Phishing cos’è e perchè continua a mettere al tappeto le imprese italiane. La guida pratica
Phishing cos’è e perchè spaventa la ripartenza
Lo conosciamo, in buona parte, da tempo… eppure continua a metterci al tappeto e, come ci raccontano le cronache degli ultimi giorni, continua a bloccare dolorosamente la ripartenza di moltissime imprese italiane. Comincia tutto con una mail, quasi perfetta, finisce tutto con il blocco di comunicazioni, produzioni, business… danni pesanti soprattutto dopo ui danni che il lockdoqne ha già fatto.
L’allarme non è eccessivo perché il clusit ci racconta che tra aprile e maggio dello scorso anno la sua crescita ha sfondato il 200% anno su anno… ma che cosa è davvero il Phishing, come funziona e perchè continua a farci così tanto male?
Vale la pena di andare con ordine.
Il phishing è una forma di frode in cui un aggressore si maschera da entità o persona rispettabile nell’e-mail o in altre forme di comunicazione. Gli aggressori useranno comunemente e-mail di phishing per distribuire collegamenti o allegati dannosi in grado di svolgere una varietà di funzioni. Alcuni estrarranno le credenziali di accesso o le informazioni sull’account dalle vittime.
Il phishing ingannevole è popolare tra i criminali informatici, in quanto è molto più facile indurre qualcuno a fare clic su un collegamento malevolo in un’e-mail di phishing apparentemente legittima piuttosto che infrangere le difese di un computer. Imparare di più sul phishing è importante per scoprire come rilevarlo, prevenirlo e soprattutto per difendersi dalla pioggia di attacchi senza precedenti che si è scatenata proprio nel nostro Paese, proprio in questi giorni.
Come funziona il phishing
Gli attacchi di phishing si basano in genere su tecniche di social network applicate all’e-mail o ad altri metodi di comunicazione elettronica. Alcuni metodi includono messaggi diretti inviati sui social network e messaggi di testo SMS.
I phisher possono utilizzare fonti pubbliche di informazioni per raccogliere informazioni di base sulla storia personale e lavorativa della vittima, sugli interessi e sulle attività. In genere attraverso social network come LinkedIn, Facebook e Twitter. Queste fonti vengono normalmente utilizzate per scoprire informazioni come nomi, titoli di lavoro e indirizzi e-mail di potenziali vittime. Queste informazioni possono quindi essere utilizzate per creare un’e-mail credibile.
In genere, una vittima riceve un messaggio che sembra essere stato inviato da un contatto o un’organizzazione noti. L’attacco viene quindi eseguito tramite un allegato di file dannoso o tramite collegamenti che si collegano a siti Web dannosi. In entrambi i casi, l’obiettivo è installare malware sul dispositivo dell’utente o indirizzare la vittima verso un sito Web falso. I siti Web falsi sono creati per indurre le vittime a divulgare informazioni personali e finanziarie, come password, ID account o dettagli della carta di credito.
Sebbene molte e-mail di phishing siano scritte male e chiaramente false, i gruppi di criminali informatici utilizzano sempre più le stesse tecniche utilizzate dai professionisti del marketing per identificare i tipi di messaggi più efficaci.
Come riconoscere un’e-mail di phishing
I messaggi di phishing “riusciti” sono difficili da distinguere dai messaggi reali. Di solito, sono rappresentati come provenienti da una società ben nota, anche con loghi aziendali e altri dati identificativi raccolti.
Tuttavia, ci sono diversi indizi che possono indicare che un messaggio è un tentativo di phishing. Questi includono:
– Il messaggio utilizza sottodomini, URL errati (errori di battitura) o URL altrimenti sospetti.
– Il destinatario utilizza un indirizzo di posta elettronica Gmail o altro anziché un indirizzo di posta elettronica aziendale.
– Il messaggio è scritto per invocare la paura o un senso di urgenza.
– Il messaggio include una richiesta per verificare informazioni personali, come dettagli finanziari o una password.
– Il messaggio è scritto male e presenta errori di ortografia e grammaticali.
I criminali informatici continuano ad affinare le loro abilità nel realizzare attacchi di phishing esistenti e nella creazione di nuovi tipi di truffe di phishing. Alcuni tipi comuni di attacchi di phishing includono:
Attacchi di spear phishing, che sono diretti a individui o società specifici. Questi attacchi di solito impiegano informazioni raccolte specifiche per la vittima per rappresentare più efficacemente il messaggio come autentico. Le e-mail di spear phishing potrebbero includere riferimenti a colleghi o dirigenti dell’organizzazione della vittima, nonché l’uso del nome, della posizione o di altre informazioni personali della vittima.
