Phishing: tipologie e caratteristiche degli attacchi
Abbiamo già affrontato il tema attraverso una classificazione del phishing per canali di attacco, ma il fenomeno continua a mutare forma, strategia e obiettivi.
Anche se si possono tracciare elementi riccorrenti negli attacchi di phishing che lo rendono riconoscibile, la natura degli attacchi si è evoluta con campagne che, a seconda del target e della strategia scelta, utilizzano infrastrutture informatiche diverse, variano il volume delle mail inviate e la durata di attività dell’attacco.
Nel suo annuale Security Intelligence Report, Microsoft ha analizzato i trend in atto sottolineando come, nel 2018, il phishing sia ancora il metodo di attacco preferito e – si legge nel report – lo resterà in futuro perché “implica decisioni e giudizi umani di fronte agli sforzi persistenti da parte dei criminali informatici per far cadere le vittime nelle loro esche”.
Classificazione del phishing in base alle tipologie di attacco:
# Domain Spoofing: consiste nel falsificare la propria identità a partire da un dominio originale (e legittimo) del quale il sito fraudolento prende le sembianze. Attraverso una copia ombra del sito web oggetto di spoofing l’utente viene dirottato su una applicazione creata ad hoc. Il domain spoofing è un fenomeno che colpisce non solo gli utenti, ma anche l’industria della pubblicità e dell’editoria. L’autore dell’attacco si pone come filtro fra l’inserzionista e il sito che dovrebbe ospitare la pubblicità, devia l’inserzione su un portale terzo comunicando al fornitore la buona riuscita della delivery.
L’inserzione sarà quindi posizionata in un sito che non garantisce lo stesso traffico e quindi la stessa visibilità. Uno dei casi più eclatanti di spoofing è stato scoperto nel 2017 dal Financial Times che – indagando sul fenomeno – ha scoperto che il suo stesso sito era stato oggetto di spoofing e che annunci display su spazi mascherati da FT.com erano stati venduti per un valore di 1,3 milioni di dollari al mese. Questo tipo di attacco è particolarmente efficace nelle piattaforme in progammatic, ovvero le piattaforme automatizzate e danneggia sia gli advertiser che sprecano budget pubblicitario per un sito dagli scarsi contenuti, sia l’organizzazione che concede lo spazio pubblicitario, privata dei guadagni di tale campagna.
# Domain Impersonation: si differenzia dal domain spoofing solo perché il dominio del messaggio email è simile, ma non perfettamente uguale all’originale. E’ questo il caso del phishing più grossolano e “di massa”: le email contengono errori ortografici o piccole storpiature, nel nome del presunto mittente; in ogni caso il reale indirizzo da cui provengono queste email è differente da quello ufficiale.
# User Impersonation : questo metodo consiste nel camuffare l’indirizzo email del mittente dietro un’identità ben nota a chi riceve il messaggio. In questo modo è più facile convincere l’utente a fornire dei dati o a visitare determinati link. Ad essere presi di mira sono soprattutto le banche, ma anche enti governativi e istituzioni.
# Tex Lures: è il messaggio “esca” con cui gli hacker cercano di convincere a compiere l’azione necessaria per il furto dei dati. Il canale dell’attacco può essere molteplice, dalle email alle telefonate, ai messaggi sms, il fine è sempre lo stesso: indurre l’utente a inviare le proprie informazioni personali e dati, o compiere un determinato compito con l’attrattiva di una proposta allettante. Altre volte invece l’esca fa leva sulla fretta o sulla paura dell’utente: il messaggio con la richiesta di rinnovare un servizio in scadenza, l’imminente chiusura di un conto o di un account inducono la vittima a inserire le proprie credenziali.
# Credential Phishing Links: l’email ricevuta contiene il link a pagine che somigliano ad alcuni siti web legittimi, come social network, provider o istituti di credito. Aprendo quel link, si aprirà una finestra in cui viene richiesto di eseguire il login con le proprie credenziali. Si tratta però di una trappola, in quanto gli hacker copieranno le chiavi d’accesso al sito e le potranno riutilizzare per furti d’identità o transazioni bancarie.
# Phishing Attachments: questa tipologia prevede degli allegati alla mail che, se aperti, si installano sul dispositivo. Scaricare il file allegato può aprire le porte a malware di phishing che permetteranno agli hacker di avere accesso alle informazioni personali contenute nel device. Se non si è consapevoli di questi rischi può anche capitare di non accorgersi di ciò che è successo.
