en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Cos'è il Pharming?

Che cos'è un attacco di Pharming?

Il termine "pharming" deriva da due concetti: phishing e farming. È un tipo di attacco informatico di ingegneria sociale che manipola il traffico di un sito Web per impossessarsi delle informazioni private di un utente o installare malware sui suoi computer. Per fare ciò, i farmer creano un sito Web fasullo che è una replica del sito di destinazione e utilizzano più metodi per reindirizzare gli utenti al sito fasullo.

I criminali informatici in genere creano repliche false di banche e siti Web di e-commerce per raccogliere nomi utente, password, numeri di previdenza sociale e dettagli di carte di credito/debito.

Come viene fatto il pharming?

Il pharming sfrutta le fondamenta della navigazione in Internet, in particolare che la serie di lettere che compongono un indirizzo Internet (xyz.esempio.com), deve essere convertito in un indirizzo IP da un server DNS (sistema dei nomi di dominio) affinché la connessione possa continuare.

Il pharming viene effettuato modificando le impostazioni dell'host sul sistema della vittima o manipolando un server DNS. Ciò si realizza in due modi:

Causare modifiche al file host locale

Il file degli host locali fa riferimento a una directory di indirizzi IP e nomi di dominio conservata nel computer locale di un utente. Ad esempio, sui sistemi macOS e Linux, questo file si trova in /etc/hosts. Il pharming si verifica quando i criminali informatici invadono il sistema della vittima e alterano il file host per reindirizzare le persone al sito Web fasullo ogni volta che tentano di accedere a quello legittimo. I criminali informatici possono essere molto abili nel far apparire il sito Web fasullo molto simile a quello reale. Le vittime vengono quindi colte alla sprovvista e divulgano le proprie credenziali di accesso o informazioni finanziarie ai truffatori.

Gli aggressori di solito utilizzano tecniche di phishing per inviare malware al computer della vittima, causando modifiche al file host. Il farmer può distribuire un'e-mail contenente codice dannoso e quando la vittima fa clic su di essa, il malware viene scaricato e installato sul proprio computer.    

Spoofing del DNS (Domain Name System)

L'altro metodo principale utilizzato dai farmer per reindirizzare il traffico è lo sfruttamento dei punti deboli di un server DNS e lo spoofing delle sue risposte alle richieste DNS. L'effetto è che la vittima viene deviata su un sito web fasullo controllato dal farmer, anche se l'indirizzo corretto è visibile nella barra degli indirizzi del browser. I siti Web fasulli vengono quindi utilizzati per raccogliere dettagli finanziari e informazioni riservate dalla vittima e possono anche installare virus sul sistema della vittima.

Ciò che rende lo spoofing DNS più minaccioso delle modifiche ai file host è che non deve dipendere dalle azioni della vittima e ha conseguenze potenzialmente peggiori perché i server DNS rispondono alle richieste di molti utenti e possono "avvelenare" altri server DNS con le modifiche del pharmer a un record DNS. Inoltre, con lo spoofing DNS, la vittima potrebbe avere un computer privo di virus ma potrebbe comunque essere attaccato dai pharmers. Anche se gli host prendono precauzioni come la digitazione manuale dell'indirizzo del sito Web o l'utilizzo regolare di segnalibri affidabili, queste non sono ancora sufficienti per combattere lo spoofing DNS, poiché il reindirizzamento dannoso si verifica dopo che la richiesta di connessione è stata inviata dal computer.

Quando i pharmers rubano i dettagli finanziari e personali delle loro vittime, possono usarli per frodi o venderli sul dark web.

In che modo il pharming è diverso dal phishing?

Nonostante ci siano risultati desiderati simili tra pharming e phishing, i metodi utilizzati differiscono. Il pharming è più orientato ad attaccare il sistema DNS mentre il phishing è più focalizzato sulla manipolazione degli utenti. Tuttavia, come è stato spiegato in precedenza, il phishing può svolgere una funzione importante nell'esecuzione del pharming.

Phishing

Come abbiamo accennato prima, il phishing è un tipo di frode informatica in cui gli aggressori distribuiscono e-mail fingendo di provenire da organizzazioni affidabili come banche e società di carte di credito. Le e-mail contengono collegamenti dannosi che, se cliccati, portano la vittima a un sito Web fasullo. Poiché il sito Web falso sembra ingannevolmente simile a quello legittimo, le vittime vengono indotte con l'inganno a inserire le proprie credenziali di accesso, i dettagli della carta e altre informazioni sensibili. 

Pharming

Il pharming può essere considerato un tipo di phishing meno il fattore di seduzione. Ciò significa che non è necessario che la vittima faccia clic su un collegamento dannoso per portarla a un sito Web fasullo. Invece, la vittima viene immediatamente inviata lì da un record DNS fasullo o dalla voce del file host. Il pharming può quindi essere caratterizzato come "phishing senza esca".

