La parola phishing è un’alterazione del verbo inglese “fishing” che significa “pescare”. Non si usano una canna e una lenza convenzionali, ma l’idea è di adescare la vittima convincendola ad abboccare e seguire le istruzioni dell’attaccante.
Rappresenta il sistema di attacco informatico di gran lunga più diffuso perché produce i risultati migliori a fronte di un dispendio minimi di tempo e di risorse.
Consiste solitamente nel concepire un messaggio che comunichi un’emergenza oppure un pericolo, provocando una reazione derivata dalla paura di perdere qualcosa, oppure che comunichi una grande opportunità, facendo quindi appello all’avidità.
La persona viene quindi invitata a compiere un’azione che compromette i suoi dati personali oppure consente l’inserimento di virus all’interno del suo computer o telefonino che verranno quindi utilizzati per raccogliere informazioni dettagliate oppure per prendere controllo del dispositivo e poi sferrare l’attacco vero e proprio.
Esistono vari metodi in cui l’operazione può essere eseguita. Il più comune è tramite posta elettronica. L’attaccante confeziona un messaggio che appaia credibile e che segnali ad esempio la necessità di cambiare una password perché è stata compromessa oppure aggiornare i dati personali oppure pagare una bolletta o fattura che sono scadute oppure verificare lo stato di una carta di credito che è stata compromessa.
Un esempio comune è un messaggio da uno dei tanti social media che segnala un problema oppure invita a collegarsi alla piattaforma per controllare i messaggi.
La persona viene quindi indirizzata su una pagina che assomiglia in tutto e per tutto con la normale pagina di login del social media indicato, ma che in realtà è controllata dall’attaccante.
Una volta che la vittima esegue il login, le informazioni vengono immediatamente catturate e la vittima viene fatta proseguire verso il social media autentico senza che si accorga di nulla.
A volte si presenta invece la notizia di una vincita oppure di un premio che può essere ottenuto solo fornendo alcune informazioni personali.
La forma più rozza, che comunque funziona molto bene in parecchi casi, soprattutto con le persone più anziane, consiste nel chiedere denaro in cambio di una cifra molto più grande. Ad esempio il truffatore spiega che la persona ha ricevuto un premio oppure un’eredità inaspettata, ma che per poterla incassare deve pagare in anticipo le spese legali oppure le spese di spedizione.
Un’altra forma comune è la truffa con i siti di piccoli annunci dove si propone la vendita di oggetti usati. L’attaccante si propone come un potenziale acquirente interessato a comperare l’oggetto che vogliamo vendere, ma ci dice che non può venirlo a vedere di persona e ci chiede di fornirgli le coordinate del nostro conto corrente in modo da mandarci un pagamento in anticipo insieme alle spese di spedizione.
Naturalmente non arriva nessun pagamento, ma le informazioni del conto personale possono essere utilizzate all’interno di una truffa di tipo finanziario.
Esiste una varietà infinita di possibili attacchi, che dipende unicamente dall’inventiva dell’attaccante, ma il veicolo rimane un email in cui si chiede di cliccare su un link oppure chiamare un numero di telefono.
Le prime forme di phishing risalgono al 1996, da allora si sono evolute e l’attacco può avvenire anche attraversi messaggi telefonici (SMS), messaggi provenienti da una delle tante applicazioni per chat su telefonino oppure messaggi telefonici ricevuti direttamente sul telefono da una persona oppure da un sistema automatizzato. Nel caso della chiamata telefonica, l’attaccante si presenta come un addetto all’assistenza tecnica oppure un funzionario pubblico, per esempio.
In un’epoca dev’è facile sviluppare e condividere software d’attacco, molte delle operazioni di preparazione sono automatizzate con lettere già scritte e siti pre-impostati, in varie lingue e con un robot o più semplicemente bot che si preoccupa di contattare migliaia di persone alla volta.
