Stiamo ancora cavalcando la cresta dell’onda minacciosa chiamata Phishing, e un nuovo pericolo sta arrivando. Molto più "fetente" rispetto al Phishing, richiede una maggiore conoscenza tecnica del web per potersi difendere e l’attacco è praticamente invisibile.
Mentre il phishing sfruttava l’inesperienza dei navigatori, agendo su link simili a quelli originali, veicolati via email contraffatte, il Pharming agiste a un livello più basso: negli elenchi telefonici del web. Ogni giorno abitualmente scrivete un indirizzo nella barra degli indirizzo del programma per navigare (browser) e ottenete i siti che vi interessano. In realtà i siti sono dei documenti memorizzati all’interno di computer denominati server web. Ad ogni computer collegato in rete è assegnato un "numero univoco" chiamato IP. Ad esempio: 122.118.012.023, 192.168.0.123, …
Chiaramente non è pensabile che i navigatori ricordino queste sequenze numerico e quindi si usano dei nomi e degli "elenchi telefonoci", che si chiamo Server DNS, che convertono i domini (es.: www.merlinox.com) nel corrispettivo IP (www.merlinox.com > 216.197.104.226).
Il pharming purtroppo agisce proprio sui DNS, attaccandoli e assegnano ai domini di banche e servizi finanziari, IP di server che contengono siti clonati, in grado di catturare i vostri dati sensibili.
Come fare per proteggersi da tutto ciò? Vi consiglio qualche buona lettura dei Blogger Italiani:
In bocca al lupo e buona settimana!
Se trovi questo articolo su un blog diverso da “blog.merlinox.com” si tratta probabilmente di una copia non autorizzata. L’indirizzo originale di questo articolo è: Pharming: nuova minaccia scritto da Merlinox.
In merito all’articolo mi chiedevo questo:
Browser come Firefox registrano Usr e Pwd per un determinato sito, tali dati verranno riportati anche se il sito è contraffatto a livello di DNS?
Grazie
Bisogna vedere come memorizza Firefox le info. Secondo me le associa al dominio, quindi la risposta è SI. Anche perchè altrimenti si desicronizzerebbero sempre nel caso di riconfigurazione dei dns.
confermo la risposta di Merlinox, l’associazione è URL->usid e pwd
URL completo, perciò se viene fatto un così detto DNS hijack allora cambia solo l’ip di risoluzione del nome ma l’URL è identico.
E quindi senza fare tante cose, appena tu clicchi su LOGIN gli passi in automatico i dati.
A questo punto però ho un dubbio. I cookie sono legati al dominio, non all’IP. Quindi che succede???
Grazie mille per le risposte.
@Andrea: è sempre un piacere!