Cos’è il phishing e come difendersi

Da alcuni anni ricevo quotidianamente e-mail da “banche”, con le quali non ho mai avuto rapporti, che mi invitano a seguire il link contenuto nel loro avviso. I messaggi sono principalmente di due tipi. Ci sono le “minacce” che mi avvisano di andare subito nella pagina web suggerita perchè altrimenti mi bloccano il conto (quale conto? se io non ho mai avuto un conto in quella banca?). E ci sono invece comunicazioni di “istituti di credito” che mi avvisano della vincita di un premio in denaro o in natura (che fortuna, ogni giorno vinco un premio!) che potrò ritirare solo dopo aver visitato il loro sito.

Lo so, a questo punto anche voi penserete che sono fortunato, sono un uomo al quale tutti vogliono regalare qualcosa. Mi dispiace deludervi ma in questo caso non sono fortunato così come non sono fortunati i milioni di utenti di internet che ogni girono ricevono messaggi di questo tipo, per non parlare poi della gente che molto spesso cade nella trappola tesa dai criminali che inviano questi messaggi.

Trappola? Si trappola! Questi messaggi sono trappole tese appositamente per fare danni, soprattutto economici, a coloro che sono, incautamente, si lasciano attrarre da promesse di premi o si lascaino intimidire dalle “minacce “. Questa è tutta una grande truffa! Questo è il phishing!

Non sapete ancora che cosa è il phishing? Sembra strano che non ne abbiate ancora sentito parlare, ma dal momento che parlarne ancora una volta è meglio che non parlarne allora vediamo cosa è questo “fenomeno”.

Il phishing è una attività truffaldina che sfrutta lo studio del comportamento individuale di una persona al fine di carpire informazioni (ingenieria sociale o social engineering).

Questa tecnica è utilizzata, quindi, per ottenere l’accesso a informazioni personali o riservate con la finalità del furto di identità attraverso le comunicazioni elettroniche: per la maggior parte messaggi di posta elettronica fasulli ma sono usati anche i messaggi istantanei e i contatti telefonici.

Questi messaggi cercano di ingannare l’utente e portarlo a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc. che andranno in mano a persone che sicuramente non hanno buone inenzioni.

La persona (social engineer) che prepara questi messaggi sa fingere, sa ingannare gli altri, in una parola sa mentire.

Un social engineer è molto bravo a nascondere la propria identità, egli si finge un’altra persona riuscendo riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale.

La metodologia d’attacco

Una metodologia standard di attacco di phishing normalmente si riassume nelle seguenti fasi:

1. l’utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).

2. l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account ecc.).

3. l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione.

4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Talora, l’e-mail contiene l’invito a cogliere una nuova “opportunità di lavoro”, a dare le coordinate bancarie del proprio conto on line per ricevere l’accredito di somme che vanno poi trasferite ad altri conti, trattenendo una percentuale dell’importo, che può arrivare a cifre molto alte. Solitamente, il trasferimento avviene con bonifici gratuiti, sempre via Internet, verso un altro conto on line.

Si tratta del denaro rubato con il phishing, per il quale il titolare del conto on line, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest’attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro in molti conti correnti e a fare girate in differenti Paesi, perchè diviene più difficile risalire al suo conto e dati identificativi.

La difesa

La prima cosa da sapere è che i malintenzionati che attuano il phishing non sanno effettivamente presso quale banca o servizio online il malcapitato utente ha un conto.

Se vi arriva un messaggio fraudolento che sembra un messaggio della vostra banca si tratta solo di una coincidenza; infatti è proprio su questo che si basa il phiser (cioè colui che mete in atto l’attacco).

Il fisher in realtà non sa se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita limitara a fare aspamming inviando lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.

Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell’e-mail che contiene il tentativo di phishing.

Un primo controllo per difendersi dai siti di phishing è quello di visualizzare l’icona (a forma di lucchetto in tutti i browser) che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL). Infatti, copiando il relativo html, si può facilmente imitare la pagina di autenticazione che appare così identica a quella originale mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet.

