Pharming (manipolazione di indirizzi web)
Il pharming è una ulteriore tecnica fraudolenta che sempre più spesso si sta accompagnando al phishing.
Mentre il phisher, generalmente, carpisce la buona fede degli utenti di internet attraverso falsi messaggi confidenziali, con il Pharming l’inganno è ancora più occulto. La truffa consiste nel realizzare pagine web identiche ai siti già esistenti (banche, assicurazioni, softwarehouses etc.) in modo che l’utente sia convinto di trovarsi, ad esempio, nel sito della propria banca e sia indotto a compiere le normali transazioni sul proprio conto on-line. Una volta digitate le credenziali (password e user ID) del proprio conto, sarà semplice recuperarle, tramite keylogger o troiani, per utilizzarle a fini fraudolenti.
Come potrei imbattermi in un sito clonato? Ad esempio a seguito di una segnalazione proveniente attraverso un e-mail fraudolenta (phishing) in cui mi si invita a recarmi presso il sito della mia banca per ragioni di servizio o di sicurezza (utilizzando espressioni tipo “il suo conto deve essere confermato”, oppure “per ragioni di sicurezza dovrebbe controllare se le sue password sono ancora attive”, “per motivi di sicurezza deve compilare il seguente form”, etc.). Una volta selezionato il collegamento verrei instradato su un sito identico a quello della mia banca ma in realtà diverso.
Esistono anche altri modi con cui è possibile clonare siti, ovvero servendosi attraverso il pharming.
Ma in cosa consiste il pharming? Esso consiste in un intervento di manipolazione delle direzioni verso le quali viaggiano le informazioni relative agli indirizzi web verso i quali ci si dirige. In parole povere: l’utente digita l’indirizzo di un sito, ad es. www.banca&banche.it. A questo nome a dominio corrisponde un indirizzo IP composto da un codice numerico formato da dodici cifre, ad es 000.000.000.000.
Nel momento in cui noi digitiamo il nome di un sito nella barra degli URL, dopo aver digitato su “cerca” inviamo l’informazione relativa al sito che vogliamo visitare ad un server, per l’appunto quello in cui è ospitato il sito. Il server decodifica l’indirizzo web da noi digitato con l’indirizzo IP numerico appartenente al sito. Con il pharming accade invece che questa corrispondenza fra nome a dominio del sito e suo indirizzo IP venga interrotta; al nome a dominio indicato viene associato un nuovo indirizzo IP relativo al sito creato dal Pharmer.
In sostanza il Pharming si concretizza in un attacco al server che gestisce le direzioni DNS (domain name system), in modo da far instradare la connessione verso il sito voluto, indipendentemente dalla volontà dell’utente ed evitando ogni contatto con il sito effettivamente clonato.
Il pharming è una tecnica d’attacco che riguarda soltanto i gestori di server? No, affatto. Esiste un altro tipo di pharming che si verifica a livello locale, all’interno del computer dell’utente, sfruttando una vulnerabilità del sistema di Windows.
All’interno del pc che giri su una piattaforma Windows esiste una cartella chiamata “host” ove sono contenuti gli indirizzi di server e gli indirizzi IP che maggiormente utilizza l’utente. Sarà sufficiente modificare gli indirizzi IP presenti in quella cartella perché il nostro motore di ricerca ci indirizzi verso un sito che non corrisponde a quello reale. Esistono infatti alcuni tipi di virus, chiamati troyani, che sono in grado di modificare automaticamente gli indirizzi IP presenti nella cartella “host”.
Avv. Marcello Pirani – legal@anti-phishing.it
I nostri RSS nel tuo PC. Iscriviti
