La mail che ruba i nostri dati: il phishing
Hai ricevuto una mail che ti chiede di cambiare la tua password o ti invita a verificare il tuo conto corrente? Scopri come riconoscere le mail di phishing e proteggere i tuoi dati
di
15 APR 19
Riceviamo spesso email con richieste di tutti i tipi: aggiorna la tua password, controlla il tuo conto corrente,.... Alcune sono veramente strane... molto probabilmente sei sotto attacco di phishing. L’assonanza con il “fishing”, che tradotto dall'inglese significa pescare, non deve trarre in inganno. Il phishing è una tipologia di attacco informatico che negli ultimi anni sta prendendo sempre più piede. Si tratta di una frode a tutti gli effetti che ha un preciso obiettivo: rubare. Ma cosa? Le informazioni più svariate:
Le tecniche per eseguire queste tipologie di attacchi possono variare. Il livello di sofisticazione di questi attacchi ha raggiunto un livello elevatissimo destinato ad aumentare nel prossimo futuro.
Un mercato ricco
Il mercato del phishing mondiale, stando alle stime di MarketsAndMarkets ha assunto dimensioni considerevoli destinate , nel medio-lungo periodo, ad aumentare. Nel 2017 aveva un valore di 840 milioni di dollari. Se consideriamo un periodo di analisi di 5 anni, 2018-2022, abbiamo un tasso di crescita del mercato (CAGR) che sfiora l’11 per cento. Si stima che nel 2022 il mercato raggiungerà i 1401.6 milioni di dollari. Da questi numeri si può immediatamente intuire la vastità del fenomeno: i phisher (coloro che lanciano gli attacchi di phishing) sono destinati a moltiplicarsi, così come le vittime.
Come funziona l'attacco di Phishing
I passaggi per effettuare un phishing attack standard sono molteplici ma andiamo a riassumerli:
Come riconoscere una mail di Phishing?
Le tecniche degli attacchi di Phishing
Ci possono essere molteplici tipologie di attacco phishing. In questa lista cerchiamo di analizzare le tecniche principali illustrandone le dinamiche e le azioni solitamente svolte dai Cyber Criminali durante gli attacchi.
Pharming o DNS-Based phishing
L’utente target non si trova a visualizzare la pagina web desiderata ma si ritrova su una pagina creata ad arte dal Cyber Criminale. Ovviamente, gli hacker, hanno sviluppato tecniche estremamente sofisticate per rendere le pagine false quasi identiche a quelle originali. L’utente, una volta che si ritrova sulla pagina creata dall’attaccante, inserisce le proprie credenziali per entrare nell’area riservata: è proprio in questo momento che l’attaccante entra in possesso delle informazioni personali dell’utente ignaro. Come si può dedurre dal titolo, l’elemento cardine di questa tipologia di attacco è l’indirizzo DNS o Domain Name System che permette la navigazione dell’utente.
Tabnabbing
Il nome sembra molto complicato ma in realtà si tratta di una tipologia di attacco molto semplice che sfrutta un’abitudine consolidata. Questa abitudine è quella di aprire molteplici tab (– da qui il nome tabnabbing –) in un browser. L’utente, dopo aver aperto molte schede, procede con la visita scheda per scheda. Come funziona il processo? Cerchiamo di schematizzarlo per fasi:
Il nome sembra molto complicato ma in realtà si tratta di una tipologia di attacco molto semplice che sfrutta un’abitudine consolidata. Questa abitudine è quella di aprire molteplici tab (– da qui il nome tabnabbing –) in un browser. L’utente, dopo aver aperto molte schede, procede con la visita scheda per scheda. Come funziona il processo? Cerchiamo di schematizzarlo per fasi:
Fast flux
Cerchiamo di essere il più precisi e brevi possibili descrivendo il fast flux: cosa succede in termini pratici?
Cerchiamo di essere il più precisi e brevi possibili descrivendo il fast flux: cosa succede in termini pratici?
Malware-Based phishing.
In termini generali, un attacco di questo genere avviene in seguito all’esecuzione di un software infetto (da un malware appunto) sul dispositivo della vittima ignara. Com’è possibile che si trovi sul device dell’utente? Molto probabilmente l'utente ha scaricato un software che ha infettato il suo PC o cellulare.
