La piaga del phishing
10 Gennaio 2013Il phishing è una comune truffa informatica attraverso la quale un aggressore cerca di ingannare la vittima raggirandola a fornire informazioni personali sensibili.
Altrimenti detta password harvesting (mietitura di password) è una attività illegale che sfrutta una nota tecnica di ingegneria sociale: vengono inviati casualmente dei messaggi di posta elettronica che imitano la grafica di siti bancari o postali, in tal modo il malintenzionato cerca di ingannare la vittima a farle immettere le chiavi di accesso del proprio profilo di conto corrente o carta di credito.
Nel messaggio è generalmente contenuto un link che porta ad un sito appositamente creato allo scopo di registrare i contenuti immessi (da tastiera) dall’ignaro utente, una volta ‘munta’ la chiave e gli identificativi di accesso, si viene rimandati ai siti originali senza far sospettare nulla al povero pivello. Successivamente l’opera dei truffatori verterà nel mungere anche il conto corrente o la carta di credito, senza lasciare ulteriori tracce (se non il vuoto profondo).
La prima menzione ufficiale conosciuta del termine phishing sembra comparsa sul newsgroup di Usenet il 2 gennaio 1996, ma sembra che il termine possa essere apparso precedentemente nell’edizione stampata nella rivista per hacker ‘The Phishing Guide: Understanding and Preventing Phishing Attacks‘.
Il termine phishing, per alcuni, è una variante del termine inglese fishing (pescare) probabilmente influenzato da phreaking che allude al significato di chi prova (o riesce) a penetrare e scavalcare sistemi di controllo e sicurezza di dispositivi automatici o a moneta (telefoni, distributori, ecc), mentre per altri, sembra provenga dal linguaggio leet nel quale la lettera f viene comunemente scritta con ph (Trovi una descrizione dettagliata su questo linguaggio su un nostro precedente articolo).
I metodi di attacco in dettaglio
Il processo standard delle metodologie di attacco di phishing può riassumersi in poche fasi:
1) l’utente malintenzionato (detto phisher) spedisce al malcapitato un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (la sua banca, il suo gestore di carta di credito, il suo provider web o un sito a cui è iscritto).
2) l’e-mail contiene quasi sempre avvisi di particolari situazioni problematiche verificatesi con il proprio conto o account (un blocco forzato del proprio accesso, un addebito, una scadenza dell’account o altro) o anche un’offerta di denaro.
3) nell’e-mail si invita il destinatario a cliccare su un link, presente nel messaggio, per poter regolarizzare la sua posizione con l’ente di cui il messaggio ne simula la grafica e l’impostazione
4) Il link fornito in realtà non porta però al sito ufficiale, ma ad una pagina fittizia apparentemente simile al sito ufficiale (fake login), situata su un server controllato dal phisher, allo scopo è di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate e successivamente utilizzate dal malintenzionato.
5) Il phisher utilizzerà poi questi dati per acquistare beni o trasferire denaro, ma vi può essere anche una semplice messa in attesa per ulteriori attacchi più consistenti qualora si venga a trovare un interesse più sostanzioso.
Altre volte l’e-mail potrà contiene l’invito a cogliere una nuova opportunità di lavoro e viene richiesto di fornire le coordinate bancarie del proprio conto per ricevere l’accredito di somme che andranno poi ritrasferite all’estero con sistemi di money trasfert (l’opportunità consiste in delle provvigioni percentuali sull’importo trasferito per lo scomodo che ci si è presi nell’effettuare il servizio tramite noi). In realtà quasi sempre si tratta di denaro rubato col phishing, per il quale il titolare beneficiario che si presta (anche in buona fede), commette il reato di riciclaggio di denaro sporco (sempre sperando che non venga lui stesso attaccato nello stesso modo).
Questi movimenti comportano, per il phisher, la perdita di una buona percentuale di denaro, ma è di fondamentale interesse disperdere quel denaro illegale in molti conti correnti e a fare ritrasferimenti continui ed in differenti Paesi, per rendere sempre più difficile la possibilità di risalire alla identità del criminale o ricostruire il meccanismo illecito.
Inoltre se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano (per via delle rogatorie e l’apertura di nuovi procedimenti presso la magistratura del Paese interessato).
Come difendersi
Bisogna sempre fare attenzione ai siti visitati se autentici. In caso di richiesta di dati personali, numeri di conto, password o carta di credito, è buona norma, prima di cancellare la mail ricevuta, inoltrarne una copia alle autorità competenti e avvisare la banca o gli altri interessati, in modo che possano prendere provvedimenti adeguati contro il sito falso ed informare i propri utenti.
Per evitare questa piaga, molti istituti offrono un servizio di allerta SMS che notifica ogni movimento non appena viene effettuato, sarà così possibile correre subito ai ripari segnalando il problema all’istituto tramite apposito numero verde e bloccando temporaneamente il conto. Dovrà seguire regolare denuncia contro ignoti per cercare di arrestare la truffa e cercare di recuperare il maltolto.
In presenza invece di accrediti non autorizzati da parte di sconosciuti, il correntista non deve assolutamente prelevare la somma e, per non essere indagato per complicità, chiedere alla banca lo storno del movimento contabile.
Una delle preoccupazioni più frequenti degli utenti ‘pescati’ è quella di capire come abbia fatto il delinquente a sapere del loro conto in quella determinata banca o servizio.
In realtà il phisher non conosce Né la sua vittima né le sue abitudini, tantomeno se la sua vittima dispone di un account presso quel servizio, si limita semplicemente ad inviare l’identico messaggio esca a un numero molto elevato di indirizzi di email, facendo spamming e sperando di raggiungere almeno qualcuno che abbocchi e che abbia effettivamente un account presso il servizio citato.
Non è quindi necessaria alcuna azione difensiva contro questo pericolo teorico, serve solo essere molto scaltri ed attenti nel verificare l’autenticità e l’attendibilità del messaggio che ci arriva.
Se venite contattati su una mail diversa da quella usuale, se notate delle diversità nella grafica, se viene riportata una grafica più vecchia rispetto a quella più moderna del vostro gestore, se trovate grossolani errori o frasi sgrammaticate, è sintomo che c’è qualcosa che non va ed è meglio sospettare e soprassedere.
E’ comunque sempre sconsigliabile cliccare sui link provenienti da mail sospette e, nel caso di dubbio, digitare direttamente noi l’indirizzo esatto del fornitore di servizi sul proprio browser e verificare se è reale il problema citato nell’avviso pervenuto.
Vi sono spesso casi eclatanti che non permettono dubbi sulla falsità della comunicazione, per questo vi propongo una mail pervenutami recentemente, chiunque leggerà con attenzione noterà le grossolanerie contenute sul testo sicuramente provenienti da un phisher sicuramente istruito, ma straniero.
Saluti e… fate attenzione!