Allerta Phishing: pratica sempre più diffusa e intelligente

Sul tema sicurezza potrebbe interessarvi anche questo articolo: Ricatto ransomware, un termine e un pericolo con cui è meglio familiarizzare

Il pericolo della pratica del Phishing si può riassumere in poche righe: non conosce limiti, è spesso concentrato nei periodi festivi e in occasione di pratiche diffuse di shopping legate alle stagioni dei saldi e si presenta spesso insieme ad altri malware pericolosi per singole persone, aziende e organizzazioni.

Per difendersi è fondamentale acquisire conoscenze adeguate e non interagire con la tecnologia in modo superficiale. Nelle aziende i dipendenti possono essere formati attarverso percorsi educativi ad hoc.

I più deboli e le vittime potenziali non sono persone illetterate e con scarse conoscenze tecnologiche. Il Phishing agisce subdolamente perchè conosce la psicologia e gli stimoli giusti da sfruttare per spingere ad una scelta e ad un'azione. Ad esempio più si è abituati ad usare Facebook, più si sarà portati a cliccare il suo link! La facilità, la rapidità e la pratica fiduciaria assegnata ad un link ne facilita l'uso. Anche quando non è autentico!

I consumatori e i singoli individui devono trovare il tempo e gli strumenti per farlo in rete, chiedendo consiglio a professionisti e esperti sulla sicurezza o frequentando i siti dei maggiori fornitori di software per la sicurezza.

Cosa è il Phishing

Scrive Wikipedia che “il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso.

Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Anche se questo tipo di truffa è per la maggior parte perpetrata usando la posta elettronica, non mancano casi simili che sfruttano altri mezzi, ad esempio i messaggi SMS.”

La metodologia di attacco del phishing

L’attacco segue una logica metodologica basata sulle seguenti fasi:

• Invio di una email con mittenti e contenuti costruiti e contraffatti ad arte per ingannare il malcapitato destinatario e fargli credere nell’autenticità del messaggio. Mittente e contenuti fanno riferimento ad una banca, ad una istituzione per carte di credito, assicurazione, ecc. Tutto è predisposto per l’inganno, soprattutto la grafica che è uguale a quella originale.
• I contenuti del messaggio fanno sempre riferimento a qualche problema, urgenza o novità associata ad un conto corrente, carta di credito, account, ecc.
• L’email propone come soluzione del problema di cliccare un link in modo da intervenire subito per ovviare l’inconveniente.
• Il LINK invece di portare sulla pagina effettiva dell’istituto o organizzazione a cui è legato il supposto problema, porta su una copia fittizia del sito web originale e attiva come applicazione su macchine server controllate dal malvivente (Phisher). Lo scopo è di catturare le credenziali di accesso e usarle per scopi fraudolenti. I dati forniti vengono memorizzati sul server e usati per accessi indesiderati ai beni della vittima.
• I  dati vengono usati per acquisti, trasferimenti di denari o come ponte per attacchi ad altri beni o attacchi futuri. L’attacco va a buon fine a meno che la vittima, avendo compreso di essere stato raggirato, non intervenga immediatamente con il blocco dell’account o del conto corrente.

La pratica del phishing è diventata sempre più subdola e sofisticata. L’email può contenere riferimenti a opportunità di lavoro per le quali bisogna usare delle credenziali di accesso. A volte le proposte nascondono un ulteriore inganno. Chi segue le istruzioni per verificare l’opportunità di lavoro o ne accetta le condizioni si trova a trasferire denaro rubato, trasformandosi da vittima in un riciclatore di denaro sporco. Il malvivente rinuncia a una parte del suo guadagno ma ottiene in cambio la dispersione e la difficile tracciabilità delle transazioni.

A volte l’attacco Phishing viaggia unitamente a malware. Il link malevolo e cliccato malauguratamente dalla vittima porta ad un sito web dal quale viene scaricato sul computer un cavallo di troia capace di attivarsi e provocare danni futuri. Spesso questo tipo di attacco si porta appresso un invito al download di software o di aggiornamenti ad applicazioni presenti sul computer. Una volta scaricati questi software malware spiano le attività dell’utente sul computer andando a caccia di informazioni utili ad accedere a risorse finanziarie online.

