Atak typu „drive-by pharming” polega na zmianie ustawień domowego routera szerokopasmowego przy użyciu języka JavaScript. Otworzenie przez użytkownika fałszywego łącza powoduje zmodyfikowanie ustawień DNS w routerze za pomocą spreparowanego kodu. Od tego momentu przy każdych odwiedzinach witryny internetowej haker przeprowadza operację rozpoznawania nazw DNS. Jest to procedura, która umożliwia określenie adresu odpowiadającego potocznie używanej nazwie strony. Dzięki temu przestępca komputerowy uzyskuje pełną kontrolę nad tym, które witryny użytkownik odwiedza w Internecie. Użytkownikowi może na przykład wydawać się, że odwiedza stronę swojego banku, gdy w rzeczywistości został przekierowany do spreparowanej witryny.

Fałszywe strony są wiernymi kopiami autentycznych witryn, dlatego użytkownik często nie będzie w stanie zauważyć żadnej różnicy. Po przekierowaniu do witryny „banku”, wprowadzeniu przez użytkownika nazwy i hasła atakujący metodą „pharming” może wykraść te informacje. Dzięki temu będzie w stanie uzyskać dostęp do konta ofiary w prawdziwej witrynie banku i dokonać przelewu, utworzyć nowe konta lub wypisać czeki.

Ośrodek Symantec Security Response zaleca zastosowanie wielopoziomowej strategii ochrony:

• Użytkownicy powinni się upewnić, czy ich routery są chronione unikalnym hasłem. Większość routerów jest dostarczanych z domyślnym hasłem administratora, które agresorzy mogą łatwo odgadnąć.
• Należy korzystać z rozwiązań ochronnych zawierających oprogramowanie antywirusowe, zaporę ogniową, mechanizm wykrywania włamań i ochronę przed lukami w zabezpieczeniach.
• Nie należy otwierać odnośników, które wydają się podejrzane - na przykład nadesłanych przez nieznane osoby wiadomości e-mail.

Istniejące rozwiązania ochronne nie zabezpieczają przed tego typu atakiem, ponieważ metoda „drive-by pharming” uderza bezpośrednio w router użytkownika. Z kolei programy dostępne na rynku chronią jedynie system komputerowy.