La mail che ruba i nostri dati: il phishing

Pierguido Iezzi

Hai ricevuto una mail che ti chiede di cambiare la tua password o ti invita a verificare il tuo conto corrente? Scopri come riconoscere le mail di phishing e proteggere i tuoi dati

Riceviamo spesso email con richieste di tutti i tipi: aggiorna la tua password, controlla il tuo conto corrente,.... Alcune sono veramente strane... molto probabilmente sei sotto attacco di phishing. L’assonanza con il “fishing”, che tradotto dall'inglese significa pescare, non deve trarre in inganno. Il phishing è una tipologia di attacco informatico che negli ultimi anni sta prendendo sempre più piede. Si tratta di una frode a tutti gli effetti che ha un preciso obiettivo: rubare. Ma cosa? Le informazioni più svariate:

  • Password;
  • Informazioni bancarie;
  • User name;

Le tecniche per eseguire queste tipologie di attacchi possono variare. Il livello di sofisticazione di questi attacchi ha raggiunto un livello elevatissimo destinato ad aumentare nel prossimo futuro.

 

Un mercato ricco

Il mercato del phishing mondiale, stando alle stime di MarketsAndMarkets ha assunto dimensioni considerevoli destinate , nel medio-lungo periodo, ad aumentare. Nel 2017 aveva un valore di 840 milioni di dollari. Se consideriamo un periodo di analisi di 5 anni, 2018-2022, abbiamo un tasso di crescita del mercato (CAGR) che sfiora l’11 per cento. Si stima che nel 2022 il mercato raggiungerà i 1401.6 milioni di dollari. Da questi numeri si può immediatamente intuire la vastità del fenomeno: i phisher (coloro che lanciano gli attacchi di phishing) sono destinati a moltiplicarsi, così come le vittime.

 
Come funziona l'attacco di Phishing 


I passaggi per effettuare un phishing attack standard sono molteplici ma andiamo a riassumerli:

 

  • Invio dell’e-mail alla potenziale vittima. Il messaggio in oggetto si presenta “interessante” agli occhi dell’utente ignaro. Per invogliare la vittima ad abboccare, il Cyber Criminale solitamente allega dei loghi aziendali, inscena situazioni verosimili,… Ci sono delle modalità ben precise, alcuni esempi di phishing possono includere situazioni come: scadenze/rinnovi di carte di credito, la mancanza di informazioni sufficienti per la registrazione su siti ben noti, problemi legati alle password e molte altre situazioni simili.
  • L’utente clicca il link. Attraverso un link o un allegato presente nella mail di phishing, viene indirizzato verso un sito malevolo. Questo sito può essere la brutta copia del sito originale. Questo “trucchetto” ha lo scopo ben preciso di indirizzare l’utente verso l’inserimento delle credenziali di accesso.
  • L’utente che viene “pescato”. L'utente ha appena subito un furto dei propri dati che ora sono in possesso del Cyber Criminale. Quest’ultimo ne può disporre a proprio piacimento ed uno degli scopi più diffusi, purtroppo, è quello di vendere i dati nel gran bazar del Dark Web.

Come riconoscere una mail di Phishing?

  1. Quando ricevi una mail aprila ma non cliccare in nessuna parte del suo contenuto, nemmeno nello spazio bianco.
  2. Controlla sempre l'intestazione e la parte successiva alla @ del mittente: Se non corrisponde al sito web del mittente fai attenzione, probabilmente non proviene dall’azienda.
  3. Fai attenzione alle mail che mettono fretta: Attenzione ai messaggi “verifica il tuo account” o “rispondi entro 48 ore” che sembrano essere stati inviati a social network, dalla tua banca o dalla tua azienda.
  4. Controlla la forma della mail: Il testo deve essere scritto in modo corretto, senza errori di grammatica, e deve avere immagini di alta qualità.
  5. Attenzione ai link: Controlla che i link presenti nella mail siano originali e corrispondano al sito ufficiale. Per farlo, passa con la freccia del mouse sul link, senza cliccare.
  6. Fai attenzione agli allegati: Non aprirli se non sei sicuro e controlla che non vi siano doppie estensioni.

 

Le tecniche degli attacchi di Phishing 


Ci possono essere molteplici tipologie di attacco phishing. In questa lista cerchiamo di analizzare le tecniche principali illustrandone le dinamiche e le azioni solitamente svolte dai Cyber Criminali durante gli attacchi.

 

Pharming o DNS-Based phishing

L’utente target non si trova a visualizzare la pagina web desiderata ma si ritrova su una pagina creata ad arte dal Cyber Criminale. Ovviamente, gli hacker, hanno sviluppato tecniche estremamente sofisticate per rendere le pagine false quasi identiche a quelle originali. L’utente, una volta che si ritrova sulla pagina creata dall’attaccante, inserisce le proprie credenziali per entrare nell’area riservata: è proprio in questo momento che l’attaccante entra in possesso delle informazioni personali dell’utente ignaro. Come si può dedurre dal titolo, l’elemento cardine di questa tipologia di attacco è l’indirizzo DNS o Domain Name System che permette la navigazione dell’utente. 

