Il termine “Phishing” indica un concetto che per qualunque utente della rete non può essere del tutto sconosciuto o nuovo. A meno che abbiate cominciato a navigare in Internet l’altro ieri – anche se fosse così, questo articolo fa al caso vostro ­– avrete avuto modo di confrontarvi con questo fenomeno.

Per esperienza diretta, e secondo quanto riportato in diversi report da Kaspersky, una delle principali firme del mondo della cybersecurity, qualunque utente ha avuto modo di incontrare sul suo cammino questa piaga di Internet. Il nome, derivato da una forma modificata dell’inglese fishing, letteralmente "pescare", richiama, per concetto, l’espressione italiana dell’“abboccare” utilizzata in un contesto di raggiro o truffa.

In questa prima puntata di Pillole di Cybersecurity cercheremo di chiarire il concetto ed esemplificare alcune casistiche tipiche di questo fenomeno malevolo.

• LE BASI DELLA TRUFFA: L'ESCA, LA LENZA, LA CATTURA
• L'ATTREZZATURA DA PHISHING
• L'OCCASIONE FA L'UOMO...PESCE
• RISCHI E POSSIBILI CONSEGUENZE
• CONCLUSIONI: COME DIFENDERSI E ALTRI SUGGERIMENTI

Al Phishing si possono ricondurre diverse definizioni:

• “il tentativo di indurti con l'inganno a condividere informazioni personali online”
• “il più elevato livello di SPAM”
• “la più insidiosa forma di posta elettronica indesiderata”
• “una tecnica illecita utilizzata per appropriarsi di informazioni riservate”
• “un tipo di truffa effettuata tramite Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni”

Riguardo questa pratica possiamo tipicamente individuare tre fasi costanti che, rimanendo nella metafora legata alla pesca, possiamo così sintetizzare:

• Gettare l'esca
• Dare la lenza
• La cattura
  

Gettare l'esca: corrisponde all’attività del malintenzionato che prepara la trappola. La tipologia della vittima può essere casuale, nel caso di attacchi massivi e generalizzati non mirati ad un particolare destinatario, o specifica, in caso di attacchi mirati ad un determinato obiettivo o una categoria di soggetti. Una volta che l’esca è pronta, la trappola scatta quando la vittima abbocca.

Dare lenza: è un’attività tipica delle truffe più elaborate, dove serve “sfiancare” la vittima che non abbocca subito ma presenta delle predisposizioni a cedere.

La cattura: il soggetto che crede, infine, abbocca e fornisce informazioni che lo riguardano a malintenzionati che useranno quelle informazioni per ottenere un illecito guadagno e/o per danneggiare in qualche modo la vittima. Vedremo tra poco alcune possibili situazioni.

Solitamente alla cattura segue il momento in cui il soggetto raggirato prende consapevolezza di essere stato vittima di un’attività fraudolenta.

Gli approdi privilegiati per chi realizza attacchi di phishing sono sostanzialmente quelli che si legano all'esperienza online degli utenti. In particolare: email, SMS, siti web e social.

Email: Il tramite più tipico fra quelli con cui il Phishing svolge la sua attività è rappresentato dalla posta elettronica. Ecco una tabella riepilogativa di alcune situazioni tipo:

Naturalmente esistono anche altre tipologie o situazioni in cui le casistiche precedenti vanno a incrociarsi per aumentare la possibilità di riuscita.

SMS: nell’era dei social e dei sistemi di messaggistica l’uso di strumenti quasi dismessi torna ad essere una fonte di rischio: proprio dove l’attenzione cala, lì si annida l’insidia.

SMS con inviti a cliccare su link per conferme di prenotazioni, annullamenti di consegna oppure perfino per sentire sedicenti messaggi in segreteria hanno, tendenzialmente, lo scopo di individuare una futura vittima di ulteriori attacchi o aggredire il credito residuo della SIM portando la vittima a chiamare numerazioni a pagamento.

Non sono inusuali finti SMS di consegne di pacchi, prenotazioni inesistenti con richiesta di conferma o di annullamento, sms informativi da finti istituti di credito o da poste con comunicazioni di sedicenti blocchi.

Siti web: esistono siti dalla parvenza istituzionale, realizzati con lo scopo di far provare un senso di sicurezza a colui che ha raggiunto quell’indirizzo magari cliccando distrattamente su di un link presente in e-mail.
Diffidare sempre dei link forniti e svolgere una ricerca autonoma è un buon modo per non incappare in queste trappole.

Social: tramite account finti, creati ad arte, contatti diretti da account fasulli, pubblicità dall’aspetto di notizie, notizie finte, “catene di sant’Antonio” i criminali riescono a raccogliere informazioni sui soggetti che possono poi servire a sferrare attacchi sempre più diretti ed efficaci per carpire informazioni e talvolta soldi alle vittime.

Effetto “Eco” o del “Pescatore ignaro”: un esempio tipico è quello del “re-posting” o del “messaggio inoltrato” da parte di soggetti ben intenzionati. Ecco un racconto esemplificativo. Nel rettangolo trovate una storia Instagram pubblicata dal buon Federico.

Suggerendo di rispondere, come lui stesso ha fatto, Federico crede di agire per il bene, da qui la forza del suo messaggio persuasivo, tuttavia rispondere all’SMS può confermare all’attaccante che quel numero appartiene ad un soggetto pronto a rispondere a “stimoli” di numeri che non conosce.

È sempre opportuno un controllo tramite canali ufficiali e mai chiamando il numero mittente.

