Menu

Pharming

In ambito informatico si definisce pharming una tecnica per forzare (crack) e ottenere l'accesso ad informazioni personali e riservate, con varie finalità.

DI COSA SI TRATTA?

In ambito informatico si definisce pharming una tecnica per forzare (crack)  e  ottenere l'accesso ad informazioni personali e riservate, con varie finalità. Grazie a questa tecnica, la vittima è ingannata e rediretta verso un sito clone simile all’originale (ad esempio un sito bancario) al fine di intercettare e portare a rivelare inconsapevolmente a sconosciuti i propri dati personali (es. credenziali di accesso, numero di conto corrente, nome utente, password, numero di carta di credito etc.).

I rischi, quindi, sono simili  a quelli del phishing. La differenza con il "phishing" risiede nell'assenza di ricevere un'e-mail che  richiede di andare al sito commerciale o al sito bancario.

TECNICA

Quando si digita un indirizzo Internet (URL – Uniform Resource Locator) nel browser, questo indirizzo viene tradotto in un indirizzo tecnico utilizzando un registro mondiale (DNS – Domain Name System). Per motivi di prestazioni, è parzialmente duplicato in vari punti: presso il fornitore di  accesso ai servizi internet (Internet Service Provider) e sul computer.  Quindi quando viene digitato l'URL di un sito, viene interrogato il DNS del computer.

Se le informazioni non esistono, il computer interroga l’apparecchio per la connessione, quindi il DNS dell'ISP e così via fino al DNS principale. Per ingannare il computer, è sufficiente modificare l'indirizzo tecnico associato a un URL. 

Esistono almeno due metodologie di attacco, a seconda che l'obiettivo primario sia il Server DNS dell'Internet Service Provider oppure direttamente il PC della vittima:

  • nel primo caso il malintenzionato (cracker) opera, con sofisticate tecniche di intrusione, delle variazioni nei Server DNS dell'Internet Service Provider modificando gli abbinamenti tra il dominio (es: www.nomesito.it) e l'indirizzo IP corrispondente a quel dominio. In questo modo gli utenti connessi a quel Provider, pur digitando il corretto indirizzo URL, verranno inconsapevolmente reindirizzati ad un server trappola predisposto per carpire le informazioni. Questo server trappola è ovviamente reperibile all'indirizzo IP inserito dal cracker, che avrà anche provveduto a renderlo simile a quello vero.
  • Nel secondo caso l'utente malintenzionato (cracker) opera, con l'ausilio di programmi trojan (nascosti in allegati a mail o pagine web create con questo obiettivo e a cui si spinge gli utenti ad accedere) o tramite altro accesso diretto, una variazione nel personal computer della vittima. Ad esempio, nei sistemi basati sul sistema operativo Windows, modificando il file "HOSTS", contenuta in qualunque computer con Sistema Operativo Windows e browser Internet Explorer, presente nella directory "C:windowssystem32driversetc". Qui possono essere inseriti o modificati gli abbinamenti tra il dominio interessato (es. wikipedia.org) e l'indirizzo IP corrispondente a quel dominio. In questo modo la vittima che ha il file hosts modificato, pur digitando il corretto indirizzo URL nel proprio browser, verrà reindirizzata verso un server predisposto per carpire le informazioni. Un altro metodo consiste nel modificare direttamente nel registro di sistema i server DNS predefiniti. In questo modo l'utente - senza rendersene conto - non utilizzerà più i DNS del proprio Internet Service Provider, bensì quelli del frodatore, dove ovviamente alcuni abbinamenti fra dominio e indirizzo IP saranno stati alterati.

In tutto questo processo nulla può far ipotizzare alla vittima di essere connessa ad un server trappola se quest'ultimo è perfettamente somigliante a quello vero. Il cracker utilizzerà quindi a proprio beneficio i dati inseriti dalla vittima nel Server "clone".

 

COME DIFENDERSI?

Per difendersi dal pharming non esistono programmi specifici se non i firewall che tentano di impedire l'accesso al proprio PC da parte di utenti esterni e programmi antivirus che bloccano l'esecuzione di codice malevolo. Per quanto riguarda invece il server DNS dell'Internet Service Provider, questo è solitamente gestito e protetto da professionisti che, come Crédit Agricole, provvedono alla protezione dei propri server.

La tecnica di difesa migliore è adottare un comportamento attento e verificare l’attendibilità del sito a cui ci si è collegati prima di inserire dati sensibili:

  • verifica l’URL del sito su cui ci si trova: nella barra di indirizzo del browser, verificate attentamente l’ortografia dell’indirizzo del sito.
  • Verifica che l’URL inizi per  " https://"
  • Verifica che la barra degli indirizzi abbia uno sfondo verde o identifichi il sito come protetto da un lucchetto. Di seguito 2 esempi  su Internet Explorer e Firefox
  • Verifica il certificato del sito, leggendo bene quanto indicato anche nella sezione “Dettagli”

Il sito della Banca utilizza una tecnica di incapsulamento delle pagine a frames che non mostra, nella barra degli indirizzi, né il lucchetto né l'indirizzo in modalità https ma è possibile comunque visualizzarne il certificato, posizionandosi sul frame e accedendo con il tasto destro a “Proprietà” e cliccando su "certificati".