Attacchi Phishing: Tipi, tecniche e difesa contro il phishing informatico
Tipologie di phishing
In informatica, il phishing è un’attività illecita finalizzata all’ottenimento e al successivo utilizzo per scopi fraudolenti delle credenziali dei soggetti lesi, può essere posto in essere mediante diversi tipi di attacchi che spieghiamo qui di seguito.
Deceptive phishing
La tipologia di attacco più utilizzata e comune tra i phisher è quella del “deceptive phishing”, traducibile come “phishing ingannevole”, ossia quando il phisher invia ad un gran numero di potenziali vittime un messaggio di posta elettronica ingannevole, con un invito a fare clic su un collegamento web. L’utente, vittima del phisher, viene reindirizzato ad un sito che permette al phisher di raccogliere informazioni riservate riguardanti l’utente, per poi potersi spacciare per quest’ultimo o trasferire denaro o, ancora, acquistare merce o porre in essere qualsiasi altro tipo di danno. In molti casi, il phisher non provoca direttamente un danno economico alla propria vittima, ma rivende le informazioni ottenute fraudolentemente su un mercato secondario tramite forum di mediazione online e canali chat.
Esistono molte variazioni negli schemi di phishing ingannevole: può, ad esempio, essere presentata una replica della pagina di login a chi legge messaggi in formato HTML direttamente nel testo dell’email, in modo che non vi sia necessità di cliccare su un collegamento web; o, ancora, può essere utilizzato un indirizzo IP numerico in luogo del nome dell’host nella stringa di collegamento ad un sito di phishing, in modo che, per prendere il controllo della barra degli indirizzi di un browser, deve essere usato Javascript oppure c’è bisogno di ingannare in altro modo l’utente facendogli credere che sta comunicando con un sito legittimo.
Le email di phishing, inizialmente, anche in Italia, solo in inglese e poi in un italiano sempre più corretto, prendono come modello una reale comunicazione di servizio della società o ente di riferimento, imitando alla perfezione non solo la grafica del messaggio ma anche il linguaggio adoperato. Cliccando, poi, sul link proposto nel testo della email, la pagina caricata non è quella del sito della società o ente, bensì un sito web fittizio, creato dal phisher, per sottrarre e memorizzare le informazioni fornite dagli ignari utenti. Dunque, possono essere inviate, da parte del phisher, email che invitano ad accedere al sito della propria banca per ottenere il pin di sicurezza; email contenenti un avviso di addebito in conto di un alto importo e la richiesta di cliccare un link per ottenere user id e password dell’utente; email che invitano ad accedere al sito della propria banca proprio perché dei phishers avrebbero attentato alla sicurezza del conto corrente del cliente per raccogliere i dati digitati dalla vittima e inviarli ad un hacker o una banda criminale. Proprio quest’ultimo caso ci fa comprendere come il fenomeno illecito si stia aggravando e allargando, anche grazie all’impiego di tecniche diverse da quella dell’invio di email, e cioè l’utilizzo di virus per carpire informazioni riservate sui conti bancari o per dirottare gli utenti a veri e propri siti clone al momento della digitazione del sito della propria banca.
Phishing basato su malware
Con l’espressione phishing basato su malware si intende, generalmente, un tipo di attacco che comporta l’esecuzione di un software o codice maligno sul computer dell’utente a sua insaputa, utilizzando inganni di social engineering o sfruttando le vulnerabilità del sistema di sicurezza. Un tipico inganno di social engineering è quello di convincere un utente ad aprire un allegato di una email oppure a scaricare un file da un sito web, spesso sostenendo che esso sia di carattere pornografico, oppure contente foto particolari o gossip su personaggi celebri; inoltre, anche software scaricabili da internet possono contenere un codice maligno. Il codice suddetto può essere diffuso anche tramite attacchi alla sicurezza, sia mediante la propagazione di worm o virus che approfittano di una vulnerabilità del sistema per installare il codice maligno, sia rendendo disponibile il codice su un sito web che sfrutta una vulnerabilità di sicurezza. La navigazione internet può essere ridirezionata su un sito web fraudolento tramite social engineering, come avviene nei casi di messaggi spam, oppure inserendo un contenuto accattivante per gli utenti su un sito web legittimo, sfruttando una debolezza nella sicurezza del web server.