 

Tabnabbing
Il nome sembra molto complicato ma in realtà si tratta di una tipologia di attacco molto semplice che sfrutta un’abitudine consolidata. Questa abitudine è quella di aprire molteplici tab (– da qui il nome tabnabbing –) in un browser. L’utente, dopo aver aperto molte schede, procede con la visita scheda per scheda. Come funziona il processo? Cerchiamo di schematizzarlo per fasi:

  • L’utente clicca su un link di una pagina di suo interesse.
  • Questa scheda appena aperta non viene consultata immediatamente, è di uso comune, infatti, attendere qualche secondo perché la pagina si carichi correttamente (per esempio).
  • Durante questo "lag" temporale di qualche secondo, l’utente consulta altre schede.
  • La pagina precedentemente aperta, invece, non è una pagina legittima ma ne ha tutte le sembianze ed in questa pagina vengono richieste delle informazioni per effettuare il login.
  • L’utente continua, intanto, la sua navigazione su altre schede “dimenticandosi” di aver aperto quel tab con la pagina non sicura.
  • Tornando sulla pagina infetta che, ora ha tutte le sembianze di una pagina legittima, l’utente inserisce le credenziali che diventano di proprietà dell’hacker.

 

Fast flux
Cerchiamo di essere il più precisi e brevi possibili descrivendo il fast flux: cosa succede in termini pratici?

  • L’attaccante invia un messaggio di posta elettronica che contiene un link ad un sito considerabile legittimo da parte della vittima. La vittima, infatti, clicca sul link e viene reindirizzata ad un server appartenente ad una botnet (ossia una rete di dispositivi infetti) che è stata infettata, appunto, da un malware che permette al Cyber Criminale di controllarla a suo piacimento.
  • Nella fase successiva, la vittima, che si trova su un sito clone rispetto quello che dovrebbe legittimamente visitare, introduce le proprie credenziali di accesso che vengono immediatamente assorbite dalla versione fake del sito.
  • Una volta che questo sito fake ha assorbito le credenziali dell’utente ignaro, l’utente viene immediatamente indirizzato al sito legittimo ignaro del tutto.

 

Malware-Based phishing.

In termini generali, un attacco di questo genere avviene in seguito all’esecuzione di un software infetto (da un malware appunto) sul dispositivo della vittima ignara. Com’è possibile che si trovi sul device dell’utente? Molto probabilmente l'utente ha scaricato un software che ha infettato il suo PC o cellulare.

Quali sono questi virus o malware?

keyloggers: Sono malware spia che registrano e copiano tutte le informazioni che digitiamo.

Web trojans: i cavalli di troia sono molto pericolosi, di fatto permettono che le informazioni inserite dall’utente durante la fase di autenticazione ad un sito vengano trasmesse direttamente al Cyber Criminale proprio attraverso il web trojan. 

Session hijacking: In molti siti internet è la pratica di utilizzare i cosiddetti cookies di sessione. Questa tipologia di cookies permette all’utente di non dover inserire nuovamente le proprie credenziali di accesso al fine di essere riconosciuto. Ovviamente, un qualsiasi malintenzionato che riuscisse ad introdursi in questo circolo e a sottrarre questi cookies, riuscirebbe a spacciarsi senza problemi per l’utente legittimo.

 

Man-in-The-Middle phishing
Il malintenzionato in questione riesce ad introdursi tra la vittima e il sito internet legittimo. Il Cyber Criminale riesce a recepire i messaggi originariamente destinati alla vittima ed in questo modo può disporne per accedere al sito internet legittimo. 

Questi attacchi sono veramente difficili da individuare. L’utente, completamente ignaro, si ritrova sul sito internet che dal suo punto di vista opera perfettamente. Una vittima potenziale non avrebbe, in alcun modo, di sospettare di essere vittima di un attacco di Man in The Middle perché il Cyber Criminale che lo sta attuando non lascia nessun segno visibile del proprio passaggio.

 

Smishing
Il nome smishing deriva dal mezzo attraverso cui sono inviate le comunicazioni malevole alla vittima: l’SMS appunto. Nella prassi, l’utente riceve una comunicazione dalla propria banca. Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire le "azioni" richieste dal Cyber Criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login. L’hacker ottiene le credenziali di accesso e allo stesso modo ottiene un’informazione cruciale, ossia: attraverso quale mezzo l’utente intende ricevere l’OTP – la password che consente l’autenticazione ai servizi online. In questo modo, il Cyber Criminale riesce – attivando illegalmente una SIM card – ad ottenere la password al posto della vittima ignara. Il passo seguente è tristemente noto: il denaro della vittima è in mano agli hacker.