Chiamate Vocali: tecnica “vecchia scuola” ma come gli SMS torna in auge nel momento in cui la soglia di attenzione si abbassa. I malintenzionati, spesso spacciandosi per fornitori di servizi di telefonia e rete internet o come operatori di banca e poste, cercano di prendere contatti con la vittima e ottenere informazioni preziose o accessi informativi (a PC con controlli remoti o direttamente a username e password) da poter riutilizzare.

Come emerge da diverse indagini realizzate dai ricercatori di sicurezza di Kaspersky su numerose campagne di phishing, a prescindere dalla tecnica utilizzata, c’è un denominatore che accomuna un po' tutti i tentativi di phishing e le truffe online in genere: la volontà di colpire l'utente sfruttando le sue debolezze, anche a livello commerciale.

Novità, offerte e promozioni generose sono spesso utilizzate per fare breccia fra gli utenti. E lo dimostrano tutte quelle campagne malevole - condotte via mail, ma non solo - che hanno per oggetto la possibilità di aggiudicarsi facilmente premi di carattere tecnologico, iPhone in primis.

Gli attacchi di questo genere sono utilizzati in molti modi e per diversi scopi, per indurre gli utenti incauti a visitare un sito e inserire le proprie informazioni personali. Possono riguardare, in questo caso, le credenziali finanziarie come le password dei conti bancari o i dettagli della carta di credito, o ancora i dati di login agli account dei social media.

Come si vedrà nel paragrafo successivo, se sottratte, queste informazioni possono essere sfruttate per condurre diverse operazioni illecite, come il furto di denaro o la compromissione delle reti aziendali. Per questo motivo, il phishing è un metodo molto diffuso per avviare un’infezione. Inoltre, il phishing è un metodo di attacco efficace perché è praticato su larga scala. I criminali informatici aumentano le loro possibilità di carpire le credenziali di vittime ingenue inviando numerose email a nome di istituzioni legittime o promuovendo pagine false.

Dal Phishing possono derivare conseguenze spiacevoli dirette o indirette.

Conseguenze dirette: a seconda della tipologia di informazioni diffuse possono derivare:

• Furti di identità da cui possono seguire attività, come ad esempio, intestazione di fatture, consegne indesiderate, o persino sostituzione di persona;
• Perdite economiche dirette, nel caso sia stato comunicato il numero di carta di credito o si sia pagato per un prodotto o servizio inesistente;
• Ulteriori tentativi di truffa. Ormai i criminali associano all’utenza, o al nome e cognome della vittima, un soggetto che se adeguatamente “sfiancato”, può cadere in una trappola;
• Estromissione dall’accesso a determinati servizi, nel caso venissero compromesse credenziali di accesso come username e password dei siti internet o della posta elettronica.

Conseguenze indirette: le informazioni accessorie raccolte dai criminali possono servire a colpire, ad esempio, i componenti della cerchia sociale. Possono scaturire:

• Comunicazioni inviate a nome della vittima a parenti o colleghi;
• Richieste di informazioni fatte a nome del raggirato;
• Danni reputazionali legati a pubblicazione di contenuti inappropriati su social network;
• Frizioni o diminuzione della fiducia sul posto di lavoro;
• Raggiri a danno di soggetti deboli (minori e anziani) o non “digitalmente alfabetizzati” con una soglia di resistenza più bassa di quella della vittima stessa.
  

Questi sono solo alcuni esempi delle conseguenze, più o meno gravi, che nascono tutte da un attacco di Phishing.

Come risulta evidente, il Phishing è un’attività subdola e solo parzialmente legata al mondo tecnologico. Il punto su cui fa leva questa metodologia è sempre una caratteristica della vittima più che lo strumento da lei utilizzato. Si voglia per stanchezza, per disattenzione, per eccessiva bontà d’animo, per estrema ingenuità, per pigrizia o per mancata formazione ci sono dei momenti o dei contesti in cui il rischio di abboccare ad un tentativo di Phishing aumenta.

Insomma, spesso non si tratta solo di poca conoscenza o di poca attenzione alle regole basiche della cybersecurity. A volte il cervello dell’utente funziona in un modo un po’ diverso rispetto a come vorrebbero i guru della sicurezza IT, soprattutto quando si lasciano trarre in inganno dalle tecniche di ingegneria sociale.

Come spiegato in un articolo pubblicato da Kaspersky sul tema, l’ingegneria sociale si avvale della sociologia e della psicologia per elaborare delle tecniche, grazie alle quali si crea un ambiente che porta a un risultato predeterminato. I cybercriminali fanno leva sulle paure delle persone, sulle loro emozioni e sui riflessi per ottenere accesso a informazioni da utilizzare per i propri scopi. E questa sorta di “scienza” viene ampiamente applicata nella maggior parte degli attacchi mirati moderni.

La più forte difesa che si può utilizzare contro questa attività deriva dal nostro atteggiamento individuale e dalla nostra attenzione.

Cerchiamo di essere la difesa migliore per noi stessi e per la nostra cerchia sociale usando ragionevole diffidenza e gli strumenti tecnologici idonei – come quelli indicati in alcuni articoli qui sotto – ad aumentare ulteriormente la sicurezza dei nostri sistemi pur senza affidarsi esclusivamente a questi.

A tal proposito alcuni utili suggerimenti e approfondimenti di Kaspersky:

• Tecniche di Phishing durante la pandemia
• E-mail phishing
• Consigli sulla prevenzione
• Spear phishing

Contenuto realizzato in collaborazione con Kaspersky