I whaling attack sono un tipo di attacco di spear phishing che colpisce in modo mirato i dirigenti senior all’interno di un’organizzazione. Questo attacco porta spesso l’obiettivo di rubare ingenti somme. Coloro che preparano una campagna di spear phishing ricercano dettagliatamente le loro vittime per creare un messaggio più autentico. L’uso di informazioni pertinenti o specifiche per un bersaglio aumenta le probabilità che l’attacco abbia successo.
Poiché, un tipico whaling attack colpisce un dipendente con la possibilità di autorizzare i pagamenti, il messaggio di phishing sembra spesso essere un comando di un dirigente per autorizzare un grosso pagamento a un fornitore quando, in realtà, il pagamento sarebbe effettuato agli attaccanti.
Il pharming è un tipo di attacco di phishing che tramite cache DNS reindirizzare gli utenti da un sito legittimo a uno fraudolento. Questo viene fatto nel tentativo di indurre gli utenti a tentare di accedere al sito falso con credenziali personali.
Gli attacchi di clone phishing utilizzano e-mail legittime che contengono un collegamento o un allegato. Gli aggressori fanno una copia – o clonano – dell’email legittima e sostituiscono qualsiasi numero di collegamenti o file allegati con quelli dannosi. Le vittime possono essere spesso indotte a fare clic sul collegamento dannoso o ad aprire l’allegato dannoso.
Questa tecnica viene spesso utilizzata dagli aggressori che hanno preso il controllo del sistema di un’altra vittima. In questo caso, gli aggressori usano il loro controllo di un sistema all’interno di un’organizzazione per inviare messaggi e-mail da un mittente attendibile, noto alle vittime.
I phisher a volte usano un attacco “evil twin Wi-Fi” avviando un access point Wi-Fi e pubblicizzandolo con un nome ingannevole. Quando le vittime si collegano alla rete “gemella”, gli aggressori ottengono l’accesso a tutte le trasmissioni da o verso i dispositivi delle vittime. Ciò include l’accesso agli ID utente e alle password. Gli aggressori possono anche usare questo vettore per colpire i dispositivi delle vittime con i loro stessi messaggi fraudolenti.
Il phishing vocale è una forma di phishing che si verifica su supporti vocali, incluso Voice over IP (VoIP) o semplice servizio telefonico. Una tipica truffa di questo tipo utilizza un software di sintesi vocale per lasciare messaggi vocali che avvisano la vittima di attività sospette in un conto bancario o di credito. La chiamata solleciterà la vittima a rispondere per verificare la propria identità, compromettendo così le credenziali dell’account della vittima.
Un altro attacco di phishing orientato ai dispositivi mobili, SMS phishing utilizza messaggi di testo per convincere le vittime a rivelare le credenziali dell’account o installare malware.
Tecniche di phishing
Gli attacchi di phishing dipendono dal semplice invio di un’e-mail alle vittime e dalla speranza che facciano clic su un collegamento dannoso o aprano un allegato dannoso.
Gli aggressori usano diverse tecniche per intrappolare le loro vittime:
JavaScript può essere utilizzato per posizionare un’immagine di un URL legittimo sulla barra degli indirizzi di un browser. L’URL viene rivelato passando con il mouse su un collegamento incorporato e può anche essere modificato utilizzando JavaScript.
La manipolazione dei collegamenti è presente in molti tipi comuni di phishing e viene utilizzata in diversi modi. L’approccio più semplice è quello di creare un URL dannoso che viene visualizzato come se si stesse collegando a un sito o una pagina Web legittimi.
Servizi di abbreviazione di collegamenti come Bitly possono essere utilizzati per nascondere la destinazione del collegamento. Le vittime non hanno modo di sapere se gli URL abbreviati puntano a risorse Web legittime o a risorse dannose.
Come prevenire il phishing
Per aiutare a impedire ai messaggi di phishing di raggiungere gli utenti finali, gli esperti raccomandano di sovrapporre i controlli di sicurezza, tra cui:
programma antivirus;
firewall desktop e di rete;
software antispyware;
barra degli strumenti antiphishing (installata nei browser Web);
filtro e-mail gateway;
gateway di sicurezza Web;
un filtro antispam; e
filtri di phishing da fornitori come Microsoft.
