Blog

Cos'è il pharming? Definizione, esempi e prevenzione

DeBounce
Articoli
21 min letto
Argomenti

Condividi questo articolo

Copia URL

Punti chiave

  • A differenza del phishing, il pharming funziona corrompendo i sistemi DNS o i file host dei dispositivi, in modo che digitando un indirizzo corretto gli utenti vengano automaticamente indirizzati a siti fraudolenti.
  • Esistono due principali tipi di pharming: l'avvelenamento DNS prende di mira infrastrutture condivise, colpendo contemporaneamente più utenti; la manipolazione dei file host prende di mira singoli dispositivi tramite malware.
  • Controlla sempre la validità dei certificati HTTPS e cerca eventuali irregolarità negli URL, poiché i siti di pharming potrebbero non disporre di certificati di sicurezza adeguati anche quando replicano visivamente siti legittimi.

Apri il browser, digiti attentamente l'indirizzo web della tua banca e premi Invio. La pagina è esattamente come l'hai vista. Stesso logo. Stesso layout. Stessa casella di accesso. Inserisci nome utente e password senza pensarci due volte. Più tardi, scopri che non era affatto la tua banca e che le tue credenziali sono già nelle mani di qualcun altro.

Questo è il pharming. È un attacco che reindirizza il traffico Internet prima ancora che la pagina venga caricata, indirizzandoti silenziosamente a un sito falso progettato per apparire identico a quello reale. A differenza del phishing, che cerca di indurti a cliccare su un link sospetto, il pharming non si basa su un errore evidente. Puoi digitare l'indirizzo corretto, evitare email sospette, persino ricontrollare l'URL e finire comunque nel posto sbagliato senza rendertene conto.

Comprendere il funzionamento del pharming aiuta a individuare più facilmente i segnali di allarme più sottili e ad adottare misure per proteggere le proprie informazioni prima che vengano divulgate.

Che cos'è il pharming?

Pharming nella sicurezza informatica

Il pharming è un attacco informatico che reindirizza gli utenti da siti web legittimi a repliche fraudolente senza richiedere alcuna azione o inganno da parte dell'utente, se non la compromissione iniziale dell'infrastruttura. Il termine combina "phishing" e "farming", riflettendo il modo in cui gli aggressori raccolgono credenziali e dati sensibili in massa. Invece di ingannare gli utenti uno alla volta, il pharming consente agli aggressori di acquisire informazioni da più utenti contemporaneamente, manipolando i sistemi che gestiscono il traffico web.

Quando digiti un indirizzo web come "mybank.com", il tuo dispositivo non sa esattamente dove si trova quel sito web su Internet. Interroga un server DNS (Domain Name System) per tradurre il dominio leggibile dall'uomo in un indirizzo IP numerico che localizzi il server effettivo. Il pharming altera questo processo di traduzione, sostituendo indirizzi IP legittimi con indirizzi controllati dall'aggressore.

Gli utenti arrivano a siti fraudolenti attraverso la loro corretta navigazione, non attraverso link o avvisi sospetti. Senza un'attenta analisi dei certificati di sicurezza e dei dettagli nascosti degli URL, spesso non vi è alcuna indicazione visiva che qualcosa non vada.

Come funziona il pharming

Il pharming sfrutta il processo di risoluzione DNS alla base di ogni visita a un sito web, sia a livello di infrastruttura che sui singoli dispositivi.

Ogni sito web ha un indirizzo IP numerico (ad esempio 203.0.113.42) che identifica la posizione del server. I server DNS gestiscono database che traducono i nomi di dominio (mybank.com) in indirizzi IP. Quando digiti un indirizzo, il tuo browser interroga il DNS, riceve l'indirizzo IP e si connette a quel server.

Gli attacchi di pharming corrompono questo processo in uno di due punti: i server DNS che servono molti utenti o i file host sui singoli dispositivi che eseguono traduzioni locali prima di consultare i server DNS.

Perché i siti web falsi sembrano legittimi

I siti di pharming sono progettati per ingannare. Gli aggressori creano repliche che copiano HTML, CSS, immagini e funzionalità dei siti legittimi. Utilizzano gli stessi schemi di colori, layout ed elementi del marchio. I moduli di accesso accettano credenziali e a volte reindirizzano gli utenti al sito originale dopo aver acquisito le loro informazioni, in modo che le vittime non si rendano conto di cosa sia successo.

Tipi di attacchi di pharming

Cos'è il pharming nella sicurezza informatica

Gli attacchi di pharming si dividono in due categorie principali, in base al luogo in cui si verifica il danneggiamento del DNS e al numero di utenti interessati.

Pharming basato su DNS

Gli attacchi basati su DNS prendono di mira l'infrastruttura condivisa che serve molti utenti, rendendoli una categoria più pericolosa in termini di scala.

DNS cache poisoning

Gli aggressori sfruttano le vulnerabilità del software del server DNS per iniettare record falsi nelle cache del server. Una volta memorizzata nella cache, la traduzione falsa persiste fino alla scadenza della cache o alla sua cancellazione manuale, con potenziali effetti negativi su chiunque utilizzi quel server DNS per ore o giorni.

Questo tipo di attacco è noto dagli anni '1990, ma continuano a essere scoperte vulnerabilità nell'infrastruttura DNS. La vulnerabilità di Kaminsky del 2008 ha rivelato debolezze fondamentali nel DNS, consentendo l'avvelenamento della cache su larga scala e richiedendo urgenti patch a livello di settore. Da allora sono state rilevate vulnerabilità simili.

DNS hijacking a livello di registrar

Gli aggressori che ottengono l'accesso ai registrar di domini (le aziende che gestiscono le registrazioni dei domini) possono modificare i record DNS ufficiali per i domini legittimi, indirizzando mybank.com ai server controllati dagli aggressori a livello autoritativo anziché limitarsi ad avvelenare le cache.

Questo attacco è più difficile da eseguire, ma colpisce tutti gli utenti in tutto il mondo, non solo quelli che utilizzano uno specifico server DNS. Episodi di dirottamento di dominio di alto profilo hanno reindirizzato il traffico di importanti organizzazioni prima di essere rilevati e invertiti.

Reindirizzamento a livello di ISP

I provider di servizi Internet compromessi o gli ISP malintenzionati possono reindirizzare le query DNS in modo trasparente, colpendo tutti i clienti senza toccare i singoli dispositivi o i server DNS esterni.

Pharming basato su file host

Gli attacchi ai file host prendono di mira singoli dispositivi anziché infrastrutture condivise, limitandone la portata ma rendendoli accessibili anche ad aggressori meno sofisticati.

Modifica guidata da malware

Virus, trojan e altri malware che infettano i computer spesso includono funzionalità per modificare il file hosts come parte del loro payload. Una volta modificato, il dispositivo infetto indirizza costantemente i domini presi di mira verso siti controllati dagli aggressori, indipendentemente da ciò che dice qualsiasi server DNS.

Installazione di ingegneria sociale

Gli utenti possono essere indotti con l'inganno a eseguire script o software che modificano direttamente il loro file host, tramite allegati e-mail, download di software falsi o infezioni drive-by di siti web. A differenza dell'avvelenamento DNS, che richiede l'accesso al server, gli attacchi ai file host possono essere sferrati da chiunque riesca a indurre un utente a eseguire codice dannoso.

Segnali comuni di un attacco di pharming

Che cosa è il pharming

Il pharming è concepito per essere invisibile, ma alcuni segnali di avvertimento indicano che potresti essere stato reindirizzato a un sito fraudolento.

Problemi con il sito web e con i certificati di sicurezza:

  • Nessun HTTPS o certificato non valido: Il browser mostra un avviso del tipo "La tua connessione non è privata", oppure l'icona del lucchetto è mancante o mostra un errore. I siti di pharming spesso non superano la convalida del certificato.
  • Certificato rilasciato all'ente sbagliato: Fai clic sul lucchetto e controlla il certificato: dovrebbe essere rilasciato all'organizzazione di cui stai visitando il sito, non a un'entità sconosciuta.
  • HTTP invece di HTTPS: I siti bancari, finanziari e di gestione dei conti legittimi utilizzano sempre HTTPS; l'HTTP non crittografato è un serio segnale di allarme sui siti sensibili.

Irregolarità URL:

  • Sottili differenze di dominio che non hai notato durante la digitazione: mybank-secure.com invece di mybank.com
  • Numeri di porta inattesi nella barra degli indirizzi (mybank.com:8080)
  • Indirizzi IP nell'URL invece dei nomi di dominio

Anomalie comportamentali:

  • I siti familiari improvvisamente appaiono leggermente diversi: cambiamenti di layout, modifiche del logo, elementi mancanti
  • Pagine di accesso che non corrispondono a ciò che ricordi
  • Richieste di informazioni che normalmente il sito non richiede mai (domande di sicurezza su una pagina che solitamente non le richiede)
  • Le pagine si caricano in modo insolitamente lento o si comportano in modo inaspettato

Problemi successivi all'accesso:

  • Viene chiesto di effettuare nuovamente l'accesso subito dopo aver inserito le credenziali
  • Attività insolite dell'account o transazioni non autorizzate dopo aver visitato un sito
  • Notifiche di modifica della password non avviate da te

Segnali di avvertimento tecnici:

  • Il software antivirus avvisa delle modifiche DNS o delle modifiche dei file host
  • Avvisi del browser sugli errori dei certificati su siti precedentemente attendibili
  • Strumenti di sicurezza di rete che rilevano anomalie DNS

Rischi e conseguenze del pharming

Pharming nella sicurezza informatica

Gli attacchi di pharming riusciti creano danni gravi e spesso duraturi in ambito finanziario, della privacy e organizzativo.