# Links to fake cloud storage locations: anche le piattafiorme cluod vengono utilizzate da attacchi di phishing: in questo caso l’email sembra arrivare da una fonte legittima e incoraggia l’utente a rilasciare il permesso – e i relativi dati personali – per accedere. Per evitare di essere vittima di questi tentativi di truffa è opportuno saper riconoscere il phishing, dubitare di ogni email la cui provenienza non è chiara e installare filtri anti-spam sul proprio computer. Qui di seguito la guida che illustra alcuni esempi di email sospette e come muoversi quando le riceviamo.
9.1 Email sospette: cos’è il phishing?
Il phishing è una truffa informatica effettuata inviando un’email con il logo contraffatto di un istituto di credito, di una società di commercio elettronico o di un rivenditore di servizi spesso conosciuta dal destinatario, in cui lo si invita a fornire dati riservati (numero di carta di credito, password di accesso ai servizi, etc), motivando tale richiesta con ragioni di ordine tecnico.
Tale metodo prevede quindi l’invio di email con un mittente falsificato, il quale però corrisponde a indirizzi esistenti, spesso conosciuti dal destinatario. Lo scopo è indurre in errore chi riceve l’email riguardo la reale provenienza del messaggio. Considerandolo affidabile, infatti, il destinatario è persuaso ad eseguire le procedure indicate nel messaggio. A tal proposito è buona prassi prestare sempre attenzione al mittente dell’email, identificando eventuali incongruenze tra il nome (1) e l’email indicata (2), come nell’esempio riportato di seguito:
Oltre a recare un mittente “mascherato”, le email di phishing imitano nell’aspetto e nel contenuto messaggi legittimi di fornitori di servizi, compresi loghi e formattazione dei testi. In alcuni casi è però possibile scorgere nei testi di tali comunicazioni errori di sintassi, ripetizioni o parti di testo scritte con caratteri diversi dal resto dell’email. Tutti segnali che probabilmente ci troviamo in presenza di un’email fraudolenta.
L’indicazione inequivocabile che ci troviamo di fronte a un’email di phishing è rappresentata dal fatto che la comunicazione presenta sempre un link o un pulsante sul quale cliccare. Tale link rimanda ad una pagina graficamente simile a quella dei rivenditori di servizi imitato, ma la cui URL è molto articola e reca spesso numeri e lettere in lunghe sequenze.
Cosa fare in caso di ricezione di un’email sospetta
Nel caso si abbia il sospetto di trovarsi in presenza di un’email di phishing si consiglia di:
– non rispondere all’email;
– non eseguire, in generale, le operazioni indicate;
– non aprire eventuali file allegati;
– non cliccare sul pulsante o sui link indicati.
Come segnalare la ricezione dell’email
Per tentare di individuare i reali mittenti dei messaggi fraudolenti e bloccare gli invii, è necessario poter visualizzare gli header del messaggio originale, ovvero le intestazioni che contengono le informazioni relative alla “vita” dell’email, dal momento in cui viene inviata all’accettazione da parte del server destinatario, oltre alle informazioni che riguardano l’autore del messaggio stesso.
Per permettere tali controlli invitiamo chiunque abbia ricevuto un’email sospetta a salvare la stessa in locale sul proprio pc in formato .eml, .msg oppure .txt e inviarla in allegato al sito interessato.
Cosa fare nel caso si sia stati vittime di un’email di phishing
Nel caso in cui si sia ricevuta un’email di phishing e, senza riconoscere il tentativo di truffa, si sia proceduto ad inserire i propri dati o le proprie credenziali di accesso dove richiesto, è possibile agire come indicato di seguito:
1) Se sono state inserite le credenziali di accesso è necessario effettuare un cambio password con urgenza. Inoltre, al fine di aumentare la sicurezza del proprio account, è consigliabile effettuare a titolo preventivo un’approfondita scansione con sistemi antivirus/antimalware/antikeylogger di tutti i dispositivi (anche eventuali smartphone o tablet) ed effettuare un cambio password degli account non solo della posta, ma anche per quelli non necessariamente collegati con la posta (ad esempio banca, Facebook, ecommerce online ecc…).
2) Se sono stati inseriti i dati di pagamento è necessario contattare il proprio istituto bancario con urgenza e bloccare la carta di credito di cui sono stati inseriti i dati. Si ricorda infatti che un sito non può in alcun modo intervenire in tal senso, ma soltanto accogliere la segnalazione di phishing dell’utente e provvedere eventualmente a bloccare invii futuri di email fraudolente.