Esistono programmi specifici e anche liste nere (blacklist), che consentono di avvisare l’utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un’e-mail.

ATTENZIONE!!

E’ buona norma diffidare sempre di chi vi chiede, tramite i vari messagi, di inserire i dati del vostro account (username, password, numero carta di credito) nel sito raggiungibile tramite il link inserito nel messaggio. al 100% quel link non porta la sito della vostra banca ma ad un sito clone.

Tenere sempre presente che le banche o gli altri servizi online non chiedono mai questi dati usando email o messagi del genere.

E’ buona norma, inoltre, non collegarsi mai ai siti delle banche o dei servizi online cliccando sui link inseriti nei messaggi; per collegarsi scrivere sempre l’indirizzo del sito (quello sicuro che già voi conoscete) nella barra degli indirizzi del browser.

ABI – Decalogo Antiphishing

Di seguito si riporta il decalogo stilato dall’ABI per proteggersi dal Phishing:

* diffidate di qualunque e-mail che richieda l’inserimento di dati riservati: la vostra banca non richiedera’ tali informazioni via e-mail.

* e’ possibile riconoscere le truffe via e-mail con qualche piccola attenzione. Generalmente queste e-mail non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali per motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici); fanno uso di toni intimidatori, ad esempio minacciando la sospensione dell’account in caso di mancata risposta; non riportano una data di scadenza per l’invio delle informazioni.

* nel caso in cui riceviate un messaggio contenente richieste di questo tipo, non rispondete via e-mail, ma informate subito la vostra banca tramite il call center o recandovi in filiale.

* non cliccate su link presenti in e-mail sospette, in quanto questi collegamenti potrebbero condurvi ad un sito contraffatto, difficilmente distinguibile dall’originale. Anche se sulla barra degli indirizzi del browser viene visualizzato l’indirizzo corretto, non vi fidate: e’ possibile infatti per un hacker far visualizzare un indirizzo diverso da quello nel quale realmente vi trovate

* diffidate inoltre di e-mail con indirizzi web molto lunghi, contenenti caratteri inusuali

* quando inserite dati riservati in una pagina web, assicuratevi che si tratti di una pagina protetta: queste pagine sono riconoscibili in quanto l.indirizzo che compare nella barra degli indirizzi del browser comincia con https:// e non con http:// e nella parte in basso a destra della pagina e’ presente un lucchetto.

* diffidate se improvvisamente cambia la modalita’ con la quale vi viene chiesto di inserire i vostri codici di accesso allo home banking: ad esempio, se questi vengono chiesti non tramite una pagina del sito, ma tramite pop-up (una finestra aggiuntiva di dimensioni ridotte). In questo caso, contattate la vostra banca tramite il call center o recandovi in filiale.

* controllate regolarmente gli estratti conto del vostro conto corrente e delle carte di credito per assicurarvi che le transazioni riportate siano quelle realmente effettuate. In caso contrario, contattate la banca o l’emittente della carta.

* le aziende produttrici dei browser rendono periodicamente

disponibili on-line e scaricabili gratuitamente degli aggiornamenti (cosiddette patch) che incrementano la sicurezza di questi programmi. Sui siti di queste aziende e’ anche possibile verificare che il vostro browser sia aggiornato; in caso contrario, e’ consigliabile scaricare e installare le patch.

* Internet e’ un po’ come il mondo reale: come non dareste a uno sconosciuto il codice PIN del vostro bancomat, allo stesso modo occorre essere estremamente diffidenti nel consegnare i vostri dati riservati senza essere sicuri dell’identita’ di chi li sta chiedendo. In caso di dubbio, rivolgetevi alla vostra banca.

Vuoi vedere degli esempi di email di phishing? Visita la raccolta completa di quelle che mi sono arrivate in questi ultimi anni.

Cos’è il phishing e come difendersi