Phishing: definizione e metodi più comuni

Il phishing rappresenta una delle truffe più vecchie a partire dall’avvento di internet. Attraverso il social engineering i cybercriminali tentano di ottenere password sensibili, dati bancari o di pagamento tramite l’utilizzo di e-mail di phishing o di malware. Mentre i classici link e allegati ricorrevano a inoltri con finalità di raggiro o al download di malware, le moderne tecniche di phishing non mirano più necessariamente a far rivelare involontariamente dati importanti.

Pensate a cappuccetto rosso e al lupo cattivo: il lupo cattivo chiede a cappuccetto rosso dove vive, come si chiama la nonna e che cosa contiene il cestino che le sta portando. Ingenua com’è, cappuccetto rosso condivide queste importanti informazioni con il lupo gentile. Poco dopo il lupo si trova nella casa, spacciandosi per la nonna di cappuccetto. Il lupo cattivo rappresenta le e-mail di phishing.

Il termine phishing deriva dalla parola inglese “fishing”, in quanto le vittime del phishing vengono adescate esattamente come i pesci. Al posto dell’appetitosa esca fissata all’amo si trovano i messaggi di posta elettronica falsificati di banche, servizi di abbonamento e di pagamento o di presunti amiche e amici, colleghi, ecc. I raggirati si accorgono troppo tardi di essere stati catturati dal pericoloso amo del phishing.

Prima dell’avvento di internet, il furto di dati subdolo faceva già parte del repertorio classico dei criminali. Per lo più venivano spiati dati importanti come numeri PIN, indirizzi, database o numeri di telefono usando la tecnica dello shoulder surfing. Il phishing si presenta come l’evoluzione del furto di dati per la generazione di internet. Probabilmente nella vostra posta in arrivo avete messaggi su questioni urgenti legate alla vostra banca, Amazon che non è stato in grado di recapitare un pacchetto di un ordine mai effettuato o uno zio sconosciuto che vi lascia un’eredità milionaria. La lista dei metodi di phishing è lunga e continua a crescere ogni anno.

L’obiettivo del phishing sono sempre i vostri dati: dati bancari, dati delle carte di credito, password dell’online banking, di negozi online, del conto di posta elettronica e del back end di un sito web. Più personali e sensibili sono i dati, tanto meglio. Il furto dei dati avviene portando le vittime su siti web falsificati dove inseriscono le proprie informazioni personali. Con i dati rubati i truffatori possono arrecare danni finanziari alle vittime, rubare la loro identità, eseguire attacchi di phishing sui loro contatti o modificare i dati aziendali.

Spesso il phishing serve anche a preparare il campo per ulteriori attacchi con malware, ransomware, spyware e scareware. Vengono usati anche gli allegati di posta con finalità di phishing con macro o codici dannosi per installare malware sui computer dei malcapitati.

Esattamente come per le tecnologie e le competenze digitali, anche le tecniche di phishing mutano continuamente. Il phishing classico richiede ancora un “aiuto” inconsapevole della vittima che fornisce i propri dati personali o clicca dal proprio dispositivo su link e allegati. Invece, i nuovi metodi di phishing non hanno più necessariamente bisogno di queste azioni.

I tipi classici di phishing sono:

• E-mail di phishing: messaggi di posta elettronica falsificati che solitamente contengono pericolosi collegamenti a siti web, download o malware all’interno degli allegati.
• Siti web di phishing: siti web falsificati che inducono a rivelare dati sensibili o a installare malware; questa pratica è conosciuta anche come spoofing.
• Vishing: la tecnica conosciuta come vishing corrisponde alle truffe telefoniche.
• Smishing: lo smishing prevede l’invio di SMS o messaggi nelle app di messagistica falsi. Anche in questo caso lo scopo è quello di indurre a cliccare su link, a scaricare malware o a rivelare dati importanti.
• Social media phishing: nei social media il phishing prende la forma, tra le altre, di sabotaggio degli account o di creazione di migliaia di copie di profili reali. Questo consente di rubare dati sensibili ai malcapitati e ai loro contatti.

Due delle tecniche più comuni di phishing sono lo spear phishing mirato con un intensivo social engineering e il phishing di massa.

Nelle strategie di spear phishing i criminali informatici spiano un piccolo gruppo o una singola vittima. Tramite il social engineering vengono raccolte informazioni pubbliche come indirizzi e-mail, liste di amici, carriera e lavoro sui social media, sui siti delle relative aziende o su pagine professionali. Successivamente i criminali generano migliaia di verosimili messaggi di posta di contatti, aziende, banche o conoscenti. Al loro interno viene inserito un link a un sito web professionale, ovviamente falso, che richiede l’inserimento delle password, dei dati bancari o di altre informazioni di questo genere. In alternativa, il messaggio invita a cliccare su un allegato. Se vengono rubati i dati di persone nel ruolo di CEO di un’azienda, possono essere usati per condurre attacchi di vasta portata a imprese o furti di patrimonio aziendale.

Mentre lo spear phishing sofisticato si basa sulla qualità della falsificazione, le strategie di phishing di massa puntano sulla quantità delle vittime. Spesso il phishing di massa si riconosce per gli indirizzi e-mail evidentemente falsi, per il reindirizzamento a siti web e URL sospetti e non protetti e per gli errori grammaticali all’interno del messaggio. Può anche trattarsi di un messaggio di posta da parte di servizi che non avete acquistato o di messaggi di Amazon o PayPal, nonostante non abbiate neanche un account. Questo tipo di phishing punta a rubare la maggior quantità di dati sensibili al maggior numero di potenziali vittime.

Le tecniche di phishing più nuove non richiedono più l’interazione con le vittime. Il clic su link pericolosi o l’inserimento di dati sensibili non rappresentano più necessariamente una parte centrale del phishing. È sufficiente l’apertura di un sito web infettato da un apposito codice o di un’e-mail facente parte di un attacco man in the middle. In questo modo i cybercriminali si interpongono tra il computer della vittima e internet in modo da entrare in possesso delle comunicazioni in rete delle vittime, inclusi i dati sensibili. L’aspetto più perfido di un attacco man in the middle è che spesso è difficile rendersi conto che qualcuno, in modo subdolo e silenzioso, si sta intromettendo tra voi e i server controllati nel World Wide Web.

Per riconoscere i tentativi di phishing e le tattiche dovreste fare attenzione alle seguenti caratteristiche tipiche del phishing:

1. Le e-mail o i siti web che contengono evidenti errori grammaticali o frasi sconnesse.
2. Le e-mail o i siti web di banche o di altri servizi che vi richiedono di digitare i vostri dati personali o di verificare i dati di pagamento o del vostro conto.
3. Gli indirizzi e-mail di mittenti apparentemente ufficiali che non corrispondono con il nome dell’azienda o della persona in questione.
4. Gli inoltri a siti web http o a URL sospetti, così come l’utilizzo di link abbreviati utilizzando gli URL shortener.
5. Le e-mail con indirizzi di mittenti sospetti o le richieste urgenti contenenti allegati in formati .exe, .docx, .xlsx o i file di archiviazione ZIP e RAR.

Alcuni casi di attacchi di phishing sono diventati pubblici per la loro portata:

La fuga di notizie di numerose e-mail del Partito Democratico americano nel 2016 è uno dei casi di phishing più celebri e ricco di conseguenze. I gruppi di hacker Fancy Bear e Cozy Bear hanno inviato messaggi di phishing ai deputati democratici, in cui veniva richiesto loro di cambiare determinate password. Tramite il link contenuto nei messaggi gli hacker hanno ottenuto dati di accesso di diversi account di posta elettronica di politici di alto rango. La pubblicazione dei dati su WikiLeaks ha avuto un impatto significativo sulla vittoria di Donald Trump, divenuto così presidente.

Presumibilmente tra la fine del 2014 e maggio 2015 è avvenuto uno dei più grandi attacchi hacker al governo tedesco a opera della Russia. Tutto è iniziato con l’invio di e-mail di phishing ai parlamentari attraverso le quali sono stati infiltrati dei trojan nel sistema informatico interno e rubate le password da amministratore. Nell’aprile del 2015 diversi parlamentari del Bundestag hanno ricevuto presunte e-mail dalle Nazioni Unite che hanno installato ulteriori malware sempre all’interno dell’infrastruttura informatica del parlamento tedesco.

Nel 2017 a degli impostori è riuscito di rubare oltre 100 milioni di dollari americani utilizzando e-mail di phishing e un’identità falsa. Il trucco ha avuto successo poiché la finta azienda era difficilmente distinguibile da uno dei partner di affari di Google e Facebook. I dipendenti di questa multinazionale hanno inconsapevolmente inviato tramite bonifici delle somme di denaro a dei conti oltre oceano di proprietà degli hacker.

Sebbene le grandi aziende, le istituzioni e i governi rappresentino il principale obiettivo degli attacchi di phishing, qualsiasi utente corre il rischio di cadere nella trappola del phishing online.