Furto finanziario

Il furto di credenziali bancarie tramite pharming consente l'accesso diretto all'account. Gli aggressori accedono ai conti rubati, avviano bonifici, prosciugano i risparmi ed effettuano acquisti prima che le vittime si rendano conto che qualcosa non va. Le frodi finanziarie derivanti dal pharming possono essere difficili da recuperare, soprattutto quando sono coinvolti bonifici internazionali.

Le informazioni sulle carte di pagamento acquisite su falsi siti di e-commerce consentono acquisti fraudolenti e la clonazione delle carte, che continua a generare perdite finché le carte non vengono annullate e sostituite.

Furto di credenziali e appropriazione indebita di account

Le credenziali di accesso rubate raramente rimangono limitate a un solo account. Molte persone riutilizzano le password su più servizi, quindi una password bancaria rubata potrebbe anche aprire le porte a email, cloud storage, social media e altro ancora. Da lì, gli aggressori possono attivare reimpostazioni delle password e procedere passo dopo passo attraverso gli account collegati, trasformando una singola compromissione in un'acquisizione molto più ampia.

Furto d'identità

Le informazioni personali acquisite tramite pharming, come nomi, indirizzi, numeri di previdenza sociale e date di nascita, possono essere utilizzate per commettere furti di identità. Una volta scoperti, questi dati possono consentire ai criminali di aprire conti fraudolenti, presentare false dichiarazioni dei redditi o utilizzare impropriamente la carta di credito a nome della vittima. Il danno finanziario può richiedere anni per essere rilevato e risolto completamente.

Impatti aziendali e organizzativi

Le organizzazioni prese di mira dal pharming si trovano ad affrontare interruzioni operative, esposizione dei dati dei clienti e conseguenze normative. Un DNS hijacking riuscito che colpisce il dominio di un'azienda può reindirizzare tutti i clienti verso siti fraudolenti, compromettendo la fiducia anche quando l'azienda stessa non è stata compromessa. Il ripristino richiede tempo di propagazione del DNS, il che lascia gli utenti incerti su quali siti siano legittimi.

Danni alla reputazione a lungo termine

Le aziende i cui clienti sono stati vittime di attacchi di pharming, anche quando i responsabili sono stati gli aggressori e non l'azienda stessa, subiscono conseguenze negative sulla reputazione. La fiducia dei clienti è difficile da ricostruire dopo incidenti di sicurezza, in particolare quelli che riguardano dati finanziari o personali.

Spam via posta elettronica e il pharming vengono spesso utilizzati insieme: le email di phishing indirizzano gli utenti verso URL compromessi dal pharming, combinando meccanismi di recapito per ottenere il massimo impatto.

Come proteggersi dal pharming

Pharming

Per proteggersi dal pharming sono necessarie precauzioni tecniche, abitudini comportamentali e pratiche di sicurezza organizzativa.

Utilizzare servizi DNS sicuri

I server DNS standard forniti dagli ISP offrono una sicurezza minima. Passare a provider DNS incentrati sulla sicurezza che implementano DNS Security Extensions (DNSSEC) e utilizzano protocolli DNS crittografati riduce il rischio di avvelenamento. DNSSEC firma digitalmente i record DNS, rendendo significativamente più difficile per gli aggressori iniettare voci false.

Verificare i certificati HTTPS prima di immettere le credenziali

Prima di accedere a qualsiasi sito sensibile, come servizi bancari, di posta elettronica o finanziari, verifica il certificato HTTPS:

  • Conferma che l'icona del lucchetto è presente e non mostra avvisi
  • Fare clic sul lucchetto e verificare che il certificato sia rilasciato all'organizzazione corretta
  • Assicurarsi che il certificato sia valido e non scaduto

Non inserire mai le credenziali di accesso nelle pagine che mostrano errori di certificato, anche se il sito sembra corretto.

Mantenere aggiornati i dispositivi e il software

Le patch di sicurezza per sistemi operativi, browser e software antivirus risolvono vulnerabilità note sfruttate dal malware di pharming per modificare i file host o intercettare le query DNS. L'abilitazione degli aggiornamenti automatici garantisce l'applicazione tempestiva delle patch senza richiedere un monitoraggio manuale.

Utilizzare software antivirus e antimalware affidabili

Il software di sicurezza rileva modifiche ai file host, modifiche sospette al DNS e malware che consentono attacchi di pharming basati sull'host. La protezione in tempo reale che monitora le modifiche al sistema rileva le modifiche non appena si verificano, anziché dopo che il danno è stato causato.