Il phishing basato sul codice maligno può assumere diverse e varie forme: quella della “session hijacking”, in italiano “dirottatori di sistema”, che è un attacco con cui vengono monitorate le attività di un utente, di solito tramite una componente non legittima del browser, per cui quando egli immette le proprie credenziali di un account o effettua una transazione, il software dirotta la sessione per eseguire le azioni miranti a frodarlo; quella dei “web trojans“, ossia cavalli di troia sul web, che sono programmi che si agganciano agli schermi di login per prelevare le credenziali, per cui l’utente crede di inserire i propri dati su un certo sito web ma in realtà le informazioni sono immesse localmente e dunque trasmesse al pisher per un uso fraudolento di esse; quella degli “attacchi di configurazione del sistema”, tramite i quali vi è una modifica delle impostazioni sul computer dell’utente provocando la compromissione dei dati, come ad esempio quando vengono modificati i server DNS dell’utente, dirottando la sua navigazione su internet verso altri siti fraudolenti. Altra forma di phishing basato su codice maligno è quella dei “keylogger”, traducibile in “registratori di tasti”, che sono programmi che si auto-installano sia nel browser web che nel driver del dispositivo di input, per osservare i dati immessi e inviare quelli che interessano ad un server di phishing. Tali keylogger possono essere implementati tramite l’ausilio di vari strumenti, tra cui un oggetto di help del browser che rileva le modifiche delle URL e registra le informazioni quando l’URL si riferisce ad un sito designato per la raccolta di credenziali, un driver di dispositivo che controlla l’immissione dei dati da tastiera e da mouse e contemporaneamente controlla le attività dell’utente, uno screenlogger che controlla sia le immissioni dell’utente sia le visualizzazioni a video per contrastare le misure di sicurezza sulle immissioni alternative su schermo. I keylogger possono raccogliere credenziali relative ad un’ampia gamma di siti e spesso sono realizzati per monitorare la posizione dell’utente e trasmettere soltanto le credenziali relative a particolari siti. Tali attacchi di phishing tramite codice maligno, molto spesso, proprio perché possono essere ottenute grandi quantità di dati, anche e soprattutto sensibili, sono utilizzati per il furto di dati finalizzato allo spionaggio industriale.
Phishing basato sui motori di ricerca
Il phisher può porre in essere il suo attacco anche mediante la creazione di pagine web dedicate a prodotti fittizi, che vengono poi indicizzate nei motori di ricerca e, in tal modo, gli utenti, facendo un ordine o un’iscrizione o un trasferimento di somme, immettono i loro dati e informazioni, divenendo, così, di dominio del phisher. Tali pagine, tipicamente, offrono prodotti ad un prezzo molto vantaggioso e, in particolare, sono stati utilizzati con successo siti web di banche fraudolente: il phisher crea una pubblicità per un conto corrente con tasso di interesse leggermente più alto di qualsiasi altra banca non fittizia, le vittime trovano la banca tramite i motori di ricerca e inseriscono le credenziali del loro conto bancario per un trasferimento somme verso il nuovo conto.
Phishing “Man in the middle”
Un attacco man in the middle è una forma di phishing con il quale il phisher si interpone tra l’utente e il sito legittimo: i messaggi destinati al sito legittimo passano attraverso il phisher, che salva tutte le informazioni e i dati che possono essere di suo interesse, inoltra i messaggi al sito legittimo e poi inoltra all’utente le risposte di ritorno. Gli attacchi man in the middle possono essere utilizzati anche per il dirottamento delle sessioni con o senza la memorizzazioni delle credenziali compromesse dell’utente. Questo tipo di attacco è difficile da scoprire per l’utente poiché il sito funziona correttamente e può anche non esserci alcuna indicazione esterna che faccia capire che c’è qualcosa di sospetto. Di solito, il traffico Secure Socket Layer (SSL) sul web non è vulnerabile a questo tipo di attacco, in quanto il traffico SSL viene criptato usando la chiave di sessione in modo che non possa essere decodificato da un intercettatore.
Tuttavia, un attacco basato sull’utilizzo di un codice maligno può modificare la configurazione di un sistema per installare una nuova autorità di certificazione fidata e, in tal caso, un man in the middle può creare i propri certificati per un sito protetto con SSL, decriptare il traffico, estrarre le informazioni riservate e poi criptare nuovamente il traffico per comunicare con l’altra parte.
Rock Phish Kit
Il “Rock Phish Kit” è un software reperibile on line che permette di creare siti clone, con aspetto e grafica simile a quelli ufficiali, ma che all’interno contengono una serie di form da compilare tramite i quali vengono sottratti i dati sensibili alle ignare vittime. Il “Rock Phish Kit” sfrutta un insieme di software per creare non solo numerosi siti clone, ma anche un’email da utilizzare per lo spam con all’interno i link che reindirizzano al sito clone, sul medesimo server, in modo da attaccare più obiettivi diversi contemporaneamente. Tale tecnica permette, quindi, di trasformare ciascun server in una base da cui far partire attacchi multipli e diversificati, in modo tale da massimizzare le possibilità di riuscita prima che le forze dell’ordine e i gruppi antiphishing riescano a neutralizzare l’attacco.
Praticamente, il phisher installa un pacchetto multiplo contente i siti clone di entità finanziarie italiane o straniere, clonando loghi, testi, grafica, trasformando il server ospite in un arsenale pronto a sferrare l’attacco e a trarre in inganno i malcapitati utenti.
