Che cos’è il Pharming in informatica?

Il pharming informatico, come il phishing, è un attacco che ha lo scopo di indurre le vittime a divulgare informazioni private, ma anziché utilizzare le e-mail come vettore di attacco, utilizza codice malevolo che la vittima esegue sul proprio dispositivo e consente di reindirizzare l’utente su siti web controllati dai cybercriminali. Questo consente agli hacker di eliminare un passaggio, in quanto non sarà più necessario che la vittima clicchi su un link che lo indirizzi verso il sito web malevolo, perché ci pensa il codice dannoso a reindirizzare l’utente.

Un attacco pharming consiste nel manipolare le impostazioni del browser dell'utente o lanciare un processo in background che reindirizza automaticamente la vittima verso un sito malevolo. Vengono utilizzati reindirizzamenti o popup sul desktop dell'utente, che mostrano il sito Web di phishing in un link mascherato. Molto spesso, l'obiettivo degli hacker è ottenere dati finanziari o le credenziali di accesso della vittima, quindi il reindirizzamento si attiverà nel momento in cui l'utente visita un sito web bancario.

Ad esempio, i cybercriminali potrebbero utilizzare del codice malevolo per monitorare l'attività di navigazione dell'utente e innescare un reindirizzamento a un sito bancario contraffatto. Quando la vittima inserisce l’URL della banca nella barra degli indirizzi del browser, il codice malevolo reindirizza il browser a un sito contraffatto, in tutto e per tutto simile a quello ufficiale della sua banca. Raramente l’utente presta attenzione al dominio del sito sulla barra degli indirizzi del browser, quindi spesso gli attacchi pharming si rivelano efficaci per rubare i dati finanziari degli utenti, comprese le loro credenziali di accesso.

Un altro esempio tipico è reindirizzare l’utente su un altro sito quando digita il nome di un motore di ricerca sul browser. I cybercriminali si servono di motori di ricerca malevoli per dirottare gli utenti verso siti web pubblicitari o di phishing. Ciò può essere fatto manipolando le impostazioni del browser o rilevando quando la vittima naviga su un particolare sito bancario.

Come abbiamo visto, gli attacchi pharming non si basano sulle e-mail, ma fanno affidamento sull’utilizzo di malware per reindirizzare gli utenti e rubare informazioni sensibili. Una volta che la vittima esegue il file di installazione del malware, esso andrà in esecuzione sul computer dopo ogni riavvio. Generalmente i malware funzionano bene, ma gli sviluppatori raramente li testano a fondo prima di utilizzarli, col rischio di lasciare bug nel software. Bug che possono causare arresti anomali indesiderati, riavvii, le famigerate blue screen of death e altri problemi al computer. I bug potrebbero rendere anche inefficace il malware nella capacità di trafugare dati o influenzare le operazioni sul vostro computer, impedendovi di utilizzarlo.

Un altro metodo utilizzato con il pharming informatico è il DNS poisoning. Il malware modifica le impostazioni DNS sul computer locale, così quando l'utente digita un URL sulla barra degli indirizzi del proprio browser, viene dirottato su un sito malevolo. Ogni computer che si connette a Internet utilizza infatti una configurazione DNS, e il DNS memorizza l'indirizzo IP di ogni dominio su Internet. Quando il browser esegue la ricerca, indirizza gli utenti all'IP elencato su un server DNS. Nel DNS poisoning, l'indirizzo IP rimanda a un dominio ospitato sul server dei cybercriminali.

Sia il phishing che il pharming inducono gli utenti a divulgare informazioni private, ma ciò che contraddistingue un metodo dall'altro, è la modalità utilizzata per ingannare le vittime. In un attacco phishing, i cybercriminali creano un'e-mail realizzata ad arte per sembrare legittima e fuorviare gli utenti, spesso contenente un link su cui l'utente deve cliccare affinché l'attacco vada a buon fine. Al phishing, gli hacker possono abbinare anche il social engineering, per rendere più efficace l'attacco e aumentare le probabilità di successo nel sottrarre denaro o dati sensibili alla vittima designata.

In un attacco pharming invece, non è necessario inviare alcun messaggio di posta elettronica perché ci pensa il malware, eseguito come processo in background sul computer, ad intercettare le richieste web e dirottare le vittime su siti malevoli. Non è necessaria alcuna interazione da parte dell'utente, se non nella prima esecuzione del malware, che, una volta eseguito, persiste sul computer anche dopo il riavvio. Solo utilizzando appositi strumenti di rimozione del malware si possono eliminare i file malevoli utilizzati per monitorare l'attività dell'utente, mostrare popup o dirottare le impostazioni del browser.

Tra i dati sensibili più appetibili per i cybercriminali, il furto delle credenziali permette di ottenere il controllo completo dell'account della vittima. Avere il controllo di un account potrebbe rivelarsi assai prezioso per i malintenzionati. Ad esempio, avere accesso all'account di posta elettronica della vittima permette di accedere a molte più informazioni rispetto al semplice furto di informazioni riservate.

In un attacco phishing, le vittime vengono spinte con l'inganno a divulgare le proprie credenziali tramite e-mail fasulle. In un attacco pharming invece, i cybercriminali si servono di processi malware in background o manipolazione delle impostazioni DNS, per reindirizzare automaticamente un utente su siti web malevoli, mentre utilizza il proprio browser.

Non serve che l'utente clicchi su un link malevolo, e questo fa del pharming un metodo molto più efficace rispetto al phishing. Nonostante ciò, il phishing è ancora un vettore di attacco popolare per i cybercriminali, anche perché per poter diffondere il malware utilizzato per il pharming, gli hacker continuano comunque a fare affidamento sull'invio di email malevole per spingere le vittime ad installare software dannoso sui propri dispositivi, e consentire loro di rubare denaro o informazioni sensibili.

Che si tratti di e-mail phishing o pharming, gli utenti non dovrebbero mai eseguire file eseguibili allegati alle e-mail o installare file scaricati da siti web non ufficiali. Sia il pharming che il phishing mirano a rubare credenziali o informazioni bancarie, perciò è fondamentale fare molta attenzione a ciò che si scarica o installa sul proprio dispositivo.