top of page

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Il phishing è una minaccia attuale, il rischio è ancora maggiore nei social media come Facebook, Twitter, e Google+. Degli hacker potrebbero infatti creare un clone del sito e chiedere all'utente di inserire le sue informazioni personali. Gli hacker comunemente traggono vantaggio dal fatto che questi siti vengono utilizzati a casa, al lavoro e nei luoghi pubblici per ottenere le informazioni personali o aziendali.

Metodologia generale di attacco

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

  1. l'utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).

  2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.

  3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login).

  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

 

Il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Talora, l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro" (quale operatore finanziario o financial manager), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi ri-trasferite all'estero tramite sistemi di money trasfert (Western Union o Money Gram), trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il phishing, per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di ogni Paese interessato.

Tipi di phishing

  • Phishing

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ottenere informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

  • Spear phishing

Un attacco mirato verso un individuo o una compagnia è stato denominato spear phishing. Gli attaccanti potrebbero cercare informazioni sull'obbiettivo per poter incrementare le probabilità di successo. Questa tecnica è la più diffusa su internet, con una quota del 91% degli attacchi.

  • Clone phishing

È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata. Le parti modificate della mail sono volte a ingannare il ricevente. Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta.

  • Whaling

Di recente molti attacchi di phishing sono stati indirizzati verso figure di spicco di aziende o entim e il termine whaling è stato coniato per questi tipi di attacco. Viene mascherata una mail/ pagina web con lo scopo di ottenere delle credenziali di un manager. Il contenuto è creato su misura per l'obbiettivo, è spesso scritto come un problema amministrativo o una lamentela di un cliente. Sono state utilizzate anche mail identiche a quelle dell'FBI cercando di forzare il ricevente a scaricare e installare un software.

Anti-phishing

Aiuti nell'identificare i siti legittimi

La maggior parte dei siti bersaglio del punishing sono protetti da SSL con una forte crittografia, dove l'URL del sito web è usata come identificativo. Questo dovrebbe in teoria confermare l'autenticità del sito, ma nella pratica è facile da aggirare. La vulnerabilità che viene sfruttata sta nella user interface (UI) del browser. Nell'url del browser viene poi indicata con dei colori la connessione utilizzata (blocco verde per certificato EV, scritta https in verde)

Browsers che allertano l'utente quando visitano siti truffaldini

Un altro approccio popolare per combattere il phishing è quello di mantenere una lista dei siti noti per phishing e controllare se l'utente li visita. Tutti i browser popolari incorporano questo tipo di protezione. Alcune implementazioni di questo approccio mandano gli URL visitati a un servizio centrale, che ha suscitato preoccupazione per la privacy. Una protezione di questo tipo può essere applicata anche a livello di DNS, filtrando a monte le richieste pericolose, questo approccio può essere applicato a ogni browser, ed è simile all'uso di un file host (un file in cui si definiscono destinazioni personalizzati per domini).

Argomentare i login con password

Il sito di Bank of America è uno dei molti siti che ha adottato questo sistema, consiste nel far scegliere all'iscrizione un'immagine all'utente, e mostrare questa immagine ad ogni login successivo. In questo modo essendo l'immagine nota solo all'utente e al sito legittimo in un eventuale attacco di phishing questa sarebbe assente o sbagliata. Purtroppo però molti studi hanno suggerito che l'utente ignori la mancanza della sua immagine personale e immetta comunque la sua password.

Eliminazione delle mail di phishing

Si agisce su una delle fonti del phishing, nello specifico si cerca di eliminare le mail attraverso filtri specializzati contro la spam, diminuendo le minacce diminuiscono le possibilità di essere ingannati. I filtri si basano sul machine learning e natural language processing per classificare le mail a rischio. La verifica dell'indirizzo mail è un nuovo approccio.

Monitoraggio e blocco

Molte compagnie offrono servizio di monitoraggio e analisi per banche e organizzazioni con lo scopo di bloccare i siti di phishing. I singoli individui possono contribuire riportando tentativi di phishing, a servizi come Google Cyscon o PhishTank.L'Internet Crime Complaint Center noticeboard raccoglie e gestisce allarmi di ransomware e phishing.

Verifica a 2 passi delle transazioni

Prima di autorizzare oprazioni sensibili viene mandato un messaggio telefonico con un codice di verifica da immettere oltre la password.

Limiti della risposta tecnica

Un articolo di Forbes dell'agosto 2014 argomenta che il phishing resiste alle tecnologie anti-phishing perché una tecnologia non può sopperire in modo completo alle incompetenze umane.

Fonti:

Generazioni Connesse

Wikipedia

bottom of page