La redirection de la demande de l'utilisateur se fait grâce à une manipulation du protocole DNS, qui est chargé de convertir le nom textuel de l'hôte (adresse URL) en une adresse IP numérique. Ce processus de conversion offre aux criminels deux angles d'attaque pour détourner le processus.
1. Attaque sur le fichier hosts
Chaque fois qu’il tente d’accéder à un site Internet, l'ordinateur appelle d'abord le fichier hosts local pour vérifier si le site a déjà été visité une fois auparavant et si son adresse IP est déjà connue.
Les hackers se servent de cette requête pour installer des logiciels malveillants sur l'ordinateur, par exemple en utilisant des pièces jointes de courrier électronique infectées par des virus ou des chevaux de Troie sur des sites Internet. L’idée est de manipuler les adresses IP stockées afin que chaque demande soit redirigée vers un site frauduleux.
2. Attaque sur le serveur DNS
Une autre méthode de pharming plus élaborée consiste à infecter directement le serveur DNS où l'adresse IP est interrogée lorsqu’un utilisateur saisit une adresse URL. Cette approche est particulièrement sournoise : même si l'ordinateur de l'utilisateur n'est pas lui-même contaminé par un logiciel malveillant, il devient la victime d'une attaque.
Techniquement, l'attaque réussit par le biais de ce que l'on appelle le « DNS flooding ». Le serveur se voit proposer une résolution d'adresse avant même d'avoir pu faire l'attribution correcte.