L’attacco Phishing non arriva solo con una email ma anche con SMS (SMishing) , un metodo alternativo usato perché ritenuto più confidenziale e capace di produrre l’immediata reazione del destinatario. Questo tipo di attacchi è cresciuto del 400% e continua ad aumentare, soprattutto su piattaforme mobili con sistema operativo Android. Google ha comunque prodotto immediatamente contromisure adeguate. Il messaggio solityamente fa riferimento alla disattivazione di un accont suggerendone l’urgente riattivazione. Chi casca nella trappola si trova i suoi dati di accesso rubati e probabilmente immediatamente usati.

Una tattica di phishing simile si appoggia su Dropbox e l'uso spesso superficiale fatto da molte persone che usano il servizio senza dedicare alcuna porzione di tempo per la lettura delle informazioni fornite a supporto della configurazione e della sicurezza.

Il ricorso a Dropbox dei Cybercriminali nasce dal fatto che l'accresciuta attenzione dell'utente alla sicurezza ha ridotto il numero di download dall'inteno di email. Con Dropbox il download viene fatto direttamente dal Phisher usando il servizio Dropbox in Cloud computing. Drpbox viene usato per condividere con i proprietari della cartella link a software maligni. Anche in questo caso la prima difesa è non cliccare sul link e non aprire il file a meno che non si sia l'assoluta certezza e fiducia sul mittente. Nell'incertezza è possibile inviare il link ad un amministratore per chiedere una verifica del file.

La componente psicologica del Phishing

CONSIGLIATO PER TE:

Il senso della vita

La pericolosità del phishing dipende principalmente dalle reazioi psicologiche della vittima. La conoscenza di questi aspetti psicologici sembrano essere meglio conosciuti dai malviventi digitali cha da coloro che suggeriscono e predispongono strumenti e tattiche di difesa. Alcune di queste non funzionano, suggeriscono pratiche alternative e attività finalizzate alla formazione.

La vulnerabilità del consumatore risiede principalmente nelle cose in cui crede. Disporre di queste informazioni significa riuscire a comunicare con loro in modo tale da superare la loro difesa, acquisire la loro fiducia solitamente concessa a certi marchi o mittenti, per portare a compimento un attacco. Protezioni di tipo tecnologico non sono sufficienti se e quando l’email di phishing viene consegnato, aperto e letto. A quell punto subentrano reazioni emotive e psicologiche che richiedono bel altre forme di protezioni e difese.

Molte aziende che vengono usate dai Phisher pe ri loro attacchi come le banche e le assicurazioni, usano accorgimenti di tipo grafico o tecnico (la visualizzazione di certificate o icone particolari sulla pagina web) che possono essere facilmente copiate n ache non hanno effetto se l’utente non le vede o si muove online guidato da processi e motivazioni psicologiche che determinano il modo con cui navigano e condizionano la percezione cognitive delle informazioni a video, comprese quelle usate per afermare la credibilità di un sito o pagina web.

Molti attacchi vanno a buon fine perchè gli utenti non conoscono il funzionamento degli oggetti, software e hardware, tecnologici In loro possesso, ma soprattutto per la loro disattenzione e limitata percezione visuale di quello che vedono (guardano) a video. Ne derivano decisioni sbagliate, scarsa attenzione alle norme sulla sicurezza e difficoltà a riconoscere legittimità e autenticità di una email.

Le caratteristiche psicologiche di ogni individuo condiziona le reaioni ai vari stimoli contenuti da un email di phishing facilitando o impedendo di diagnosticare correttamente l'autenticità di un messaggio e la potenzialità del rischio.

