni di richieste URL degli utenti.
Le differenze tra phishing e pharming
Le tecniche sono simili, ma hanno una differenza fondamentale. Il phishing è una categoria variegata di truffe. Il malvivente prova ad ingannare le vittime attraverso messaggi ingannevoli (qui e qui ne abbiamo segnalato qualcuno) che cercano di convincere l’utente a cliccare sul link che rimandano a siti compromessi. In questo caso si assiste dunque ad una partecipazione involontaria della vittima.
A differenza del phishing il pharming non richiede un errore della vittima, il criminale dunque non cerca di raggirarla. Gli utenti vengono portati automaticamente in campo nemico tramite la manipolazione delle richieste DNS, o la modifica dei file host.
Come capire se si è vittime di pharming
Non è facile rilevare attacchi di pharming, in particolar modo se il sito fraudolento è stato sviluppato in modo da essere difficile da distinguerlo da quello originale. Esistono però alcuni modi per capire se siamo vittime di un attacco di pharming. Ad esempio attraverso piccolissimi cambiamenti di un link o un sito. Gli hacker cambiano lettere nell’URL o impiegano elementi grafici diversi nel sito fraudolento. Inoltre errori di ortografia, loghi differenti o con una risoluzione inferiore, con loghi diversi e che variano da pagina a pagina, potrebbero essere segnali di cui preoccuparsi.
Anche la connessione non protetta può essere un campanello dall’arme. Gli attacchi in cui vengono impiegati pharming o phishing, sono URL senza certificato di sicurezza. L’indirizzo dunque è “http” e non “https”. In genere i browser o gli antivirus avvertono l’utente quando la connessione non è sicura. Qualsiasi sito che gestisce dati sensibili ha “https”. Dunque basterà fare attenzione a questo dettaglio.
Bene inoltre prestare molta attenzione alle attività insolite sui propri account o sul conto bancario. Movimenti sospetti in banca o attività insolite negli account, potrebbero essere un sintomo di essere vittima di queste iniziative malevoli. Attenzione anche ai cambi di password non autorizzati. Se un criminale riesce ad accedere al conto di home banking, potrebbe voler provare a cambiare le credenziali, affinché l’accesso ne sia impedito al legittimo proprietario. Per prevenire questa eventualità, meglio attivare l’autenticazione a due fattori e le notifiche di sicurezza, in modo da essere sempre informati quando vengono richiesti cambi di password o accessi insoliti.
Se nel dispositivo appaiono app o programmi che non ci si ricorda di aver scaricato, potrebbe essere stato per via di un malware. Meglio controllare periodicamente le app installate sui propri dispositivi e rimuoverle in caso di software sospetto.
I consigli di Panda Security per proteggersi
Prevenire il pharming è complesso, specie quando avviene il poisoning dei DNS. Tuttavia per mitigare i danni di un eventuale attacco, Panda Security consiglia di svuotare la cache nel caso si riscontrassero i primi sintomi sopra descritti. Anche un buon antivirus dovrebbe essere di norma già installato e aggiornato periodicamente. Può essere utile inoltre contattare la compagnia che offre il servizio Internet o installare una VPN per navigare in sicurezza.
Leave a Reply