Phishing: Tipologie e tecniche di attaccho phishing

Phishing: Tipologie e tecniche di attaccho phishing

Il phishing

Il phishing è una tecnica di attacco informatico consistente nell’invio di email da parte di un soggetto malintenzionato nei confronti di una vittima, che basa la propria efficacia sul’impiego congiunto di tecniche di social enginering e metodologie che fanno uso di exploit, al fine di estorcere ad un ignaro utente informazioni personali riservate, generalmente per finalità legate ad attività fraudolente online.

Solitamente le email di phishing, hanno l’obiettivo di cercare di convincere il destinatario del messaggio di posta a cliccare su un link al fine di reindirizzarlo su una pagina web fraudolenta al cui interno vengono emulati servizi reali, che cercano di ingannare l’utilizzatore e far si che quest’ultimo inserisca i proprio dati riservati, quali codici di carte di credito, credenziali di carte prepagate ed altre informazioni utili alla realizzazione di una frode economica ai suoi danni.

Phishing: Tipologie e tecniche di attaccho phishing

Di recente sono state sviluppate tecniche anche molto sofisticate per ingannare gli internauti circa la bontà delle email di phishing, infatti per cercare di rendere il più realistico possibile il tentativo di truffa solitamente i phisher implementano siti web ed interfacce di email in maniera del tutto simile ai servizi che si vogliono emulare.

Ad oggi esistono diverse tecniche di attaccho phishing, eccole qui di seguito.

Phishing basati sui malware

Questa tipologia di phishing prevede l’inserimento all’interno delle mail inviate alle vittime, di codice(solitamente sfruttando gli allegati) il cui compito risulta essere quello di installare, in maniera non autorizzata e nascosta agli occhi dell’utente, software malevolo con l’obiettivo di catturare l’input da tastiera digitato dall’utilizzatore del pc, oppure di identificare file contenenti informazioni sensibili sulla vittima, ed inviare le stesse all’autore del tentativo di phishing. Solitamente i software utilizzati per eseguire questa tipologia di attività fanno uso di keylogger o trojanhorse.

Email ingannevoli

Questa tipologia di attacco consiste nell’inviare ad un ignaro utente, una email con campo mittente alterato, sostituendo quindi il nome reale con uno riconosciuto affidabile dalla vittima (ad esempio perchè riferito alla propria banca o ad un servizio online da lui frequentemente utilizzato).
Per realizzare questo tipo di attacco vengono solitamente utilizzate le seguenti tecniche.

Web based delivery

Rappresenta ad oggi una delle tecniche di phishing più sofisticate, in cui il phishier o lo strumento automatico da lui adottato per eseguire l’attacco, si colloca in una posizione “logica” tra la vittima ed il sito web istituzionale, che si cerca di emulare, attuando un vero e proprio attacco man in the midle (MITM). L’attaccante in una prima fase sfruttando un codice malevolo inviato alla vittima, opportunamente nascosto all’interno di una email, riesce a prendere il controllo della macchina dell’utente monitorando le sue attività in rete. Nel momento in cui il malcapitato si collegherà ad un sito web di interesse dell’attacker (perche magari relativo a servizi di pagamento online), quest’ultimo costringerà l’elaboratore vittima a forzare un reindirizzamento del traffico dei dati in transito tra l’utente ed il sito reale,verso i propri sistemi, che vengono creati ad hoc per emulare i servizi del sito reale,al fine di ottenere visione dei dati inviati dall’utente.

Entrato in possesso dei dati l’attacker li reinoltrerà al sito reale in modo da rendere trasparente ai 2 interlocutori l’operazione di sniffing dei dati.
Il phisher quindi riesce nell’obiettivo di tracciare le attività dell’ignaro utente ed ottenere quante più informazioni possibili sulla propria vittima.

Content injection

Rappresenta la tecnica che prevede la modifica, ad opera del phisher, di una parte del contenuto di una pagina appartenente ad un sito web reale, al fine di acquisire dati dall’utente. Attraverso particolari tecniche, un attacker riesce a modificare il contenuto originale di un sito web istituzionale inserendo alcuni campi di richiesta credenziali (o modificandone quelli esistenti) con l’obiettivo di reindirizzare sui propri sistemi il flusso legato ai dati sensibili inseriti dagli utenti che si collegano al sito.
Effettuando questa attività l’attacker riuscirà nel tentativo di far credere ad un utente che si trovi nella condizione di collegarsi al sito web in questione e che magari digiti le proprie credenziali per collegarsi ai suoi servizi, di inserire dei dati che verranno visualizzati solo dal sito affidabile, in realtà queste informazioni verranno inviate direttamente all’indirizzo impostato dall’attacker, che riuscirà così nel tentativo di realizzare il furto delle credenziali utente. Le informazioni raccolte, verranno in seguito utilizzate come nei casi precedenti per attuare attività fraudolente

Phishing attraverso i motori di ricerca

Alcuni phisher sfruttano i motori di ricerca per mostrare agli utenti prodotti commerciali con prezzi particolarmente vantaggiosi rispetto alle normali valutazioni di mercato, al fine di indurre l’utente all’acquisto del bene. Il sito web di commercio elettronico implementato dal phisher ha l’unico obiettivo di indurre l’utente ad inserire le proprie credenziali di carta di credito cosi da permettere al all’attacker di entrare in possesso dei dati sensibili del malcapitato. Nessun prodotto verrà reso disponibile all’ignaro utente che si vedrà di contro sottratte le credenziali della propria carta elettronica utilizzata per l’acquisto online, con tutte le conseguenze che tale circostanza comporta.

Link manipulation

È la tecnica che prevede la creazione di un link all’interno di un dominio di proprietà dell’attacker, manipolato ad arte per far credere ad un’ignara vittima di collegarsi ad un sito web da lui considerato affidabile, ma che in realtà rappresenta semplicemente l’ennesimo espediente per realizzare un tentativo di phishing.

Il sistema ha raggiunto livelli di complessità notevoli negli ultimi anni, ma per comprenderne il funzionamento basilare, si può prendere in considerazione l’ipotesi che vede uno scenario in cui il sito www.miabancaaffidabile.com rappresenta per la vittima il sito di riferimento per le proprie attività finanziare online. Se l’attacker all’interno del proprio dominio che si supporrà essere wwww.fake.com costruisce un percorso del tipo “http://fake.com/www.miabancaaffidabile.com” ed implementa all’interno di questa pagina una riproduzione fedele del sito web miabancaaffidabile, potrebbe riuscire nell’intento di ingannare l‘utente, facendo credere a quest’ultimo di essere collegato al sito affidabile quando in realtà tale ipotesi risulta falsa.

La circostanza presentata potrebbe quindi essere sufficiente a permettere il furto dei dati utente, che quest’ultimo si troverebbe a digitare sul sito creato ad arte dall’attacker per realizzare la truffa.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *