Phishing: quando il fattore umano minaccia la sicurezza | Pillole di cybersecurity

18 Novembre 2020 51

Il termine “Phishing” indica un concetto che per qualunque utente della rete non può essere del tutto sconosciuto o nuovo. A meno che abbiate cominciato a navigare in Internet l’altro ieri – anche se fosse così, questo articolo fa al caso vostro ­– avrete avuto modo di confrontarvi con questo fenomeno.

Per esperienza diretta, e secondo quanto riportato in diversi report da Kaspersky, una delle principali firme del mondo della cybersecurity, qualunque utente ha avuto modo di incontrare sul suo cammino questa piaga di Internet. Il nome, derivato da una forma modificata dell’inglese fishing, letteralmente "pescare", richiama, per concetto, l’espressione italiana dell’“abboccare” utilizzata in un contesto di raggiro o truffa.

In questa prima puntata di Pillole di Cybersecurity cercheremo di chiarire il concetto ed esemplificare alcune casistiche tipiche di questo fenomeno malevolo.

INDICE

LE BASI DELLA TRUFFA: L'ESCA, LA LENZA, LA CATTURA

Al Phishing si possono ricondurre diverse definizioni:

  • “il tentativo di indurti con l'inganno a condividere informazioni personali online”
  • “il più elevato livello di SPAM
  • “la più insidiosa forma di posta elettronica indesiderata”
  • “una tecnica illecita utilizzata per appropriarsi di informazioni riservate”
  • “un tipo di truffa effettuata tramite Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni”

Distribuzione geografica degli attacchi phishing nel mondo (Q2 2020)

Riguardo questa pratica possiamo tipicamente individuare tre fasi costanti che, rimanendo nella metafora legata alla pesca, possiamo così sintetizzare:

  • Gettare l'esca
  • Dare la lenza
  • La cattura

Gettare l'esca: corrisponde all’attività del malintenzionato che prepara la trappola. La tipologia della vittima può essere casuale, nel caso di attacchi massivi e generalizzati non mirati ad un particolare destinatario, o specifica, in caso di attacchi mirati ad un determinato obiettivo o una categoria di soggetti. Una volta che l’esca è pronta, la trappola scatta quando la vittima abbocca.

Dare lenza: è un’attività tipica delle truffe più elaborate, dove serve “sfiancare” la vittima che non abbocca subito ma presenta delle predisposizioni a cedere.

La cattura: il soggetto che crede, infine, abbocca e fornisce informazioni che lo riguardano a malintenzionati che useranno quelle informazioni per ottenere un illecito guadagno e/o per danneggiare in qualche modo la vittima. Vedremo tra poco alcune possibili situazioni.

Solitamente alla cattura segue il momento in cui il soggetto raggirato prende consapevolezza di essere stato vittima di un’attività fraudolenta.

L'ATTREZZATURA DA PHISHING

Gli approdi privilegiati per chi realizza attacchi di phishing sono sostanzialmente quelli che si legano all'esperienza online degli utenti. In particolare: email, SMS, siti web e social.

Email: Il tramite più tipico fra quelli con cui il Phishing svolge la sua attività è rappresentato dalla posta elettronica. Ecco una tabella riepilogativa di alcune situazioni tipo:

Naturalmente esistono anche altre tipologie o situazioni in cui le casistiche precedenti vanno a incrociarsi per aumentare la possibilità di riuscita.


SMS: nell’era dei social e dei sistemi di messaggistica l’uso di strumenti quasi dismessi torna ad essere una fonte di rischio: proprio dove l’attenzione cala, lì si annida l’insidia.

SMS con inviti a cliccare su link per conferme di prenotazioni, annullamenti di consegna oppure perfino per sentire sedicenti messaggi in segreteria hanno, tendenzialmente, lo scopo di individuare una futura vittima di ulteriori attacchi o aggredire il credito residuo della SIM portando la vittima a chiamare numerazioni a pagamento.

Non sono inusuali finti SMS di consegne di pacchi, prenotazioni inesistenti con richiesta di conferma o di annullamento, sms informativi da finti istituti di credito o da poste con comunicazioni di sedicenti blocchi.

Siti web: esistono siti dalla parvenza istituzionale, realizzati con lo scopo di far provare un senso di sicurezza a colui che ha raggiunto quell’indirizzo magari cliccando distrattamente su di un link presente in e-mail.
Diffidare sempre dei link forniti e svolgere una ricerca autonoma è un buon modo per non incappare in queste trappole.

Distribuzione delle organizzazioni soggette ad attacchi phishing (Q2 2020)

Social: tramite account finti, creati ad arte, contatti diretti da account fasulli, pubblicità dall’aspetto di notizie, notizie finte, “catene di sant’Antonio” i criminali riescono a raccogliere informazioni sui soggetti che possono poi servire a sferrare attacchi sempre più diretti ed efficaci per carpire informazioni e talvolta soldi alle vittime.

Effetto “Eco” o del “Pescatore ignaro”: un esempio tipico è quello del “re-posting” o del “messaggio inoltrato” da parte di soggetti ben intenzionati. Ecco un racconto esemplificativo. Nel rettangolo trovate una storia Instagram pubblicata dal buon Federico.


Suggerendo di rispondere, come lui stesso ha fatto, Federico crede di agire per il bene, da qui la forza del suo messaggio persuasivo, tuttavia rispondere all’SMS può confermare all’attaccante che quel numero appartiene ad un soggetto pronto a rispondere a “stimoli” di numeri che non conosce.

È sempre opportuno un controllo tramite canali ufficiali e mai chiamando il numero mittente.

Chiamate Vocali: tecnica “vecchia scuola” ma come gli SMS torna in auge nel momento in cui la soglia di attenzione si abbassa. I malintenzionati, spesso spacciandosi per fornitori di servizi di telefonia e rete internet o come operatori di banca e poste, cercano di prendere contatti con la vittima e ottenere informazioni preziose o accessi informativi (a PC con controlli remoti o direttamente a username e password) da poter riutilizzare.

L'OCCASIONE FA L'UOMO...PESCE

Come emerge da diverse indagini realizzate dai ricercatori di sicurezza di Kaspersky su numerose campagne di phishing, a prescindere dalla tecnica utilizzata, c’è un denominatore che accomuna un po' tutti i tentativi di phishing e le truffe online in genere: la volontà di colpire l'utente sfruttando le sue debolezze, anche a livello commerciale.

Novità, offerte e promozioni generose sono spesso utilizzate per fare breccia fra gli utenti. E lo dimostrano tutte quelle campagne malevole - condotte via mail, ma non solo - che hanno per oggetto la possibilità di aggiudicarsi facilmente premi di carattere tecnologico, iPhone in primis.

Gli attacchi di questo genere sono utilizzati in molti modi e per diversi scopi, per indurre gli utenti incauti a visitare un sito e inserire le proprie informazioni personali. Possono riguardare, in questo caso, le credenziali finanziarie come le password dei conti bancari o i dettagli della carta di credito, o ancora i dati di login agli account dei social media.

Come si vedrà nel paragrafo successivo, se sottratte, queste informazioni possono essere sfruttate per condurre diverse operazioni illecite, come il furto di denaro o la compromissione delle reti aziendali. Per questo motivo, il phishing è un metodo molto diffuso per avviare un’infezione. Inoltre, il phishing è un metodo di attacco efficace perché è praticato su larga scala. I criminali informatici aumentano le loro possibilità di carpire le credenziali di vittime ingenue inviando numerose email a nome di istituzioni legittime o promuovendo pagine false.

RISCHI E POSSIBILI CONSEGUENZE

Dal Phishing possono derivare conseguenze spiacevoli dirette o indirette.

Conseguenze dirette: a seconda della tipologia di informazioni diffuse possono derivare:

  • Furti di identità da cui possono seguire attività, come ad esempio, intestazione di fatture, consegne indesiderate, o persino sostituzione di persona;
  • Perdite economiche dirette, nel caso sia stato comunicato il numero di carta di credito o si sia pagato per un prodotto o servizio inesistente;
  • Ulteriori tentativi di truffa. Ormai i criminali associano all’utenza, o al nome e cognome della vittima, un soggetto che se adeguatamente “sfiancato”, può cadere in una trappola;
  • Estromissione dall’accesso a determinati servizi, nel caso venissero compromesse credenziali di accesso come username e password dei siti internet o della posta elettronica.

