Pharming: gli autori del phishing si evolvono e diventano non rilevabili

pubblicato il 11 nov 2006 in varie
1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (Nessun voto)

Ormai le attività di phishing sono ben conosciute dagli utenti e i truffatori sono costretti a passare a una forma di attacco meno evidente ma non meno efficace: il pharming. Come colpisce il pharming e come ci si può proteggere?
Tutti sappiamo cos’è il phishing: “Questa forma di attacco si avvale di e-mail, messaggistica istantanea o pubblicità su banner per invitare i consumatori a visitare un sito Web contraffatto in cui viene chiesto di immettere le password dei propri account e altri dati segreti”, ha spiegato Bill Rosenkrantz, Group Product Manager per le soluzioni di sicurezza in Internet di Symantec. Tuttavia, dopo anni di crescita apparentemente incontenibile, gli esperti hanno notato che gli attacchi di phishing tendono ora a rallentare. “I consumatori stanno imparando a resistere agli attacchi di phishing”, ha aggiunto Rosenkrantz. Ovviamente hacker e truffatori non rinunciano così facilmente alle loro fonti di guadagno e hanno concepito un nuovo tipo di attacco, molto più difficile da rilevare: il pharming. “Attraverso il pharming è possibile reindirizzare gli utenti automaticamente verso un sito contraffatto mentre credono di visitare un sito commerciale o finanziario legittimo”, ha affermato Bill Rosenkrantz. Inoltre, ha aggiunto che il pharming “può non essere rilevabile. Non è ancora molto diffuso, ma si sta espandendo”.
Cosa si intende esattamente per pharming? A livello di base, un attacco di pharming in sostanza manipola le “indicazioni” richieste dal computer per trovare il sito Web desiderato, allo scopo di dirottare l’utente verso un sito contraffatto a sua insaputa. E l’inganno non si ferma qui: una volta visualizzato, il sito Web appare all’utente come la destinazione corretta.
Il pharming può agire in tre modi:
1) Modifica del DNS sul computer locale
Il software DNS (Domain Name Server) consente di tradurre il nome del dominio digitato nell’indirizzo effettivo del sito Web della rete, ovvero nel relativo indirizzo IP, ad esempio traducendo l’indirizzo www.lamiabanca.itin 146.04.04.04. Ma poiché l’operazione deve essere effettuata attraverso la rete, questo tipo di traduzione può richiedere un po’ di tempo. Per accelerare la procedura, di solito il PC in uso mantiene una copia dei risultati DNS per i siti visitati in precedenza, creando una “cache DNS”. Con la ricerca nella cache prima dell’avvio di una query di rete, il PC consente all’utente di risparmiare tempo ed evita di tempestare Internet di domande di cui conosce già la risposta.
Ma la cache DNS locale offre anche il fianco agli abusi. Attraverso un codice di tipo Trojan Horse, i ladri di identità possono tentare di modificare la cache del PC in modo che, quando l’utente digita l’indirizzo della propria banca on-line, venga visualizzato un sito contraffatto, dall’aspetto uguale a quello reale: al momento dell’accesso, l’utente renderà note le proprie informazioni di identificazione senza accorgersene. Ciò è possibile perché il PC non ha alcun modo di sapere se un indirizzo è presente nella cache perché è stato visitato in precedenza o perché è stato scritto da qualche programma nocivo. In entrambi i casi, il PC riconoscerà il sito della banca on-line e lo considererà attendibile.
I programmi Trojan Horse utilizzati per questo tipo di attacco possono essere trasmessi attraverso allegati di e-mail o collegamenti Web, anche se il metodo più comune consiste nell’installazione durante il download di materiale gratuito quale salvaschermi, giochi o programmi pornografici, come quelli che offrono accesso “gratuito” a contenuti equivoci. Una protezione antivirus efficace e aggiornata impedisce la penetrazione dei Trojan Horse nel PC, ma se un virus di questo tipo entra in una macchina non protetta, l’utente spesso non si accorgerà della sua presenza.
2) Scripting tra siti
La modifica del DNS nella macchina locale costituisce la forma di pharming più comune, ma gli hacker hanno tentato di penetrare anche nel codice di siti Web legittimi. In genere compiono questa operazione per trasmettere uno script in grado di manipolare i visitatori del sito. A volte è sufficiente aggiungere un collegamento al sito reale: una volta scelto, invierà gli utenti verso il sito contraffatto. Oppure lo script aprirà una finestra di browser fasulla sopra il sito legittimo (finestra pop-over). Nella finestra vengono quindi richieste informazioni sull’identità, celandole dietro a una procedura di accesso, un problema di account o un presunto sondaggio on-line promosso dal sito legittimo.
Infine, lo script nocivo può essere mirato a sfruttare una falla nel browser, infettando in tal modo i PC dei visitatori del sito durante la navigazione. Parecchi siti Web importanti hanno già subito questo tipo di attacco negli ultimi anni. L’opportunità di prendere in trappola un grande numero di vittime inconsapevoli con un unico attacco rende questa tattica accattivante, ma la difficoltà di penetrare siti Web molto sicuri l’ha resa relativamente rara.
