Pharming attack: Significato, utilizzo e fasi del Pharming informatico
Il pharming
Attualmente, il phishing è in continua evoluzione e, con il passare del tempo e l’evolversi delle tecnologie, si evolvono anche le tecniche di attacco. Infatti, una ancor più pericolosa evoluzione del phishing è il pharming, termine composto dalle parole phishing e farming, che consiste in una tecnica di cracking, capace di colpire più utenti contemporaneamente, volta ad ottenere l’accesso ad informazioni personali e riservate, senza la necessità di aprire alcuna email.
Il pharming è una tecnica di truffa on line che consiste nella manipolazione degli indirizzi di DNS (Domain Name Server) che utilizza l’utente, in modo tale che le pagine web visualizzate dall’utente, create ad hoc dai pirati informatici, non siano quelle originali, anche se il loro aspetto è identico. Per comprendere meglio il pharming, bisogna innanzitutto comprendere che cosa si intende per manipolazione degli indirizzi DNS. Quando si inserisce un determinato indirizzo di una pagina web nel proprio browser in forma alfanumerica, lo stesso viene tradotto automaticamente in un indirizzo IP numerico che serve per raggiungere in internet il server web corrispondente a quel dominio, poiché sarebbe estremamente complesso dover ricordare sequenze di numeri che identificano tutte le pagine web da visitare. Infatti, è più facile scrivere nel motore di ricerca, ad esempio, www.bancadiroma.it e poi lasciare che il server DNS del provider lo traduca in un indirizzo IP in formato numerico. La tecnica del pharming, attaccando i server DNS, mira a cambiare la corrispondenza numerica di tali server DNS, in modo tale che essi decodifichino una corrispondenza numerica distinta da quella reale e portino l’utente ad una pagina identica a quella di riferimento, ma creata dai pirati informatici. A questo punto, l’utente sarà convinto di navigare sul sito giusto e, nel momento in cui utilizza le proprie credenziali di accesso, esse, automaticamente, sono conosciute anche dal soggetto attaccante.
Un altro tipo di pharming, anche più pericoloso e dannoso, è quello che si realizza a livello locale, cioè in ogni computer: è necessario modificare una cartella chiamata “HOSTS”, contenuta in qualsiasi computer che utilizzi Windows come sistema operativo ed Internet Explorer per per la navigazione in Internet, poiché nell’archivio “HOST” vi è immagazzinata una piccola tabella con gli indirizzi di server e indirizzi IP più utilizzati dall’utente e modificandola accadrà che, nel momento in cui si scriverà la URL nel motore di ricerca, automaticamente si verrà reindirizzati alla pagina web fittizia. Il pirata informatico potrà entrare nel computer della vittima o in forma remota, o sfruttando qualche vulnerabilità del sistema, o attraverso un virus.
In generale, un attacco di pharming deve rivolgere le proprie attenzioni agli anelli più deboli della catena di macchine che servono per connettersi ad un “HOST” ed, infatti, sempre più spesso una modalità di attacco consiste nell’infettare i router casalinghi, usati per connettersi all’adsl, di solito poco protetti.
La maggiore pericolosità di questo tipo di attacchi consiste nel fatto che non occorre convincere l’utente a visitare siti fasulli, né occorrono email esca, la vittima non ha alcun elemento per ipotizzare di essere connessa ad un server “trappola” in quanto esso è perfettamente somigliante a quello vero, inoltre l’evidenza dell’attacco può essere facilmente rimossa e, quindi, la rilevanza delle attività di indagine è fortemente ridotta.
Il pharming è in relativa crescita, soprattutto grazie all’incremento della presenza di malware, in quanto, ormai spesso, programmi all’apparenza innocui nascondono al loro interno malware capaci di modificare le componenti del sistema operativo, attivando servizi di pharming all’insaputa dell’utente. Tale fenomeno è, come già detto, molto più pericoloso del phishing tradizionale, proprio a causa della portata delle modifiche che un sistema di pharming riesce a compiere sul sistema operativo della macchina target, poiché le tecniche di difesa sono le stesse adottate per i sistemi di anti-malware.
Nei prossimi anni, il fenomeno è destinato ad una forte crescita, anche a causa dell’incremento degli attacchi con tecniche di rootkit96, in riferimento ai quali spesso i sistemi antimalware si trovano in difficoltà. In Italia un attacco simile si è verificato nell’ottobre del 2006, da un provider russo, in riferimento ad un indirizzo che apriva una pagina del tutto simile a quella del sito di Poste Italiane, con la richiesta di inserimento di user name e password e, successivamente, l’inserimento delle 10 cifre del codice dispositivo. La complessità di tale attacco risiedeva nel fatto che l’indirizzo del sito era visibile soltanto dai computer infettati da specifici malware e non rintracciabile con i tradizionali metodi di analisi.
