Phishing: cos’è
Il phishing è una tecnica di attacco informatico che induce le vittime a condividere informazioni sensibili quali password e numeri di carte di credito. Esistono svariati metodi di indurre la vittima ad abboccare all’amo ma ne esiste uno particolarmente diffuso: la vittima riceve una mail o un messaggio di testo che imita un’organizzazione o una persona di cui si fida (ad esempio un istituto bancario, un ufficio governativo o un collega). L’email o il messaggio invitano a visitare un sito web e intraprendere azioni immediate per evitare conseguenze, l’intento del testo è quello di spaventare la vittima.
Cliccando sul link presente nel testo, l’utente viene indirizzato sull’imitazione di un sito web legittimo. A questo punto vengono richieste le credenziali di accesso e, una volta inserite, le informazioni saranno trasmesse al criminale che potrà utilizzarle per rubare identità, intercettare accessi a conti bancari e vendere informazioni personali.
Il phishing non richiede competenze tecniche sofisticate infatti è un tipo di attacco informatico più semplice ma, nonostante ciò, il più pericoloso ed efficace poiché colpisce direttamente la mente umana. I phisher, infatti, non sfruttano le vulnerabilità del sistema operativo ma l’ingegneria sociale.
Tutti i dispositivi ed i sistemi operativi possono essere soggetti ad attacchi di phishing, a prescindere dalla sicurezza del sistema. I criminali informatici, ormai, prediligono l’errore umano alla vulnerabilità tecnica perché semplifica il loro lavoro e perché il punto debole di un sistema non è una falla informatica ma l’utente che lo utilizza.
Phishing: un po’ di storia
Il termine “phishing” – dall’inglese “fishing”, pescare- ha, appunto, origine dall’attività della pesca. Il tentativo di phishing si immagina come un gettare l’amo in acqua sperando che la vittima abbocchi. Il digramma “ph” al posto della “f” di “fish” potrebbe essere riconducibile al termine “phony” ossia “falso, finto”.
Un’altra teoria collega la parola ai precursori degli hacker chiamati “phreak” dall’unione di “phone” e “freak” (persona stravagante) che utilizzavano trucchi “low-tech” per sfruttare il sistema telefonico. Il “phreaking” era una tattica diffusa per effettuare telefonate a lunga distanza senza pagare o per identificare numeri non registrati.
Nel 1987, in un documento presentato all’Interex (gruppo internazionale di utenti HP), viene descritta nel dettaglio una tecnica di phishing. Questo prima ancora che il termine “phishing” venisse diffuso.
Il primo phishing utilizzato e registrato pubblicamente risale al 2 gennaio 1996, in un newsgroup Usenet chiamato AOHell. In quegli anni, infatti, America Online (AOL) era il primo fornitore al mondo di accessi a Internet, con milioni di login al giorno, motivo per il quale era spesso al centro del mirino di malintenzionati. Quando AOL chiude AOHell, tuttavia, i criminali adottano un’altra tecnica: mandare messaggi agli utenti AOL dichiarandosi dipendenti e chiedendo di verificare gli account e di trasmettere informazioni di pagamento. La gravità dell’attacco spinge AOL ad inserire in tutte le sue comunicazioni, e-mail o client di messaggistica istantanea, un avviso in cui si informa che nessun dipendente AOL chiede credenziali o dati sensibili.
Nel 2000, i phisher spostano la loro attenzione verso i sistemi di pagamento online individuando con precisione – stando ad alcune ricerche – l’identità di alcuni utenti, abbinata all’ente bancario di riferimento. Il primo attacco di phishing contro un istituto bancario, noto ad oggi, viene denunciato da The Banker nel settembre del 2003. Anche i social network diventano un obiettivo primario, grazie alla presenza di informazioni personali utili per furti d’identità.
I criminali registrano decine di domini che falsificano quasi alla perfezione eBay e PayPal così da indurre gli utenti meno attenti a scambiarli per siti ufficiali. I clienti PayPal ricevono richieste di aggiornamento dei dati della carta di credito e altri dati sensibili tramite e-mail contenenti link a siti web fasulli.
Verso la metà degli anni 2000, nel Dark Web è disponibile un software di phishing pronto all’uso. Gruppi di hacker cominciano ad organizzare sofisticate campagne di phishing. Le perdite sono ingenti: secondo un report di Gartner del 2007 ammontano a 3,2 miliardi di dollari ai danni di 3,6 milioni di adulti tra l’agosto del 2006 e l’agosto del 2007.
Nel 2011 una sospetta campagna di phishing cinese prende di mira gli account Gmail di ufficiali di alto grado del Governo e delle forze armate di Stati Uniti e Corea del Sud nonché di attivisti politici cinesi.
Nel primo trimestre del 2016, invece, è la campagna di phishing lanciata da Fancy Bear (gruppo di spionaggio informatico associato all’agenzia dell’intelligence militare russa, GRU) a prendere di mira gli indirizzi e-mail collegati al Comitato nazionale democratico statunitense. Il responsabile della campagna per le presidenziali di Hillary Clinton nel 2016, John Podesta, subisce un attacco su Gmail tramite un avviso di compromissione della password e relativa variazione tempestiva.
Nel 2017 tocca a Google e a Facebook: un tentativo di phishing trae in inganno i reparti contabilità inducendoli a trasferire oltre 100 milioni di dollari su conti bancari sotto il controllo di un hacker.