Conseguenze indirette: le informazioni accessorie raccolte dai criminali possono servire a colpire, ad esempio, i componenti della cerchia sociale. Possono scaturire:

  • Comunicazioni inviate a nome della vittima a parenti o colleghi;
  • Richieste di informazioni fatte a nome del raggirato;
  • Danni reputazionali legati a pubblicazione di contenuti inappropriati su social network;
  • Frizioni o diminuzione della fiducia sul posto di lavoro;
  • Raggiri a danno di soggetti deboli (minori e anziani) o non “digitalmente alfabetizzati” con una soglia di resistenza più bassa di quella della vittima stessa.

Questi sono solo alcuni esempi delle conseguenze, più o meno gravi, che nascono tutte da un attacco di Phishing.

CONCLUSIONI: COME DIFENDERSI E ALTRI SUGGERIMENTI

Come risulta evidente, il Phishing è un’attività subdola e solo parzialmente legata al mondo tecnologico. Il punto su cui fa leva questa metodologia è sempre una caratteristica della vittima più che lo strumento da lei utilizzato. Si voglia per stanchezza, per disattenzione, per eccessiva bontà d’animo, per estrema ingenuità, per pigrizia o per mancata formazione ci sono dei momenti o dei contesti in cui il rischio di abboccare ad un tentativo di Phishing aumenta.

Insomma, spesso non si tratta solo di poca conoscenza o di poca attenzione alle regole basiche della cybersecurity. A volte il cervello dell’utente funziona in un modo un po’ diverso rispetto a come vorrebbero i guru della sicurezza IT, soprattutto quando si lasciano trarre in inganno dalle tecniche di ingegneria sociale.

Come spiegato in un articolo pubblicato da Kaspersky sul tema, l’ingegneria sociale si avvale della sociologia e della psicologia per elaborare delle tecniche, grazie alle quali si crea un ambiente che porta a un risultato predeterminato. I cybercriminali fanno leva sulle paure delle persone, sulle loro emozioni e sui riflessi per ottenere accesso a informazioni da utilizzare per i propri scopi. E questa sorta di “scienza” viene ampiamente applicata nella maggior parte degli attacchi mirati moderni.

La più forte difesa che si può utilizzare contro questa attività deriva dal nostro atteggiamento individuale e dalla nostra attenzione.

Cerchiamo di essere la difesa migliore per noi stessi e per la nostra cerchia sociale usando ragionevole diffidenza e gli strumenti tecnologici idonei – come quelli indicati in alcuni articoli qui sotto – ad aumentare ulteriormente la sicurezza dei nostri sistemi pur senza affidarsi esclusivamente a questi.

A tal proposito alcuni utili suggerimenti e approfondimenti di Kaspersky:

L'autore

Pillole di Cybersecurity è ideato e prodotto da Edoardo Venini, DPO team member per Pubbliche Amministrazioni e aziende private, senior legal/IT Privacy specialist c/o Bassi Del Moro studio legale dell'anno 2020 in Privacy e Cybersecurity per la classifica indipendente del Sole 24ore.

Puoi seguire Edoardo su LinkedIn

Contenuto realizzato in collaborazione con Kaspersky

Il miglior Galaxy del 2020? Samsung Galaxy S20 Plus, in offerta oggi da Mobzilla a 635 euro oppure da ePrice a 719 euro.

51

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Oramyar (ex Ming-Hi-One)

Le famose Poste Italiane sono a questo livello?!

Eugenio Volcov

girano ancora sti cosi ahah?

Eugenio Volcov

pagando ovviamente la consegna bloccata, dando i 2 € a "poste italiane" per consegnargli un iPhone 12 pro mai acquistato. Ovviamente il link per SMS ti rimanda al sito pagamento e non fornisce nessun tracking e info tua :')

Alex

Basta non donate più un caxxo, neppure in chiesa

Yoshi

Basterebbe poco per eliminare lo spam è il phishing.
Perché call center non hanno un ID fisso e facilmente riconoscibile?
Come mai le compagnie telefoniche sono compiacenti e alcune volte in combutta con loro?
Perché possono comprare un tot numero di numeri telefonici utilizzarli e poi comprare gli altri se fanno troppo casino?
La polizia postale cosa sta facendo al riguardo?
Ve lo dico io niente, perché hanno le mani legati dall’alto.
In Wind Tre e quest’estate ci sono stati 14 arresti è stato messo a tacere dei media non si è saputo più niente.

Mario

Che ci pensi il Vaticano!!!!

Mario

Ah vedi!! :DDD

Mario

E' uno schifo.