Quali sono questi virus o malware?
keyloggers: Sono malware spia che registrano e copiano tutte le informazioni che digitiamo.
Web trojans: i cavalli di troia sono molto pericolosi, di fatto permettono che le informazioni inserite dall’utente durante la fase di autenticazione ad un sito vengano trasmesse direttamente al Cyber Criminale proprio attraverso il web trojan.
Session hijacking: In molti siti internet è la pratica di utilizzare i cosiddetti cookies di sessione. Questa tipologia di cookies permette all’utente di non dover inserire nuovamente le proprie credenziali di accesso al fine di essere riconosciuto. Ovviamente, un qualsiasi malintenzionato che riuscisse ad introdursi in questo circolo e a sottrarre questi cookies, riuscirebbe a spacciarsi senza problemi per l’utente legittimo.
Man-in-The-Middle phishing
Il malintenzionato in questione riesce ad introdursi tra la vittima e il sito internet legittimo. Il Cyber Criminale riesce a recepire i messaggi originariamente destinati alla vittima ed in questo modo può disporne per accedere al sito internet legittimo.
Il malintenzionato in questione riesce ad introdursi tra la vittima e il sito internet legittimo. Il Cyber Criminale riesce a recepire i messaggi originariamente destinati alla vittima ed in questo modo può disporne per accedere al sito internet legittimo.
Questi attacchi sono veramente difficili da individuare. L’utente, completamente ignaro, si ritrova sul sito internet che dal suo punto di vista opera perfettamente. Una vittima potenziale non avrebbe, in alcun modo, di sospettare di essere vittima di un attacco di Man in The Middle perché il Cyber Criminale che lo sta attuando non lascia nessun segno visibile del proprio passaggio.
Smishing
Il nome smishing deriva dal mezzo attraverso cui sono inviate le comunicazioni malevole alla vittima: l’SMS appunto. Nella prassi, l’utente riceve una comunicazione dalla propria banca. Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire le "azioni" richieste dal Cyber Criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login. L’hacker ottiene le credenziali di accesso e allo stesso modo ottiene un’informazione cruciale, ossia: attraverso quale mezzo l’utente intende ricevere l’OTP – la password che consente l’autenticazione ai servizi online. In questo modo, il Cyber Criminale riesce – attivando illegalmente una SIM card – ad ottenere la password al posto della vittima ignara. Il passo seguente è tristemente noto: il denaro della vittima è in mano agli hacker.
Il nome smishing deriva dal mezzo attraverso cui sono inviate le comunicazioni malevole alla vittima: l’SMS appunto. Nella prassi, l’utente riceve una comunicazione dalla propria banca. Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire le "azioni" richieste dal Cyber Criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login. L’hacker ottiene le credenziali di accesso e allo stesso modo ottiene un’informazione cruciale, ossia: attraverso quale mezzo l’utente intende ricevere l’OTP – la password che consente l’autenticazione ai servizi online. In questo modo, il Cyber Criminale riesce – attivando illegalmente una SIM card – ad ottenere la password al posto della vittima ignara. Il passo seguente è tristemente noto: il denaro della vittima è in mano agli hacker.
Deceptive phishing
Questa forse è la concezione più tradizionale di phishing nell’immaginario comune. Le tecniche di phishing, negli ultimi anni, sono migliorate sensibilmente. Nei costanti messaggi di phishing che riceviamo quotidianamente nelle nostre caselle di posta non è un caso ritrovarsi testi in italiano corretto, privi di errori grammaticali. Questo, anni fa non era immaginabile per esempio. Questi messaggi con cui veniamo bombardati mirano a fare leva su un aspetto molto importante: quello psicologico. Provate ad immaginare: quale sarebbe la vostra prima reazione nel caso se doveste ricevere una mail dalla vostra banca dove vi viene detto di aggiornare urgentemente le credenziali perché in pericolo? Ora, invece, bisogna immaginare la reazione ad un messaggio del genere da parte di chi non ha la minima idea che esista il phishing. Non potendo ipotizzare nulla, se non la veridicità del messaggio, quasi chiunque si precipiterebbe a modificare le proprie credenziali… Specialmente se, una volta cliccato sul link malevolo contenuto nella mail, ci si dovesse ritrovare in un sito in tutto e per tutto identico a quello della propria banca.