I server di posta aziendali dovrebbero utilizzare almeno uno standard di autenticazione e-mail per confermare che le e-mail in entrata siano verificabili. Ciò può includere il protocollo DKIM (DomainKeys Identified Mail), che consente agli utenti di bloccare tutti i messaggi ad eccezione di quelli che sono stati firmati crittograficamente. Il protocollo DMARC (Domain Authentication Reporting Reporting and Conformance) basato su dominio è un altro esempio. DMARC fornisce un framework per l’utilizzo dei protocolli per bloccare le e-mail indesiderate in modo più efficace.
Esistono diverse risorse su Internet che aiutano a combattere il phishing. L’Anti-Phishing Working Group Inc. e il sito Web OnGuardOnline.gov del governo federale forniscono entrambi consigli su come individuare, evitare e segnalare attacchi di phishing. Gli strumenti interattivi di formazione sulla consapevolezza della sicurezza, come PhishMe di Wombat Security Technologies, possono aiutare a insegnare ai dipendenti come evitare le trappole di phishing. Inoltre, siti come FraudWatch International e MillerSmiles pubblicano le ultime righe dell’oggetto e-mail di phishing che circolano su Internet.
Storia del phishing
La storia del termine phishing non è del tutto chiara.
Una spiegazione comune per il termine è che il phishing è un omofono della pesca. Ed è così chiamato perché le truffe di phishing usano esche per catturare vittime ignare o pescare.
Un’altra spiegazione per l’origine del phishing viene da una stringa – <> <- che si trova spesso nei registri delle chat AOL. Quei personaggi erano un tag HTML comune trovato nelle trascrizioni delle chat. Poiché si è verificato così frequentemente in quei registri, gli amministratori di AOL non potevano cercarlo in modo produttivo come indicatore di attività potenzialmente improprie. Gli hacker di black hat sostituiranno quindi qualsiasi riferimento ad attività illegali – incluso il furto di carte di credito o credenziali dell’account – con la stringa. Tutto ciò alla fine avrebbe potuto dare il nome all’attività, poiché i personaggi sembrano essere un semplice rendering di un pesce.
All’inizio degli anni ’90, un gruppo di persone chiamato Warez Group ha creato un algoritmo per generare numeri di carta di credito. I numeri sono stati creati in modo casuale nel tentativo di creare account AOL falsi. L’account falso avrebbe quindi spam altri account AOL. Alcune persone proverebbero a modificare i nomi delle schermate AOL per apparire come amministratori AOL. Usando questi nomi di schermate, avrebbero “phishing” le persone tramite AOL Messenger per loro informazione.
All’inizio degli anni 2000, il phishing ha visto più cambiamenti nell’attuazione. Il “bug dell’amore del 2000” ne è un esempio. Alle potenziali vittime è stata inviata un’e-mail con un messaggio che diceva “ILOVEYOU”, che indicava una lettera di allegato. Tale allegato conteneva un worm che sovrascriveva i file sul computer della vittima e lo copiava nell’elenco dei contatti dell’utente.
Inoltre, nei primi anni 2000, diversi phisher hanno iniziato a registrare siti Web di phishing. Un sito Web di phishing è un dominio simile per nome e aspetto a un sito Web ufficiale. Sono fatti per ingannare qualcuno nel credere che sia legittimo.
Oggi, gli schemi di phishing sono diventati più vari e sono potenzialmente più pericolosi di prima. Con l’integrazione dei social media e metodi di accesso come “login con Facebook”, un utente malintenzionato potrebbe potenzialmente commettere diverse violazioni dei dati su un individuo utilizzando una password phishing, rendendole vulnerabili agli attacchi ransomware nel processo. Attualmente vengono utilizzate anche tecnologie più moderne. Ad esempio, il CEO di una società energetica nel Regno Unito aveva pensato di parlare al telefono con il proprio capo. Gli era stato detto di inviare fondi a un fornitore specifico, quando si trattava in realtà di uno schema di phishing che utilizzava un’intelligenza artificiale per imitare la voce dell’amministratore delegato del CEO dalla società madre. Non è chiaro se gli aggressori abbiano usato i robot per reagire alle domande della vittima. Se il phisher usasse un bot per automatizzare l’attacco, renderebbe più difficile indagare sulle forze dell’ordine.