Mario

Non mi fido di loro.

Mario

Cosi bisognerebbe vivere.

Mario

Come ha fatto?!!!

Mario

Eh diamo ditte cosi rinco?!!!

Oramyar

Che ci pensi il Vaticano!

Sbagli, poi come se li pagano i processi?

Oramyar

E noi diamo soldi a ditte cosi' rincoionte?

Oramyar

Come hai fatto ad averlo per soli 2 euro?!

Oramyar

Cosi' bisognerebbe vivere.

Oramyar

Infatti io non faccio mai offerte in Chiesa durante la Messa.
Non mi fido di loro.

Oramyar

E' uno schifo si!
E ora hanno pure messo Gino Strada a farsi altri soldi in Calabria!

uncletoma

si, ma era colpa dell'amico ;)

Basta non cascarci e donare in prima persona a realtà che si conoscono in prima persona.

Mario
Oramyar

Ah vedi! :D

Kamgusta

Chi ci governa ne è perfettamente a conoscenza.
Non agisce per non inamicarsi l'opinione pubblica, che mai capirebbe un simile gesto.

giovanni cordioli

E comunque fossero solo queste le truffe.
Quandè che qualcuno si degnerà di controllare seriamente i bilanci e la destinazione dei fondi delle migliaia di onuls che lucrano sulla carità, e sul senso di colpa, mostrando le sofferenze di bambini scheletrici o mezzi morti puntualmente a ora di cena?
Fare leva sui sentimenti di anziani spesso poco lucidi e molto in là con gli anni per estorcere denaro che non si sa bene dove poi vada a finire, non equivale forse ad una circonvenzione di incapace?

E' uno schifo!

GiantSpider

Pensavo fossi il mitico vincitore numero 1000... :D

ADeltaX

Identica situazione. E se per sbaglio apri l'email stanne certo che ne arriveranno delle altre.
Un collegamento all'immagine può contenere informazioni riguardanti la tua email (appunto, l'indirizzo email). Siccome non è nella cartella spam, outlook scarica le immagini di default facendo una richiesta al server con un url contenente il tuo identificativo (indirizzo email), così loro sanno che l'indirizzo viene ancora utilizzato e quindi possono spammarti senza fine

giovanni cordioli

A me non mi fregheranno mai, non mi fido manco della mia ombra, e penso sempre male di tutto e tutti

Squak9000
uncletoma

ma infatti lo presi da un floppy su cui un amico aveva messo un videogame :)

Igioz

avoja
solo nell'ultimo mese mi vengono in mente Campari ed Enel...

Zingaro v2.0

/s

Mario

Devono pure vendere loro.

Oramyar

Che Google viene pagata per... chiudere un occhio per cosi' dire.
Devono pur vendere pure loro.

Mario

Ci cascano sempre.
Dare consigli a qualcuno contro il phishing e' esattamente come dare consigli contro il covid.

Mario

Vodkafone?!!!

Mario

Non lo crede nesuno.

Mario

Sempre il covid in mezzo.

Mario

Ahahah, cosi si puo' dire.

Crazy999

conosco diverse "big" che hanno sborsato centinaia di migliaia di euro a causa dei ransomware.

fedeoasis
Oramyar

Ahahahahah cosi' puoi dire che non le hai pagate perche' non le hai viste!

Oramyar

Crisi. Crisi per colpa del covid.

Oramyar

Non ti crede nessuno.

Oramyar

Vodafone?!

Oramyar

Dare consigli a qualcuno contro il phishing e' esattamente come dare consigli contro il covid.
Non serve ad una minkia. Lui ci caschera' comunque.

Mirko

per fortuna che ho rete sicura sul telefono e a casa...

uncletoma

Ultimo virus preso.... boh, anni 90

fedeoasis

Ultimamente su Gmail noto una casella di spam più piena del solito.
Fino a qualche mese fa (si e no un paio), nella casella di spam trovavo per lo più mail buone erroneamente filtrate.
Invece ora abbonda la spazzatura.

PESANTE

Huawei Watch GT 2 Pro: titanio e vetro zaffiro per diventare elegantissimo

La pandemia ha incentivato i pagamenti digitali: è la fine del contante?

Recensione Nubia Watch: molta forma, poca sostanza

Amazon Fire TV Stick e Cube, guida all'acquisto: modelli, differenze e prezzo