Questa forse è la concezione più tradizionale di phishing nell’immaginario comune. Le tecniche di phishing, negli ultimi anni, sono migliorate sensibilmente. Nei costanti messaggi di phishing che riceviamo quotidianamente nelle nostre caselle di posta non è un caso ritrovarsi testi in italiano corretto, privi di errori grammaticali. Questo, anni fa non era immaginabile per esempio. Questi messaggi con cui veniamo bombardati mirano a fare leva su un aspetto molto importante: quello psicologico. Provate ad immaginare: quale sarebbe la vostra prima reazione nel caso se doveste ricevere una mail dalla vostra banca dove vi viene detto di aggiornare urgentemente le credenziali perché in pericolo? Ora, invece, bisogna immaginare la reazione ad un messaggio del genere da parte di chi non ha la minima idea che esista il phishing. Non potendo ipotizzare nulla, se non la veridicità del messaggio, quasi chiunque si precipiterebbe a modificare le proprie credenziali… Specialmente se, una volta cliccato sul link malevolo contenuto nella mail, ci si dovesse ritrovare in un sito in tutto e per tutto identico a quello della propria banca.
La pagina, del tutto simile a quella legittima, è ovviamente una creazione ad hoc dell’attaccante malevolo. L’attaccante stesso, una volta che la vittima ignara inserisce le proprie credenziali, è in grado di rubarle e di disporre come meglio crede dell’area riservata dell’utente.
La formazione in materia di phishing è il vero elemento chiave per vincere questa battaglia e il deceptive phishing è l’esempio lampante.
Rock phish kit
Stiamo parlando di KIT pronti per l'uso per effettuare attacchi di Phishing. Il rock phish kit permette ad un qualsiasi utente malintenzionato di creare:
Stiamo parlando di KIT pronti per l'uso per effettuare attacchi di Phishing. Il rock phish kit permette ad un qualsiasi utente malintenzionato di creare:
Questa metodologia di attacco dimostra, ancora una volta, tutta la fantasia di cui gli hacker dispongono. dotti miracolosi.
Vishing
La fase iniziale di questa tipologia di attacchi non è nulla di nuovo rispetto a ciò che abbiamo visto in precedenza: l’utente riceve un messaggio da parte della propria banca in cui si richiede un’azione immediata. Ciò che cambia, nel vishing, è il fatto che all’utente non viene chiesto di collegarsi al sito della propria banca per cambiare le credenziali di accesso, ma viene chiesto di telefonare ad un numero di telefono indicato ovviamente nel messaggio.
La fase iniziale di questa tipologia di attacchi non è nulla di nuovo rispetto a ciò che abbiamo visto in precedenza: l’utente riceve un messaggio da parte della propria banca in cui si richiede un’azione immediata. Ciò che cambia, nel vishing, è il fatto che all’utente non viene chiesto di collegarsi al sito della propria banca per cambiare le credenziali di accesso, ma viene chiesto di telefonare ad un numero di telefono indicato ovviamente nel messaggio.
Chi ci può essere dall’altro capo del telefono se non un falso centralinista? L’utente a questo punto, persuaso dal centralinista, fornirà le proprie informazioni personali ed il gioco, per il Cyber Criminale, è fatto.
Dal punto di vista psicologico, questa tecnica è potenzialmente letale. Di fatto, è del tutto plausibile che una persona non si fidi di un messaggio e-mail per quanto ben strutturato. Tutt’altra storia, invece, per quanto riguarda un altro essere umano che “dovrebbe” fare il proprio lavoro e aiutarvi a risolvere un presunto problema.
Come difendersi dagli attacchi di Phishing?
La risposta, ovviamente, non è semplice e non si può condensare in poche righe.
Proviamo ora a vedere alcuni punti cruciali per gli utenti:
Per le aziende, invece, le raccomandazioni sono:
La raccomandazione è di non abbassare mai la guardia e di prestare sempre attenzione.