Casi storici di Pharming

Il pharming è stato utilizzato molte volte in tutto il mondo per attaccare singole vittime e organizzazioni:

Nel 2007, almeno 50 organizzazioni finanziarie negli Stati Uniti, in Europa e nell'Asia-Pacifico sono stati attaccati dai farmacisti. La loro strategia era quella di creare un sito Web falso per ogni obiettivo e quindi hanno inserito codice dannoso su ciascuno di essi. I siti Web falsi hanno costretto i computer delle vittime a scaricare malware cavallo di Troia, che successivamente ha scaricato cinque file aggiuntivi da un server russo. Ogni volta che gli utenti, i cui computer sono stati attaccati dal malware, hanno tentato di accedere a una qualsiasi delle società finanziarie, sono stati reindirizzati al sito Web fasullo che ha raccolto i loro nomi utente e password.

Nel 2015, in Brasile, i farmer hanno distribuito e-mail di phishing agli utenti dei router domestici UTStarcom e TR-Link, fingendo di rappresentare la più grande azienda di telecomunicazioni del Brasile. Le e-mail contenevano collegamenti dannosi che, dopo essere stati cliccati, hanno inviato la vittima a un server che ha attaccato il suo router.

I farmer hanno quindi approfittato della falsificazione di richieste cross-site (CSRF) vulnerabilità nei router domestici delle vittime per accedere alle console di amministrazione dei router.

Una volta che i farmer si sono infiltrati nel pannello di controllo dell'amministratore del router delle vittime, hanno inserito il nome utente e la password predefiniti. Se ha funzionato, hanno proceduto a modificare le impostazioni del router sul proprio server DNS.

Nel 2016, il fornitore di servizi di sicurezza dei siti Web Sucuri, ha scoperto un caso di pharming dove gli hacker hanno reindirizzato le vittime a siti Web che utilizzavano FreeDNS di NameCheap tramite impostazioni DNS modificate.

Nel 2019 il Venezuela aveva bisogno di aiuti umanitari. Presidente Juan Guadio chiesto a migliaia di volontari inviare i propri dati personali a un sito Web in modo che possano ricevere istruzioni su come aiutare le organizzazioni internazionali a fornire assistenza. Il sito web richiedeva ai volontari di indicare informazioni tra cui nome completo, ID personale, numero di cellulare e indirizzo. 

Cinque giorni dopo il lancio di questo sito Web, è apparso un sito Web falso con un dominio e una struttura molto simili. I due domini, con titolari diversi, erano registrati in Venezuela ad un solo indirizzo IP che apparteneva agli hacker. Pertanto, indipendentemente dal fatto che i volontari abbiano avuto accesso al nome di dominio legittimo o falso, le loro informazioni personali sono state comunque introdotte nel sito Web falso.

Come fai a sapere se sei una vittima del Pharming?

Uno dei seguenti problemi può indicare che sei stato vittima di pharming:

  1. Le password del tuo banking online sono state modificate senza che tu iniziassi l'azione.
  2. Ci sono messaggi o post sul tuo account Facebook che non hai creato.
  3. Addebiti inspiegabili sono stati effettuati sulla tua carta di credito.
  4. Sul tuo computer sono installate strane applicazioni che non hai né scaricato né installato.
  5.  I tuoi account sui social media hanno inviato richieste di amicizia che non hai fatto.

Tutorial Proteggiti dal Pharming

Le strategie descritte di seguito sono considerate le migliori pratiche per prevenire un attacco di pharming:

Usa un server DNS affidabile

Considera il passaggio a un servizio DNS specializzato perché questo può fornire una maggiore protezione contro lo spoofing DNS.

Ricontrolla l'URL del sito Web per errori tipografici

I farmer modificano il nome del sito Web di destinazione modificando uno o più caratteri. Quindi, ad esempio, www.Onebank.example.com diventerà www.0nebank.example.com. 

Fare clic solo sui collegamenti che dispongono di un certificato SSL legittimo

Un certificato SSL garantisce che il sito web che stai visitando sia sicuro. Saprai se il sito Web ha un certificato SSL se il suo collegamento inizia con HTTPS. Se vedi che il sito web inizia solo con HTTP, non c'è alcuna garanzia che sia sicuro e non dovresti divulgare alcuna informazione privata ad esso.

Attiva l'autenticazione a più fattori per i tuoi account online

L'autenticazione a più fattori fornisce un ulteriore livello di protezione nel caso in cui i tuoi dati di accesso vengano compromessi. Gli esempi includono codici di sicurezza SMS, Google Authenticator, riconoscimento vocale e rilevamento delle impronte digitali.

Firma le email con S/MIME Certificati

S/MIME (Estensione di posta Internet sicura / multiuso) Le e-mail utilizzano la firma digitale che assicura ai destinatari che l'e-mail proviene davvero da te.

Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREo fai semplicemente clic sul link della chat in basso a destra in questa pagina.

Serve un certificato? SSL.com fornisce un'ampia varietà di certificati digitali, tra cui:

CONFRONTA SSL /TLS CERTIFICATI

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com