Si chiama drive-by pharming ed è un nuovo tipo di attacco che viene utilizzato dagli hacker per modificare le tabelle Dns dei router casalinghi e rubare informazioni confidenziali come i dati di accesso a un conto corrente. Non è una novità assoluta: l’anno scorso un white paper realizzato da Symantec e dall’Università dell’Indiana ne ha coniato il termine, ma finora non era ancora stato scoperto un caso reale di utilizzo di questo tipo di attacco, che assomiglia, almeno in parte, a un tipico attacco di phishing.
Ieri invece Symantec ha segnalato il primo caso concreto di drive-by pharming, che ha preso di mira una importante banca messicana. Il funzionamento è abbastanza semplice: l’attacco parte da un’e-mail, che nel caso segnalato da Symantec proveniva apparentemente da uno dei numerosi servizi Web per l’invio di biglietti di auguri. Il messaggio contiene del codice Javascript che cerca di accedere al router usando username e password impostati di default. Se l’attacco al router va a buon fine, il codice maligno modifica le tabelle Dns, così che ogni volta che gli utenti collegati a questa periferica cercano di accedere al sito della banca on-line vengano ridirezionati verso un sito simile in tutto e per tutto a quello originale, ma realizzato appositamente dagli hacker per rubare le password di accesso.
Il drive-by pharming è particolarmente pericoloso perché agisce in modo molto subdolo e perciò può essere difficilmente rilevato dagli utenti. Per evitare questo tipo di attacco è fondamentale ricordarsi di modificare la password di amministrazione impostata di default su tutti i router utilizzati in casa e nei piccoli uffici. I router di classe enterprise dovrebbero essere esclusi da questo tipo di attacco perché utilizzano sistemi di amministrazione più sofisticati.