Mentre il Phishing viene effettuato esclusivamente dal punto di vista del client (la vittima viene invitata a cliccare su collegamenti che portano a siti quasi identici a quelli di banche e invitano ad inserire propri dati personali), il Pharming agisce o attaccando il server o attaccando il client, rendendo molto più complicata la difesa.
I responsabili infatti agiscono sia sui server DNS che sull’utente finale.
Nel primo caso l'attacco si rivolge direttamente al server DNS e porta tutti gli utenti che navigano verso un URL a visitare il sito deciso dall'attaccante.
Un attacco più pericoloso e subdolo quindi, che si cela dietro un URL "legittimo" e reindirizza l'utente senza che il browser possa avvertire chi ha digitato l'indirizzo.
Il Pharming “locale” attacco mediante la cache DNS.
Viene modificata la parte del sistema che determina quale sito Web è presente a un dato indirizzo prima ancora che la ricerca su Internet venga svolta.
L’utente colpito immette l’URL corretto, ma finirà su un sito il cui IP è falso.
In questo caso il malintenzionato deve infiltrarsi nel computer dell’utente per modificare i file di risoluzione DNS locali.
Il Pharming che colpisce i server DNS attacca intere società o provider di servizi Internet.
Questo tipo di attacco prende di mira server che indirizzano il traffico su Internet: una volta compromessi, è possibile reindirizzare tutti gli utenti di un’azienda su siti fake/scam senza infiltrarsi in ognuno dei computer.
DIFESA
Per difendersi dal Pharming può essere utile mettere il file C:\WINDOWS\system32\drivers\etc\hosts in sola lettura, usare server DNS sicuri e disabilitare la cache DNS se possibile.
Verificare il certificato del sito è un altro step importante.
Sono sufficienti pochi secondi per sapere se il sito è legittimo e in modalità protetta.
Ad esempio su IE, cliccare su “File” nel menu principale, poi “Proprietà” oppure cliccare con il pulsante destro del mouse in qualsiasi punto della finestra del browser e scegliere “Proprietà” dal menu a comparsa.
Quando la finestra "Proprietà" si apre, cliccare su "Certificati" e controlla se il sito dispone di un certificato sicuro proveniente dal proprietario legittimo.
Deve essere visualizzato il nome corretto della società e l'indirizzo del sito in cui pensi di trovarti.
Accertati della presenza di un'icona lucchetto o chiave nella parte inferiore del browser o nella barra delle applicazioni del computer.
Un'icona lucchetto chiuso o chiave indica una connessione protetta e crittografata, mentre un'icona lucchetto aperto o chiave rotta indica una connessione non protetta.
Ovviamente, una connessione protetta sul sito Web errato rappresenta anch'essa un rischio.
Su Chrome basta cliccare sul lucchetto.
Pertanto, assicurati innanzitutto che il certificato dimostri che ti trovi nel sito Web corretto.
Nessun commento:
Posta un commento