Elementi capaci di attrarre l'attenzione e di generare stimoli utili a fare delle scelte sono:

• errori grammaticali, di vocabolario o sintattici
• l'assenza di una firma e l'indicazione di una semplice posizione lavorativa (es. Direttore Marketing)
• email che chiedono espressamente di non replicare
• grafica e design poco professionale

• oscurità e composizione dgli URL

Fonte: http://markus-jakobsson.com/

I problemi nascono su altri fronti, tipicamente determinati psicologicamente come:

• viene data più importanza alla rilevanza del contenuto che alla sua autenticità. Se l'email contiene la promessa di un guadagno lo stimolo ad una azione imemdiata è forte, soprattutto se non viene chiesta subito una password ma vengono fornite delle informazioni. Il problema è solo rinviato di poco, il phosher ha nel frattempo conquistato la fiducia dell'utente
• l'individuo si affida in genere a comunicazioni personalizzate. Molti email di phishing sono sempre più portatori di messaggi che contengono riferimenti personali per aumentare lo stimolo alla fiducia. Maggiori sono le informazioni percepite come personali e note e maggiore è lo stimolo a prendere per autentico l'email e a cliccare un link o a scaricare un file
• icone e immagini sono efficaci nel catturare l'attenzione ma non contribuiscono a comunicare autenticità e a stimolare fiducia
• l'invito a fareuna telefonate per verificare l'autenticità di un messaggio aumenta lo stimolo a concedere fiducia e a credere alla validità della fonte o canale di comunicazione

Tipologie diverse di Phishing

• Phishing: punta ad acquisire informazioni sensibili e credenziali di accesso attraverso l'invio di email con link che puntano a pagine web fasulle
• Spear phishing: attacco diretto direttamente a individui spcifici o aziende
• Clone phishing: l'uso di email legittimi e originali spediti da un utente contenenti degli allegati che vengono ripresi per creare dei cloni quasi identici. Il file allegato può avere lo stesso nome dell'originale ma contenere il malware o viris phishin. Il fatto che il destinatario conosc a il mittente diventa una spinta forte al download e all'apertura del file allegato.
• Wailing: attacchi diretti a dirigenti d'azienda e personaggi importanti
• Rogue WiFi(MitM): attacchi ai punti di accesso Wi-Fi

Perché bisogna temerlo

Il Phishing rimane uno dei più pericolosi rischi che un semplice consumatore o una azienda possano oggi incontrare nell’utilizzo di tecnologie dell’informazione. Il Phishing cresce ogni anno di percentuali elevate (+12% - +19% per anno) con danni calcolati in due miliardi di dollari di perdite annuali.

La pericolosità dipende dalla facilità con cui è possibile organizzare degli attacchi e l’elevata possibilità che funzionino. Non è necessario essere degli hacker geniali per confezionare un attacco di questo tipo. In fondo si basa molto sulla superficialità e disattenzione dell’utente e sulla sua scarsa conoscenza della tecnologia di Internet e su come funziona.

Le email contenenti potenziali link di Phishing sono state calcolate in quasi 200 milioni al giorno. Molte vengono fermate da filtri anti-spam e firewall ma quasi il 10% riesce a raggiungere la casella postale dell’utente. Di queste il 50% viene aperto e circa 800.000 persone si lasciano convincere a cliccare su uno dei link forniti. 800.000 al giorno!!!

Per difendersi e non diventare un membro della comunità degli 800.000 è necessario aggiornarsi in continuazione per acculturarsi sui nuovi metodi usati e sui trucchi inventati per superare o spezzare le barriere psicologiche delle persone e indurle al CLICK malevolo! Solo la conoscenza permette di difendersi e agire proattivamente per evitare nuovi attacchi e perdite di denaro.

Da dove arrivano gli attacchi

La pratica del Phishing sembra non avere più confini e interessare un numero crescente di siti web. (per saperne di più è sufficiente visitare la pagine dell’Anti-Phishing Working Group (APWG)

La maggior parte degli attacchi sembrano essere originati dalla Cina (70% degli attacchi). La loro pericolosità sta nel loro essere organizzati, gestiti da veri e propri gruppi criminali, spesso legati a organizzazioni governative. Molti di questi attacchi sono diretti ad aziende e finalizzati al furto di dati. Gli attacchi prediligono server virtuali condivisi, usati per infettare i numerosi domini solitamente in essi contenuti.