Data la varietà di attacchi possibili che si sono sviluppati negli ultimi anni, gli specialisti della sicurezza informatica ritengono che il termine phishing sia troppo generico e ne hanno inventati molti altri per indicare in maniera più precisa la natura dell’attacco. Vediamoli uno per uno.
Angler phishing è un attacco informatico che avviene attraverso social media. Alla lettera significa la pesca del pescatore. Sfrutta indirizzi di internet fasulli che assomigliano a quelli della piattaforma social media che intendiamo utilizzare, ma che in realtà ci mandano da un’altra parte. Usa anche i servizi di messaggistica dei social media e richiede uno studio del profilo della vittima pubblicato su quel particolare social media in modo da produrre il massimo effetto.
Clone phishing prevede la clonatura o duplicazione di un’email autentica in modo da farla apparire più credibile possibile. Si replica il logo e il formato del testo tipico dell’organizzazione che si vuole simulare. Si può anche copiare integralmente il testo di un’email autentica che sia stata spedita dall’azienda, modificando però l’indirizzo di spedizione e i link che la persona deve cliccare.
Domain spoofing consiste nel sostituirsi in maniera fittizia (spoofing) al dominio internet della società originale al fine di sembrare autentici. Richiede piccole modifiche al nome originale del dominio che possono passare inosservate a chi non guarda attentamente.
Per esempio:
diventa
oppure
oppure ancora
e via di questo passo.
Email phishing è il tipo convenzionale di phishing e che coinvolge l’invio di migliaia di messaggi di posta elettronica fraudolenti nella speranza che qualcuno abbocchi.
Search Engine Phishing usa un sito che assomiglia a un sito legittimo e che viene proposto direttamente dal motore di ricerca. In questo caso la vittima viene invitata a scaricare software gratuito che è infetto oppure viene invitata ad iscriversi al sito in cambio di tale software per fornire informazioni all’attaccante.
Smishing è la tecnica di utilizzare comuni SMS per raccogliere informazioni e invitare la vittima a cliccare su link che possono essere contenuti nel messaggio.
Spear fishing è un attacco mirato. Alla lettera significa pescare con una lancia e indica il fatto che si prende di mira una vittima particolare. In questo caso l’attaccante dedicherà un certo tempo a raccogliere informazioni personali sulla vittima al fine di apparire il più credibile possibile. Dopo di che l’hacker preparerà un’email che sembrerà provenire da una persona fidata e che conterrà abbastanza dettagli da convincere la vittima a compiere l’azione desiderata.
Whaling è un tipo di phishing mirato che prende di mira persone molto importanti. Alla lettera significa andare a caccia di balene. In questo caso la balena di solito è l’amministratore delegato di una società o qualche altro personaggio che ha potere e che può muovere molto denaro oppure fornire informazioni riservate importanti.
Vishing infine consiste nel contattare la persona per telefono. Il termine è formato dalla combinazione di phishing e Voice over IP, vale a dire telefonia via internet. Qualcuno, a volte un sistema automatizzato, vi chiama al telefono e chiede informazioni oppure vi chiede di compiere una certa operazione.
Zombie Phish consiste nell’attaccante che prende possesso di un indirizzo email autentico e lo usa per rispondere a una conversazione già iniziata mandando a alla vittima un link trabocchetto oppure informazioni false. Poiché il mittente e l’argomento risultano familiari al destinatario, è più probabile che quest’ultimo cada nella trappola. Richiede un lavoro condotto su un tempo relativamente lungo durante il quale si prende controllo del computer di una delle parti di una trattativa, magari l’intermediario, si studiano le email delle parti in causa e si subentra al momento giusto per fornire informazioni di pagamento che porteranno i soldi sul conto dell’attaccante anziché su quello del venditore, al termine della transazione. E’ molto comune negli Stati Uniti nella compravendita immobiliare.
Qualunque sia la tecnica impiegata, il phishing è un tipo di attacco molto diffuso che prende di mira tanto le aziende quanto i singoli individui.