Phishing: tipi di attacchi
Premesso che il comune denominatore del phishing è il pretesto ingannevole per ottenere informazioni importanti, vediamo insieme le varie tipologie di attacco:
Spear phishing
Lo spear phishing è un vero e proprio attacco mirato. A differenza della maggior parte delle campagne di phishing che si basa sull’invio di e-mail di massa, lo spear phishing attacca un individuo o un’organizzazione specifica. Questa tipologia di phishing prevede un’analisi preliminare delle vittime tramite ricerche approfondite in Internet per scoprire nomi, titoli lavorativi, indirizzi e-mail e riuscire ad abbinare le informazioni ad altri dati che riguardano colleghi, nomi e rapporti professionali.
Un obiettivo dello spear phishing, ad esempio, potrebbe essere un dipendente con accesso ai pagamenti. L’email potrebbe provenire da un dirigente della società che chiede al dipendente di inviare un pagamento a sé stesso oppure ad un fornitore.
Lo spear phishing rappresenta una grave minaccia per imprese e governi: nel 2015, infatti, il 38% degli attacchi informatici alle imprese imputa la responsabilità a questo tipo di phishing con danni pari a 1,8 milioni di dollari ad incidente.
Clone phishing
Realizzando una copia (o clonte) di un’e-mail inviata in passato, il phisher sostituisce link o allegati con corrispondenti dannosi simili a quelli reali. Cliccando gli utenti autorizzano inconsapevolmente la penetrazione nei loro sistemi ed il phisher ha libero accesso ai contatti della stessa organizzazione potendosi spacciare per un mittente affidabile o falsificando l’identità della vittima.
Phishing 419 – Truffa alla nigeriana
Una mail proveniente da un sedicente principe nigeriano o ufficiale di governo che ha bisogno di aiuto per trasferire milioni di dollari fuori dalla Nigeria, è uno dei tentativi più antichi e di lunga durata in Internet. Una mail contrassegnata come urgente o privata dove il mittente chiede al destinatario di fornire il numero di un conto corrente bancario per mettere al sicuro i fondi.
Una versione aggiornata della truffa alla nigeriana viene denunciata dal sito di news britannico Anorak nel 2016: una mail da parte del Dr. Bakare Tunde, project manager del settore astronautico dell’agenzia di sviluppo e ricerca spaziale nazione della Nigeria, dove sostiene che il cugino Abacha Tunge, maggiore dell’aeronautica militare, è disperso in una vecchia stazione spaziale sovietica da oltre 25 anni. In cambio di 3 milioni di dollari, le autorità spaziali russe potrebbero riportarlo a casa, pertanto, invita i destinatari a trasmettere i dati del loro conto bancario per effettuare il trasferimento della cifra necessaria, in cambio di un compenso di 600.000 dollari.
Il numero 419 associato a questa truffa fa riferimento alla sezione del codice penale nigeriano in materia di frodi che stabilisce accuse e pene per i responsabili.
Phone phishing
Phone phishing, voice phishing o vishing, sono tentativi di phishing telefonico ossia telefonate da parte del phisher che si spaccia per un rappresentante dell’istituto bancario locale, delle forze dell’ordine, dell’agenzia delle entrate ecc…
La vittima viene allarmata dalle informazioni che riceve ed il phisher ne approfitta, insistendo, per chiedere la condivisione dei dati del conto bancario o il pagamento di una multa tramite bonifico o carta prepagata (per risultare, poi, irrintracciabile) per risolvere l’ipotetico problema.
L’SMS phishing o smishing agisce nello stesso modo ma tramite SMS con link dannosi.
Phishing: come identificare un attacco
Non è sempre facile riconoscere un tentativo di phishing, tuttavia, spesso basta prestare attenzione a elementi ambigui o inconsueti. Fidarsi del proprio intuito e non farsi cogliere dal panico sono sicuramente ottimi consigli. Gli attacchi di phishing, infatti, fanno leva proprio sull’ansia e sulla paura per mettere in difficoltà l’utente.
Esistono alcuni segnali che aiutano a riconoscere un tentativo di phishing:
- Offerta troppo vantaggiosa per essere vera (vincita alla lotteria, premio di valore ecc…)
- Mittente conosciuto ma contenuto ambiguo
- Messaggio allarmante, linguaggio forte, senso d’urgenza
- Allegati inattesi o inconsueti
- Link sospetti
Phishing: come proteggersi
Come già accennato il phishing può coinvolgere computer fissi, portatili, tablet e smartphone. Molti browser sono dotati di metodi di verifica della sicurezza dei link ma il giudizio degli utenti rimane comunque la difesa migliore.
Di seguito altri consigli per proteggersi dal phishing:
- Non aprire e-mail provenienti da mittenti sconosciuti
- Verificare sempre l’URL reale dei link passando il cursore sopra
- Digitare personalmente l’URL piuttosto di fare click su quello presente nella mail
- Prestare attenzione alla presenza di errori ortografici
- Controllare sempre il certificato digitale del sito web
- Verificare che l’URL della pagina inizi con HTTPS quando vengono richiesti dati sensibili
- Effettua una ricerca con una parte del testo del messaggio o con un nome per vedere se ci sono testimonianze a riguardo in rete
- Utilizzare software di sicurezza anti-malware
Phishing: conclusioni
Gli attacchi di phishing hanno registrato una crescita record negli ultimi anni, e un programma efficace di sensibilizzazione sulla sicurezza costituisce parte integrante di tutte le strategie di difesa.
Per la maggior parte delle aziende, gli utenti finali sono il punto di attacco più esteso e più vulnerabile. Sophos Phish Threat educa e mette alla prova proprio gli utenti finali mediante l’uso di simulazioni di attacco, corsi di formazione di elevata qualità per promuovere maggiore consapevolezza sulla protezione, e pratici dati di reportistica.
Contattaci per saperne di più o per attivare una Demo. Occhi aperti, giuste precauzioni e sempre in guardia contro il phishing!