Numerosi attacchi di tipo Phishing hanno una provenienza russa o da altri paesi dell'este europa ma nel 2013 Google ha individuato anche una metodoologia di attacco phishing su account e prodotti dell'azienda.

Il Phishing ama le stagioni dei saldi e le festività

Ch pratica il Phishing sembra conoscere molto bene la psicologia dei consumatori, le loro abitudini e i loro processi decisionali di acquisto. Non c’è da meravigliarsi quindi nel constatare come gli attacchi Phishing siano concentrati nei periodi delle fetsovità Pasquali o Natalizie e nei periodi degli sconti e dei saldi.

Le vittime diventano tali perché sono prima di tutto vittime della loro golosità o urgenza di entrare in possesso di nuovi beni di consumo. L’urgenza del bisogno li spinge ad abbassare la guardia, a dimenticare ogni forma salutare di lentezza e a lasciarsi trascinare dalla voglia di concludere una transazione. Nel farlo cala l’attenzione sui contenuti delle email, aumenta la disponibilità a cliccare anche su link poco affidabili e si diventa più facilmente preda di attacchi subdoli, per preparati, pianificati e gestiti.

Fare regali è una buona idea, risparmiare su prodotti scontati per acquistare beni personali ancora di più , ma farsi imbrogliare nel farlo lascia il conto corrente in rosso e molta rabbia e frustrazione.

Attacchi capaci di sfruttare la paura di risparmiatori e investitori

Molti attacchi phishing sfruttano in modo intelligente la paura di molti risparmiatori legata al lungo periodo di crisi economica. Qualsiasi messaggio di allarme sui loro risparmi o investimenti diventa un richiamo ad intervenire urgentemente per cercare di porre rimedio a un potenziale rischio o problema. L’urgenza e la reazione emotiva finiscono però per provocare danni e mettere realmente a rischio conti correnti, risparmi e asset finanziari.

Il tutto nasce dall’insicurezza che governa molte scelte individuali e dai timori di perdere le proprie risorse a causa di eventi imprevedibili e negativi. Prima di regaire d’impulso e cliccare forse converrebbe fare una telefonata e parlare direttamente con un impiegato di banca!

Alcuni degli attacchi del 2014

Gli attacchi appaiono spesso tra loro simili ma il pericolo si nasconde nei dettagli. L'attenzione non è mai troppa soprattutto se si prende visione delle modalità con cui sosno stati sferrati alcuni attacchi Phishing durante il 2014:

• attacchi portati a termine attraverso email che chiedono di cliccare un determinato link per scaricare un FAX
• .NET Keylogger: attacco portato con un allegato in formato .ZIP contenente software capace di rubare credenziali di accesso memorizzate in un browser e altri media sociali
• Email che appaiono spediti da un legale che agisce come avvocato di una causa intentata da un vicino di casa. La curiosità è tale da portare al download di un file .ZIP con inevitabili consegenze possibili, per chi lo ha scaricato, non pe il vicino....
• Phishing di tipo Ransom: l'attacco installa una variante del ransomware Cryptolocker che fa scattare il ricatto e la richiesta di pagamento

Fonte: http://phishme.com/

• email con allegati PDF conetenti condice maligno e difficilmente individuabile da antivirus
• email il cui mittente è l'ufficio delle entrate he chiede controlli o pagamenti urgenti
• email con file .zip che contengono uno screen saver
• utilizzo di cartelle Dropbox
• varianti dell'email phishing noto come Dyre

Le numerose ricorrenze degli attacchi sembrano utilizzare solo varianti della tattica Phishing standard. Un segnale positivo per il futuro ma anche un richiamo a mantenere alta la guardia e sempre alleratata l'attenzione con l'obiettivo di riconoscere nei dettagli la malignità dell'attacco.

