Die Umleitung der Nutzeranfrage geschieht über eine Manipulation des DNS-Protokolls. Das Protokoll ist dafür verantwortlich, den textlichen Hostnamen (URL-Adresse) in eine numerische IP-Adresse umzuwandeln. Dieser Umwandlungsvorgang bietet Kriminellen zwei Angriffspunkte, um die Zuordnung umzuleiten.
1. Angriff auf die hosts.-Datei
Bei jeder Website-Anfrage wird vom Rechner zunächst die lokale hosts.-Datei aufgerufen, um zu prüfen, ob die Website bereits zuvor einmal besucht wurde und die entsprechende IP-Adresse schon bekannt ist.
Angreifer nutzen diese Abfrage. Sie installieren Malware auf dem Rechner, z. B. über virenverseuchte E-Mail-Anhänge oder über Trojaner auf Websites. Diese manipulieren die hinterlegten IP-Adressen, sodass jede Anfrage auf die gewünschte betrügerische Seite umgeleitet wird.
2. Angriff auf den DNS-Server
Eine andere, aufwendigere Möglichkeit des Pharmings infiziert direkt den DNS-Server, bei dem die IP-Adresse abgefragt wird, nachdem ein Nutzer eine URL eingegeben hat. Das Perfide an diesem Vorgehen: Obwohl der Rechner des Nutzers selbst nicht mit Malware verseucht ist, wird er Opfer eines Angriffs.
Technisch gelingt der Angriff über sogenanntes DNS-Flooding. Hierbei wird dem Server eine Adressauflösung suggeriert, noch ehe er die korrekte Zuordnung vornehmen konnte.