Abilita l'autenticazione a due fattori (2FA)

Anche se il pharming cattura le credenziali di accesso, l'autenticazione a due fattori impedisce agli aggressori di accedere agli account senza il secondo fattore di verifica. Le password monouso temporizzate (TOTP) e le chiavi di sicurezza hardware sono particolarmente efficaci perché non possono essere riprodotte dagli aggressori che hanno rubato le credenziali da un sito di pharming.

Monitorare le impostazioni DNS del router

I router domestici sono un bersaglio comune del pharming. Malware o aggressori che compromettono le credenziali di amministratore del router possono modificare le impostazioni DNS per reindirizzare tutto il traffico domestico. Controlla periodicamente la configurazione DNS del router per assicurarti che punti al provider DNS desiderato anziché ai server controllati dagli aggressori.

Eseguire un'attenta verifica degli URL

Controlla attentamente gli URL prima di inserire le credenziali, soprattutto dopo aver seguito link provenienti da qualsiasi fonte. Fai attenzione a eventuali variazioni di dominio, assicurati di essere su HTTPS e verifica il certificato prima di accedere.

Implementare l'autenticazione e-mail

Configurazione corretta dei record SPF DMARC aiuta a prevenire gli attacchi basati su email che spesso accompagnano le campagne di pharming, riducendo le email di phishing che indirizzano gli utenti a siti compromessi dal pharming. La difesa congiunta dell'infrastruttura email e dell'infrastruttura web elimina i vettori di attacco combinati più comunemente utilizzati dagli aggressori.

Mantenere elenchi di posta elettronica puliti riduce l'esposizione organizzativa da email rimbalzate e contatti non validi che gli aggressori possono sfruttare a scopo di ricognizione prima di lanciare campagne di pharming mirate.

Avvolgere Up

Il pharming reindirizza gli utenti da siti web legittimi a repliche fraudolente corrompendo i sistemi DNS o manipolando i file host dei dispositivi, senza richiedere alcun collegamento sospetto o inganno evidente. Gli utenti che digitano indirizzi corretti possono finire su siti falsi perfettamente replicati e perdere credenziali, dati finanziari e informazioni personali senza rendersi conto che qualcosa è andato storto.

La protezione richiede livelli: servizi DNS sicuri che implementano DNSSEC, verifica accurata del certificato HTTPS prima di immettere le credenziali, dispositivi e software di sicurezza aggiornati, autenticazione a due fattori che rimane valida anche quando vengono acquisite le password e sicurezza del router che impedisce la modifica del DNS a livello di rete.

Cambia le impostazioni DNS del tuo dispositivo e router con un provider incentrato sulla sicurezza che supporti DNSSEC e query DNS crittografate oggi stesso. Quindi, abilita l'autenticazione a due fattori su tutti gli account finanziari, email e sensibili, assicurandoti che le credenziali acquisite da sole non siano sufficienti agli aggressori per completare il loro lavoro.

Mantenere una forte sicurezza della posta elettronica insieme alla sicurezza web. Utilizzare DeBounce Per mantenere pulite le tue liste email e in salute la tua infrastruttura di invio, riducendo l'esposizione a phishing e spam che spesso accompagna le campagne di pharming. Un ambiente di posta elettronica sicuro che raggiunge destinatari verificati fa parte dello stesso sistema di sicurezza che protegge dagli attacchi basati sul web come il pharming.

Domande frequenti

Risposte alle domande più frequenti su questo argomento.
01

Il pharming è illegale?

Sì, il pharming è illegale ai sensi delle leggi contro le frodi informatiche e i reati informatici nella maggior parte dei Paesi, comprese normative come il Computer Fraud and Abuse Act degli Stati Uniti.

02

Quanto sono comuni gli attacchi di pharming?

Il pharming è meno comune del phishing, ma significativamente più pericoloso quando si verifica. Episodi di DNS poisoning su larga scala hanno colpito milioni di utenti contemporaneamente, mentre il pharming basato su file host tramite malware colpisce singoli utenti in modo continuativo nell'ambito di campagne malware più ampie.

Ti potrebbe piacere anche

Trova risposte rapide alle tue domande sui nostri prezzi e piani.

Guida completa alla lista nera dei domini

Ora più che mai, sempre più imprenditori stanno iniziando a considerare e utilizzare l'email marketing come un vero e proprio strumento per promuovere relazioni commerciali produttive con...

   
DeBounce

5 modi per personalizzare le tue campagne e-mail

Le email rimangono uno degli strumenti di marketing più efficaci che puoi utilizzare per promuovere la tua attività o i servizi che offre. Allo stesso tempo...

   
Donna Giacomo

Statistiche spam e-mail 2026

La posta elettronica non ha bisogno di presentazioni poiché, per secoli, è stata uno dei principali canali di comunicazione per individui e organizzazioni in tutto il mondo, facilitando ogni cosa, da...

   
DeBounce