Phishing: de­fi­ni­zio­ne e metodi più comuni

Il phishing rap­pre­sen­ta una delle truffe più vecchie a partire dall’avvento di internet. At­tra­ver­so il social en­gi­nee­ring i cy­ber­cri­mi­na­li tentano di ottenere password sensibili, dati bancari o di pagamento tramite l’utilizzo di e-mail di phishing o di malware. Mentre i classici link e allegati ri­cor­re­va­no a inoltri con finalità di raggiro o al download di malware, le moderne tecniche di phishing non mirano più ne­ces­sa­ria­men­te a far rivelare in­vo­lon­ta­ria­men­te dati im­por­tan­ti.

Pensate a cap­puc­cet­to rosso e al lupo cattivo: il lupo cattivo chiede a cap­puc­cet­to rosso dove vive, come si chiama la nonna e che cosa contiene il cestino che le sta portando. Ingenua com’è, cap­puc­cet­to rosso condivide queste im­por­tan­ti in­for­ma­zio­ni con il lupo gentile. Poco dopo il lupo si trova nella casa, spac­cian­do­si per la nonna di cap­puc­cet­to. Il lupo cattivo rap­pre­sen­ta le e-mail di phishing.

Il termine phishing deriva dalla parola inglese “fishing”, in quanto le vittime del phishing vengono adescate esat­ta­men­te come i pesci. Al posto dell’ap­pe­ti­to­sa esca fissata all’amo si trovano i messaggi di posta elet­tro­ni­ca fal­si­fi­ca­ti di banche, servizi di ab­bo­na­men­to e di pagamento o di presunti amiche e amici, colleghi, ecc. I raggirati si accorgono troppo tardi di essere stati catturati dal pe­ri­co­lo­so amo del phishing.

Prima dell’avvento di internet, il furto di dati subdolo faceva già parte del re­per­to­rio classico dei criminali. Per lo più venivano spiati dati im­por­tan­ti come numeri PIN, indirizzi, database o numeri di telefono usando la tecnica dello shoulder surfing. Il phishing si presenta come l’evo­lu­zio­ne del furto di dati per la ge­ne­ra­zio­ne di internet. Pro­ba­bil­men­te nella vostra posta in arrivo avete messaggi su questioni urgenti legate alla vostra banca, Amazon che non è stato in grado di re­ca­pi­ta­re un pacchetto di un ordine mai ef­fet­tua­to o uno zio sco­no­sciu­to che vi lascia un’eredità mi­lio­na­ria. La lista dei metodi di phishing è lunga e continua a crescere ogni anno.

L’obiettivo del phishing sono sempre i vostri dati: dati bancari, dati delle carte di credito, password dell’online banking, di negozi online, del conto di posta elet­tro­ni­ca e del back end di un sito web. Più personali e sensibili sono i dati, tanto meglio. Il furto dei dati avviene portando le vittime su siti web fal­si­fi­ca­ti dove in­se­ri­sco­no le proprie in­for­ma­zio­ni personali. Con i dati rubati i truf­fa­to­ri possono arrecare danni fi­nan­zia­ri alle vittime, rubare la loro identità, eseguire attacchi di phishing sui loro contatti o mo­di­fi­ca­re i dati aziendali.

Spesso il phishing serve anche a preparare il campo per ulteriori attacchi con malware, ran­som­ware, spyware e scareware. Vengono usati anche gli allegati di posta con finalità di phishing con macro o codici dannosi per in­stal­la­re malware sui computer dei mal­ca­pi­ta­ti.

Esat­ta­men­te come per le tec­no­lo­gie e le com­pe­ten­ze digitali, anche le tecniche di phishing mutano con­ti­nua­men­te. Il phishing classico richiede ancora un “aiuto” in­con­sa­pe­vo­le della vittima che fornisce i propri dati personali o clicca dal proprio di­spo­si­ti­vo su link e allegati. Invece, i nuovi metodi di phishing non hanno più ne­ces­sa­ria­men­te bisogno di queste azioni.

I tipi classici di phishing sono:

• E-mail di phishing: messaggi di posta elet­tro­ni­ca fal­si­fi­ca­ti che so­li­ta­men­te con­ten­go­no pe­ri­co­lo­si col­le­ga­men­ti a siti web, download o malware all’interno degli allegati.
• Siti web di phishing: siti web fal­si­fi­ca­ti che inducono a rivelare dati sensibili o a in­stal­la­re malware; questa pratica è co­no­sciu­ta anche come spoofing.
• Vishing: la tecnica co­no­sciu­ta come vishing cor­ri­spon­de alle truffe te­le­fo­ni­che.
• Smishing: lo smishing prevede l’invio di SMS o messaggi nelle app di mes­sa­gi­sti­ca falsi. Anche in questo caso lo scopo è quello di indurre a cliccare su link, a scaricare malware o a rivelare dati im­por­tan­ti.
• Social media phishing: nei social media il phishing prende la forma, tra le altre, di sa­bo­tag­gio degli account o di creazione di migliaia di copie di profili reali. Questo consente di rubare dati sensibili ai mal­ca­pi­ta­ti e ai loro contatti.

Due delle tecniche più comuni di phishing sono lo spear phishing mirato con un intensivo social en­gi­nee­ring e il phishing di massa.