L’obiettivo è di portare la persona a cliccare su un link infetto, farle scaricare un allegato infetto, farle inoltrare l’email a qualcun altro che rappresenta la vittima predestinata, rispondere a telefonate in cui si chiedono informazioni riservate oppure si forniscono informazioni false.
Il prodotto finale consiste nel furto d’informazioni che verranno usate per scopi illegittimi oppure nel furto di denaro attraverso una frode che viene compiuta direttamente con l’operazione di phishing.
Il furto d’informazioni è sempre meno comune, mentre sta aumentando costantemente l’inserimento di software maligno all’interno del computer oppure del telefonino di una persona che permette all’attaccante di prendere controllo del dispositivo da quel momento in avanti.
E’ sempre più comune avere dei passi intermedi prima di arrivare alla frode vera e propria. Poiché le persone sono più caute nel cliccare su link contenuti in un’email o in un messaggino, si usa il phishing per scaricare software malevolo sul computer o telefonino della vittima, software che permetterà di prenderne il controllo.
A quel punto, l’attaccante potrà procurarsi una vasta quantità di informazioni riservate senza che la vittima ne sia consapevole e avrà accesso a tutti i sistemi a cui la vittima può accedere.
Maggiore è il valore dell’obiettivo finale, più lungo sarà il tempo impiegato nel preparare l’attacco una volta che si è preso controllo del computer o del telefonino. Alcune stime indicano che, nel caso di un attacco su un’azienda, l’attaccante aspetta mesi prima di muoversi.
Esistono alcune difese automatiche contro il phishing nella forma di filtri anti-spam inseriti nei programmi di posta elettronica oppure blocchi di link malevoli all’interno dei programmi antivirus.
La migliore difesa rimane comunque la consapevolezza della persona che adotta procedure d’igiene informatica che le impediscono di cliccare direttamente su link contenuti in un’email a meno che sia assolutamente necessario.
Nel caso di un messaggio proveniente dalla propria banca, per esempio, è sufficiente andare direttamente al sito della banca senza usare il link fornito nell’email o nell’SMS. Lo stesso vale per qualsiasi messaggio ricevuto dai vari social media. Si va direttamente al proprio account senza passare dal link fornito.
I messaggi più sospetti sono quelli che contengono un elemento di urgenza come ad esempio frasi del tipo: “fai immediatamente login”, “clicca subito qui”, “è necessaria una tua azione immediata” e via di questo passo. Nulla che sia spedito per posta elettronica, chat oppure SMS è urgente, per definizione. Se fosse stato veramente urgente, la persona vi avrebbe chiamato direttamente oppure sarebbe fisicamente venuta da voi.
Nel valutare la validità di un’email, si controlla l’indirizzo del mittente e, nel caso di richiesta di operazioni ordinate da un proprio superiore che riguardano il rilascio di informazioni molto sensibili oppure la spedizione di denaro, si conferma telefonicamente con la persona prima di agire.
Nel caso del whaling, ad esempio, l’attaccante prende il controllo dell’account di una persona importante nell’azienda in modo da poter impartire ordini a proprio vantaggio che saranno spediti a persone di livello inferiore nella stessa azienda oppure in aziende collegate.
Nel caso dello zombie phish, si usa l’email di una persona fidata per istruire le altre parti di una transazione affinché trasferiscano all’attaccante denaro oppure informazioni riservate.
Ogni volta che una transazione deve concludersi con un bonifico oppure un trasferimento elettronico di denaro in altra forma, è consigliato verificare a voce con il destinatario le informazioni sul conto di destinazione prima di spedire denaro.
Nel caso di errore, la banca potrà intervenire a bloccare il trasferimento solo se avvisata immediatamente. Dopo 48 ore è molto difficile recuperare il denaro e dopo 72 ore è materialmente impossibile.
In sintesi, il phishing è una delle tecniche di crimine informatico più diffuse e l’intelligenza umana è la migliore difesa.
Roberto Mazzoni