3) Modifica del DNS a livello di server
Allo stesso modo in cui il PC desktop memorizza le query DNS per migliorare le procedure, anche il server del provider di servizi Internet mantiene una cache di traduzioni DNS comuni. In questo caso, la cache non è soltanto una funzione aggiuntiva, ma una procedura di importanza vitale. Quando tutti gli abbonati di un provider di servizi Internet vogliono visitare lo stesso sito Web di notizie sportive subito dopo qualche grande evento, il server DNS può risparmiare molto tempo sapendo già come rispondere. Negli ultimi mesi gli hacker hanno tentato di modificare questo tipo di cache in modo che gli utenti, anche se digitavano un URL corretto, venissero inviati a un sito illegittimo dall’aspetto uguale a quello vero. È quindi possibile che questi siti richiedano all’utente di effettuare l’accesso, rivelando in questo modo informazioni relative alla propria identità, oppure scarichino uno spyware o virus di tipo Trojan Horse sul PC dell’utente per rubare informazioni personali.
I server dei provider di servizi Internet hanno sistemi di sicurezza molto efficienti e la modifica dei DNS a questo livello rappresenta la forma di pharming più difficile da portare a termine, oltre che la meno diffusa. Nonostante ciò, per chi effettua attacchi di pharming è la migliore opportunità per raccogliere un grande numero di identità con un singolo attacco e quindi rappresenta una minaccia su cui i provider di servizi Internet e il settore della sicurezza di rete continueranno a concentrarsi. Grazie all’ottima protezione dei server DNS dei provider di servizi Internet, gli hacker hanno già iniziato a colpire server DNS di dimensioni inferiori e meno protetti, di proprietà di aziende. Negli ultimi anni i server DNS di diverse società sono stati colpiti da hacker e modificati. Si è trattato di attacchi non molto sofisticati: qualsiasi fosse l’URL immesso nel browser, gli utenti venivano indirizzati al sito Web di una farmacia che pubblicizzava medicinali di largo consumo. Ma se gli hacker avessero usato qualche “finezza” in più, questi episodi avrebbero potuto avere conseguenze ben più gravi.
Esiste ancora una forma di manipolazione dei DNS, denominata “Wild Card DNS Poisoning”, che utilizza tradizionali esche del phishing per richiedere ai consumatori di visitare un sito Web con un URL che sembra legittimo. A differenza del pharming, questo tipo di frode è semplice da rilevare ed evitare, ha affermato Rosenkrantz: “È sufficiente non rispondere MAI a e-mail, messaggi istantanei, pubblicità su banner o pop-up che richiedono di visitare un sito Web e/o di fornire informazioni sull’identità”.
Stare in guardia per rimanere al sicuro
“Come per tutte le forme di potenziale furto di identità, ha dichiarato Rosenkrantz, le precauzioni più importanti sono quelle dettate dal buon senso, senza dimenticare di controllare ogni mese che gli estratti conto della banca e della carta di credito non contengano transazioni sospette. Nella maggior parte dei casi è previsto un rimborso totale per eventuali perdite, a patto che vengano segnalate immediatamente”.
Contro il pharming, Rosenkrantz consiglia di prendere le seguenti precauzioni:
Verificare l’URL o qualsiasi sito che richieda di fornire informazioni sull’identità. Assicurarsi che la sessione inizi dall’indirizzo autentico conosciuto del sito, senza che vengano aggiunti altri caratteri.
Mantenere una protezione antivirus efficace e aggiornata.
Utilizzare un provider di servizi Internet affidabile e legittimo. Un sistema di sicurezza efficiente a livello di provider di servizi Internet costituisce la prima linea di difesa contro il pharming.
Controllare il certificato. Sono sufficienti pochi secondi per sapere se il sito visualizzato è legittimo. Nelle versioni più recenti di Internet Explorer e in diversi altri browser comunemente disponibili basta scegliere “File” nel menu principale e fare clic su “Proprietà”, oppure fare clic con il pulsante destro del mouse in un punto qualsiasi della finestra del browser e scegliere “Proprietà” dal menu a comparsa. Quando la finestra “Proprietà” è visualizzata, fare clic su “Certificati” per vedere se il sito dispone di un certificato di protezione del proprietario legittimo e se è ancora valido.
Se è necessario accedere a un sito Web contenente informazioni sensibili, non fare mai clic direttamente su un collegamento presente in una e-mail o in una pagina Web. Copiare e incollare il testo del collegamento in una nuova finestra del browser, oppure utilizzare i propri segnalibri.

Vota questo articolo!
Lascia un Commento
Nome (obbligatorio)
Email (obbligatorio)
Messaggio

Home | Cerca Annunci | Valutazioni gratuite | Preventivi Mutuo | Inserisci richieste | Consulenza Gratuita
Chi siamo | Cosa offriamo | Pubblicità | Condizioni di utilizzo | Privacy Policy | Contatti | Credits
Powered by WordPress
Powered by FeedBurner
clubCasa.it ® - Centrosì S.r.l. - P.IVA 04837181009 - Tribunale Roma n.1532/95
Ogni marchio registrato è di proprietà dei legittimi possessori
IQNet