Nelle strategie di spear phishing i criminali in­for­ma­ti­ci spiano un piccolo gruppo o una singola vittima. Tramite il social en­gi­nee­ring vengono raccolte in­for­ma­zio­ni pubbliche come indirizzi e-mail, liste di amici, carriera e lavoro sui social media, sui siti delle relative aziende o su pagine pro­fes­sio­na­li. Suc­ces­si­va­men­te i criminali generano migliaia di ve­ro­si­mi­li messaggi di posta di contatti, aziende, banche o co­no­scen­ti. Al loro interno viene inserito un link a un sito web pro­fes­sio­na­le, ov­via­men­te falso, che richiede l’in­se­ri­men­to delle password, dei dati bancari o di altre in­for­ma­zio­ni di questo genere. In al­ter­na­ti­va, il messaggio invita a cliccare su un allegato. Se vengono rubati i dati di persone nel ruolo di CEO di un’azienda, possono essere usati per condurre attacchi di vasta portata a imprese o furti di pa­tri­mo­nio aziendale.

Mentre lo spear phishing so­fi­sti­ca­to si basa sulla qualità della fal­si­fi­ca­zio­ne, le strategie di phishing di massa puntano sulla quantità delle vittime. Spesso il phishing di massa si riconosce per gli indirizzi e-mail evi­den­te­men­te falsi, per il rein­di­riz­za­men­to a siti web e URL sospetti e non protetti e per gli errori gram­ma­ti­ca­li all’interno del messaggio. Può anche trattarsi di un messaggio di posta da parte di servizi che non avete ac­qui­sta­to o di messaggi di Amazon o PayPal, no­no­stan­te non abbiate neanche un account. Questo tipo di phishing punta a rubare la maggior quantità di dati sensibili al maggior numero di po­ten­zia­li vittime.

Le tecniche di phishing più nuove non ri­chie­do­no più l’in­te­ra­zio­ne con le vittime. Il clic su link pe­ri­co­lo­si o l’in­se­ri­men­to di dati sensibili non rap­pre­sen­ta­no più ne­ces­sa­ria­men­te una parte centrale del phishing. È suf­fi­cien­te l’apertura di un sito web infettato da un apposito codice o di un’e-mail facente parte di un attacco man in the middle. In questo modo i cy­ber­cri­mi­na­li si in­ter­pon­go­no tra il computer della vittima e internet in modo da entrare in possesso delle co­mu­ni­ca­zio­ni in rete delle vittime, inclusi i dati sensibili. L’aspetto più perfido di un attacco man in the middle è che spesso è difficile rendersi conto che qualcuno, in modo subdolo e si­len­zio­so, si sta in­tro­met­ten­do tra voi e i server con­trol­la­ti nel World Wide Web.

Per ri­co­no­sce­re i tentativi di phishing e le tattiche dovreste fare at­ten­zio­ne alle seguenti ca­rat­te­ri­sti­che tipiche del phishing:

1. Le e-mail o i siti web che con­ten­go­no evidenti errori gram­ma­ti­ca­li o frasi sconnesse.
2. Le e-mail o i siti web di banche o di altri servizi che vi ri­chie­do­no di digitare i vostri dati personali o di ve­ri­fi­ca­re i dati di pagamento o del vostro conto.
3. Gli indirizzi e-mail di mittenti ap­pa­ren­te­men­te ufficiali che non cor­ri­spon­do­no con il nome dell’azienda o della persona in questione.
4. Gli inoltri a siti web http o a URL sospetti, così come l’utilizzo di link ab­bre­via­ti uti­liz­zan­do gli URL shortener.
5. Le e-mail con indirizzi di mittenti sospetti o le richieste urgenti con­te­nen­ti allegati in formati .exe, .docx, .xlsx o i file di ar­chi­via­zio­ne ZIP e RAR.

Alcuni casi di attacchi di phishing sono diventati pubblici per la loro portata:

La fuga di notizie di numerose e-mail del Partito De­mo­cra­ti­co americano nel 2016 è uno dei casi di phishing più celebri e ricco di con­se­guen­ze. I gruppi di hacker Fancy Bear e Cozy Bear hanno inviato messaggi di phishing ai deputati de­mo­cra­ti­ci, in cui veniva richiesto loro di cambiare de­ter­mi­na­te password. Tramite il link contenuto nei messaggi gli hacker hanno ottenuto dati di accesso di diversi account di posta elet­tro­ni­ca di politici di alto rango. La pub­bli­ca­zio­ne dei dati su WikiLeaks ha avuto un impatto si­gni­fi­ca­ti­vo sulla vittoria di Donald Trump, divenuto così pre­si­den­te.

Pre­su­mi­bil­men­te tra la fine del 2014 e maggio 2015 è avvenuto uno dei più grandi attacchi hacker al governo tedesco a opera della Russia. Tutto è iniziato con l’invio di e-mail di phishing ai par­la­men­ta­ri at­tra­ver­so le quali sono stati in­fil­tra­ti dei trojan nel sistema in­for­ma­ti­co interno e rubate le password da am­mi­ni­stra­to­re. Nell’aprile del 2015 diversi par­la­men­ta­ri del Bundestag hanno ricevuto presunte e-mail dalle Nazioni Unite che hanno in­stal­la­to ulteriori malware sempre all’interno dell’in­fra­strut­tu­ra in­for­ma­ti­ca del par­la­men­to tedesco.

Nel 2017 a degli impostori è riuscito di rubare oltre 100 milioni di dollari americani uti­liz­zan­do e-mail di phishing e un’identità falsa. Il trucco ha avuto successo poiché la finta azienda era dif­fi­cil­men­te di­stin­gui­bi­le da uno dei partner di affari di Google e Facebook. I di­pen­den­ti di questa mul­ti­na­zio­na­le hanno in­con­sa­pe­vol­men­te inviato tramite bonifici delle somme di denaro a dei conti oltre oceano di proprietà degli hacker.

Sebbene le grandi aziende, le isti­tu­zio­ni e i governi rap­pre­sen­ti­no il prin­ci­pa­le obiettivo degli attacchi di phishing, qualsiasi utente corre il rischio di cadere nella trappola del phishing online.