SYDNEY
NEW YORK
ROMA
Il fenomeno del Phishing
Cos’è il phishing
Con il termine phishing si indica una modalità di frode informatica che ha lo scopo di carpire dati personali, numeri di carte di credito, codici di accesso a siti di home banking e altri dati sensibili, inducendo la persona a digitare tali dati in pagine internet contraffatte che simulano pagine di siti legittimi.
La tecnica utilizzata per ingannare gli utenti è detta “social engineering” o, più raramente, ma forse più correttamente, “attacco semantico”, in quanto l’uso di frasi o espressioni specifiche è fondamentale nell’efficacia dell’attacco.
Come si effettua un attacco di tipo phishing
Il phishing in genere è compiuto per mezzo di messaggi di posta elettronica spediti indicando quale mittente un’istituzione finanziaria, un gestore di carte di credito o un altro ente.
Il corpo del messaggio è realizzato imitando i loghi e i colori dell’ente legittimo e il testo induce il lettore del messaggio a compilare dei form inserendo i propri dati.
In genere in queste mail sono contenute frasi del tipo:
"La preghiamo di confermare i dati relativi al suo account."
"Se non riceveremo risposta entro 48 ore, il suo account verrà chiuso."
"Fare clic sul collegamento sottostante per accedere al proprio account."
ma i link contenuti nella mail puntano a siti o indirizzi email non autentici.
Ad esempio potremmo trovare:
www.cedacri.ir
www.cedcari.it
homebanking@ced.cedacr.ir
o molte altre varianti.
Similmente nel testo potrebbe figurare l’indirizzo autentico, ma in realtà il puntamento mascherato è ad un altro sito:
nel testo del messaggio si vede:
mentre, portando il mouse sopra il link, nella barra di stato si trova:
Le pagine verso le quali tali link puntano sono delle copie fedeli delle rispettive pagine dei siti legittimi, pubblicate su server la cui sicurezza e stata forzata, oppure su domini appositamente registrati.
Esistono molte tecniche, più sofisticate di quelle descritte e che possono anche utilizzare vulnerabilità dei browser, per simulare in modo molto realistico gli indirizzi dei link e le pagine legittime, così da indurre la persona a credere di essere effettivamente di fronte ad un messaggio autentico e quindi a digitare i propri dati.
Come difendersi dal phishing
La prima regola base per difendersi dal phishing è
Non aprire le email “inattese”
Altre regole sono:
diffidare di mail che contengono frasi del tipo:
"La preghiamo di confermare i dati relativi al suo account."
Chi già possiede i nostri dati non ha necessità di richiederli via email.
"Se non riceveremo risposta entro 48 ore, il suo account verrà chiuso."
Tali azioni non vengono mai intraprese con un così breve intervallo temporale e la notifica, in genere, non avviene per email. Il messaggio vuole solo agire psicologicamente per vincere le nostre resistenze scatenando un’urgenza.
"Fare clic sul collegamento sottostante per accedere al proprio account."
Non bisogna mai accedere al proprio home banking o al sito del gestore delle carte di credito partendo da link contenuti in messaggi email.
verificare la presenza di errori di testo o grammaticali nel testo dell’email (un esempio da un caso reale “Recomandiammo insistente di modificare il proprio pin”)
verificare i link contenuti in email sospette.
Altri tipi di phising
L’invio di email fasulle non ha l’unico scopo di carpire dati sensibili o codici di accesso.
Altri due utilizzi diffusi di questa modalità di attacco hanno per scopo:
“reclutare” persone da utilizzare per il riciclaggio di denaro. E’ il caso delle numerose email che contengono titoli del genere “guadagna fino a 2.000 euro al mese lavorando da casa…” o “cerchiamo un responsabile finanziario…”
Diffondere malware (virus, trojan e altri programmi “maligni”) a vari scopi. Si tratta in genere di mail che promuovono prodotti e programmi gratis o a prezzi scontatissimi, oppure che fanno leva su eventi di grande rilevanza (lo tsunami o la recente morte di Michael Jackson sono solo due esempi).
Chi c'è dietro al phishing
Gli autori del phishing non sono più, in genere, persone isolate che per scopo di lucro o semplicemente per il gusto di combinare danno realizzano questi attacchi.
Il phishing viene oggigiorno gestito da organizzazioni criminali fortemente strutturate per le quali si può parlare di una vera e propria industria, la quale può offrire in vendita pacchetti software già predisposti, realizzare attacchi phishing su commissione o addirittura vendere l’attacco come servizio.
Malgrado i browser vengano forniti di metodi in grado di identificare in modo sempre più raffinato i casi sospetti e i fornitori di servizi di posta elettronica aggiornino di continuo i loro filtri per l’identificazione di messaggi sospetti, il phishing è un attacco molto semplice ed economico da realizzare e che offre ancora un elevato rendimento.
Si tratta pertatnto di un fenomeno con il quale dovremo prevedibilmente convivere ancora a lungo e contro il quale sarà quindi necessario mettere in campo difese sempre aggiornate.