Come difendersi

Difendersi dal Phishing non è semplice. Non esistono soluzioni definitive  o regole valide per ogni situazione. Le aziende interessate dagli attacchi come Banche, Assicurazioni, Carte di credito, ecc. possono intervenire in modo da rendere sicuri i loro server e i loro domini, introducendo certificati di sicurezza sofisticati e potenti finalizzati ai processi di autenticazione degli accessi ad un dominio. Questi certificati sono pensati per dare maggiori garanzie all’utente sull’autenticità del dominio e delle pagine web in cui si trovano a navigare. Questi certificati provvedono a crittografare le transazioni

Alcune buone pratiche per una difesa efficace:

• fare attenzione allo spam, se si apre il file meglio non attivare alcun link o download senza aver prima verificato autenticità e conoscibilità del mittente e soprattutto se l'email non è personale

• comunicare informazioni personali solo attraverso siti web considerati sicuri o via voce tramite un dispositivo telefonico. Nella fase di transazione verificare sempre se è attivo il lucchetto di sicurezza e presente la dicitura HTTPS nell'URL (S sta per sicuro). Mai comunicare informazioni in telefonate in arrivo.

• non cliccare su link, non scaricare file o aprire allegati arrivati con email da mitteni sconosciuti
• mai spedire informazioni personali e di tipo finanziario attraverso una email
• fare attenzione a link contenuti in email che chiedono inforazioni personali
• fare attenzione a finestre che si aprono nei browser: non cliccare, non copiare indirizzi web
• proteggere il computer con un firewall, filtri antispam e antivirus
• controllare regolarmente gli accoount bancari per verificare che non ci siano stati attacchi o utilizzi estranei
• nel browser scrivere direttamente un URL o copiare quelli di cui si è giù sperimentata l'autenticità
• ripulire frequentemente la history del browser
• scegliere con attenzione il browser per la transazioni finaziarie
• attenzione alla compilazione di modluli predefiniti inseriti in una email
• non reagire emotivamente e non farsi spaventare facilmente
• non farsi prendere dal panico
• non farsi prendere dalla gola di lauti guadagni promessi o potenziali opportunità di vincere qualcosa

Strumenti per informarsi

Il miglior  modo per difendersi è acculturarsi e tenersi aggiornati sulle costanti novità e evoluzioni delle partiche di Phishing.

Acculturarsi non significa soltanto conoscere meglio come funzionano le praìtiche di attacco del Phishing ma soprattutto come funzionano le applicazioni in rete e quali sono le regole o le abitudini da rispettare/adottare per prevenire e difendersi da attacchi futuri.

Per acculturarsi meglio rivolgersi a strutture specializzate oppure navigare la rete alla ricerca di informazioni utili a dare risposte concrete ai bisogni seguenti:

• conoscenza delle varie tipologie di phishing, tattiche e metodologie di attacco
• comprendere modo di agire del Phisher e prendere consapevolezza dei rischi
• analizzare e visuaizzare esempi di attacchi e come essi si presentano quando vengono inviati
• buone pratiche da apprendere e implementare
• identificare e conoscere link, siti, blog, ecc a rischio
• conoscere cosa fare in caso di attacco subito riuscito

Per segnalare eventuali attachi

Nel commissariato di P.S. online è presente l'ufficio internet gestito dalla polizia Postale e delle Comunicazioni, per ricevere informazioni o fare segnalazioni di reati che avvengono su Internet:, hacking, phishing, e-commerce, bancomat e carte di credito, spamming, pedofilia online, diritto d'autore, telefonia.

pagina per inviare le segnalazioni

Per saperne di più

• http://en.wikipedia.org/wiki/Phishing
• http://phishme.com/
• prevenzione

• Avoiding Social Engineering and Phishing Attacks
• Protecting Your Privacy
• Understanding Web Site Certificates
• Anti-Phishing Working Group (APWG)
• Federal Trade Commission, Identity Theft
• Recognizing and Avoiding Email Scams
• Buone pratiche contro il Phishing