 

Deceptive phishing
Questa forse è la concezione più tradizionale di phishing nell’immaginario comune. Le tecniche di phishing, negli ultimi anni, sono migliorate sensibilmente. Nei costanti messaggi di phishing che riceviamo quotidianamente nelle nostre caselle di posta non è un caso ritrovarsi testi in italiano corretto, privi di errori grammaticali. Questo, anni fa non era immaginabile per esempio. Questi messaggi con cui veniamo bombardati mirano a fare leva su un aspetto molto importante: quello psicologico. Provate ad immaginare: quale sarebbe la vostra prima reazione nel caso se doveste ricevere una mail dalla vostra banca dove vi viene detto di aggiornare urgentemente le credenziali perché in pericolo? Ora, invece, bisogna immaginare la reazione ad un messaggio del genere da parte di chi non ha la minima idea che esista il phishing. Non potendo ipotizzare nulla, se non la veridicità del messaggio, quasi chiunque si precipiterebbe a modificare le proprie credenziali… Specialmente se, una volta cliccato sul link malevolo contenuto nella mail, ci si dovesse ritrovare in un sito in tutto e per tutto identico a quello della propria banca.

La pagina, del tutto simile a quella legittima, è ovviamente una creazione ad hoc dell’attaccante malevolo. L’attaccante stesso, una volta che la vittima ignara inserisce le proprie credenziali, è in grado di rubarle e di disporre come meglio crede dell’area riservata dell’utente.

La formazione in materia di phishing è il vero elemento chiave per vincere questa battaglia e il deceptive phishing è l’esempio lampante.

 

Rock phish kit
Stiamo parlando di KIT pronti per l'uso per effettuare attacchi di Phishing. Il rock phish kit permette ad un qualsiasi utente malintenzionato di creare:

  • La mail da usare per le campagne di phishing con tanto di hyperlink al sito clone.
  • Il sito clone ad hoc di quello legittimo. L’unica differenza dai siti legittimi? L’inserimento di moduli di raccolta informazioni.
    Search engine phishing


Questa metodologia di attacco dimostra, ancora una volta, tutta la fantasia di cui gli hacker dispongono. dotti miracolosi.

Vishing
La fase iniziale di questa tipologia di attacchi non è nulla di nuovo rispetto a ciò che abbiamo visto in precedenza: l’utente riceve un messaggio da parte della propria banca in cui si richiede un’azione immediata. Ciò che cambia, nel vishing, è il fatto che all’utente non viene chiesto di collegarsi al sito della propria banca per cambiare le credenziali di accesso, ma viene chiesto di telefonare ad un numero di telefono indicato ovviamente nel messaggio.

Chi ci può essere dall’altro capo del telefono se non un falso centralinista? L’utente a questo punto, persuaso dal centralinista, fornirà le proprie informazioni personali ed il gioco, per il Cyber Criminale, è fatto.

Dal punto di vista psicologico, questa tecnica è potenzialmente letale. Di fatto, è del tutto plausibile che una persona non si fidi di un messaggio e-mail per quanto ben strutturato. Tutt’altra storia, invece, per quanto riguarda un altro essere umano che “dovrebbe” fare il proprio lavoro e aiutarvi a risolvere un presunto problema.

 

Come difendersi dagli attacchi di Phishing?

La risposta, ovviamente, non è semplice e non si può condensare in poche righe.

Proviamo ora a vedere alcuni punti cruciali per gli utenti:

  • Eseguire dei controlli costanti del proprio conto corrente: movimenti e transazioni sono da tenere sempre monitorate in modo da accorgersi in caso di scostamenti irregolari;
  • Segnalare ogni contenuto potenzialmente pericoloso come SPAM. Se pensi di essere oggetto e bersaglio di una campagna di phishing, segnalalo al tuo client di posta contrassegnandolo come SPAM;
  • Ricevuto un messaggio, verificarne sempre la sua provenienza. Un indicatore possibile di phishing, come abbiamo visto in precedenza, sono gli errori: rileggilo più e più volte se non sei sicuro;
  • Nel caso in cui viene individuato il chiaro tentativo di phishing, ovviamente, non cliccare su alcun link presente nel messaggio e, tanto meno, non scaricarne eventuali allegati;
  • Non tenere aperte troppe schede nel tuo browser, abbiamo già visto quanto può essere pericoloso il tabnabbing.

 

Per le aziende, invece, le raccomandazioni sono:

  • Formare costantemente i propri dipendenti. I dipendenti dovrebbero seguire alla lettera le indicazioni specificate sopra, punto fondamentale per una corretta gestione del rischio;
  • Aggiornare costantemente i web browser;
  • Eseguire attività di Vulnerability Assessment per essere certi che i siti web e le web application aziendali siano prive di vulnerabilità potenzialmente attaccabili da un terzo malintenzionato;
  • Svolgere periodicamente attività di Network Scan per essere certi che la propria infrastruttura IT aziendale sia al riparo da spiacevoli attacchi.

 

La raccomandazione è di non abbassare mai la guardia e di prestare sempre attenzione. 

Di più su questi argomenti: