Sono oltre 3,8 miliardi gli utenti di posta elettronica in tutto il mondo (così come risulta da uno studio condotto da The Radicati Group2 secondo cui si potranno superare i 4,1 miliardi nel 2021) ed è per questo che gli attacchi phishing continuano ad essere i preferiti dai criminal hacker.
Secondo la relazione presentata alla 24° edizione del Microsoft Security Intelligence Report (SIR), il phishing nel 2018 è aumentato del 250%.
L’esperienza quotidiana, d’altronde, ci dice che spesso non riusciamo a leggere tutte le e-mail che ci arrivano. Tante pubblicità, tanto spam e tante fake (news), che con un po’ di dimestichezza si riesce a catalogare e scartare all’occorrenza.
Ci sono, però, quelle e-mail che ci risultano a prima vista importanti o interessanti, in particolare quelle provenienti da banche, poste, assicurazioni, Agenzia delle Entrate, Inps e tanti altri Enti della Pubblica Amministrazione.
Indice degli argomenti
Attacchi phishing: come funzionano
Per tanti di questi messaggi, la rappresentazione grafica è talmente familiare che spesso si cade nel tranello della loro falsificazione, se si è un po’ distratti o superficiali.
È il primo punto di forza del phishing: un fenomeno di truffa informatica che consiste nel sottrarre i dati di autenticazione (principalmente nome e password) facendoli inserire all’utente stesso in una pagina falsa di un servizio che il destinatario usa realmente.
Il termine phishing, infatti, è una variante di fishing (letteralmente “pescare” in lingua inglese) e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari, personali, e password di un utente.
Abboccando alle richieste contenute nell’e-mail si consegnano a siti fraudolenti i propri contatti, l’accesso ai profili digitali e, nel peggiore dei casi, le chiavi d’accesso ai propri conti bancari.
Attacchi phishing: riconoscere le e-mail sospette
Le e-mail rappresentano senz’altro il vettore principale utilizzato dai criminal hacker per condurre i loro attacchi phishing. Per fortuna, con un minimo di attenzione è abbastanza semplice riconoscere le e-mail sospette. Si tratta quasi sempre di messaggi di posta elettronica, o SMS, che riportano un logo contraffatto e invitano il destinatario ad una specifica pagina web per fornire dati riservati, come per esempio il numero di carta di credito o le credenziali di accesso.
Pagine web che somigliano in modo quasi perfetto a quelle vere, tanto da spingere l’utente a cliccare senza esitazione sui link opportunamente posizionati.
Gli hacker sono diventati molto esperti e utilizzano metodi sempre più difficili da smascherare, perché tanto più difficili da riconoscere.
Se riteniamo sospetta un’e-mail ricevuta, controlliamo che l’indirizzo appartenga realmente alla persona da cui sostiene di provenire; ad esempio: se il mittente è Apple, ma l’indirizzo e-mail è XXY@135-apple.com è il caso di stare attenti.
Qualora incautamente dovessimo cliccare su un link, controlliamo bene nella barra del browser di non essere finiti su un indirizzo sospetto.
Anche se simili dal punto di vista grafico alle pagine web originali, spesso il nome del sito presenta minime differenze nell’indirizzo rispetto a quello autentico.
La truffa degli indirizzi sosia
Siti come paypall.com invece di paypal.com, oppure g00gle.com anziché google.com hanno minime differenze nell’indirizzo rispetto a quelli autentici. Sono usati per ingannare gli utenti a cui sfugge la lettera diversa, ritrovandosi a inserire le proprie credenziali di accesso online, che vengono di conseguenza rubate.
Una buona notizia c’è, se si usa il browser Google Chrome. Presto ci si potrà difendere, quasi automaticamente, da queste frodi informatiche grazie a un nuovo strumento. Un’estensione per il browser Chrome che smaschera gli indirizzi sosia.
Si chiama Suspicious Site Reporter e si abilita aggiungendo l’estensione al browser dal web store di Google Chrome.
Viene evidenziata la funzione corrispondente e basta attivarla. Bisogna riavviare il browser per fare in modo che entri in funzione. Quello che fa è banale, ma molto utile: nel momento in cui si cerca di accedere a un sito con un indirizzo “sosia”, ci chiederà se siamo proprio sicuri di volerlo fare.
A questo punto, anche l’utente più distratto andrebbe a leggere bene l’URL, smascherando l’inganno.
Attacchi phishing mirati
I destinatari delle e-mail sono scelti in modo abbastanza accurato. Di solito vengono colpiti gli utenti che generalmente hanno rapporti reali con i veri mittenti.
Il caso di Adobe, per esempio, è emblematico. Un database non protetto, contenente i dati di 7,5 milioni di utenti della suite Adobe Creative Cloud, è rimasto online per circa una settimana. I dati delle carte di credito sono rimasti al sicuro, ma le mail e altre informazioni sono state accessibili.
Adobe ha allertato gli utenti che avrebbero potuto essere soggetti a mail di phishing mirato contro gli abbonati. “I truffatori potrebbero fingersi dipendenti di Adobe o di una società collegata e indurre gli utenti a consegnare ulteriori informazioni, come le password”.
Facendo un po’ di attenzione, si può notare (è evidenziato nell’immagine) come vi siano almeno due anomalie: il lessico non corretto “riavviare” e l’errore grammaticale “il informazioni”.
È fondamentale leggere bene il testo delle e-mail che si ricevono e ricercare forme di linguaggio scorrette e/o errori grammaticali.
Le e-mail fasulle mostrano come oggetto “Trasmissione Atti INAIL…” e l’allegato PDF che riproduce la carta intestata indica un IBAN che non appartiene all’ente. Si tratta quindi di una truffa. INAIL ha ricordato infatti che la procedura normalmente impiegata per questo tipo di comunicazioni avviene tramite PEC provenienti dal dominio “postacert.inail.it” e, come tutte le PEC, sono corredate dal certificato che identifica la firma digitale del gestore.
Il caso INPS. Anche l’INPS è protagonista, senza alcuna responsabilità, di una campagna phishing che tenta con l’inganno di sottrarre informazioni sensibili ai cittadini. Si sono verificati tentativi fraudolenti di richiesta di dati attraverso invio di e-mail o telefonate.
In particolare, INPS segnala che alcuni utenti hanno ricevuto un’e-mail contenente l’invito ad aggiornare le proprie coordinate bancarie affinché l’Istituto potesse procedere con l’accredito di un fantomatico bonifico. E, come se non bastasse, pare che vengano effettuate chiamate da finti operatori telefonici INPS che domandano “dati relativi alla propria posizione nell’ambito di soggetti di diritto privato, come società o associazioni”.
L’invito quindi è di non dar seguito a nessuna richiesta pervenuta tramite mail ordinaria, telefono o porta a porta.
I messaggi dietro i quali si nascondeva questa frode erano molteplici: in alcune e-mail si comunicava alle vittime che stava per essere disattivato il conto corrente, in altre che c’era un accredito in sospeso oppure era in corso la manutenzione delle misure di sicurezza.
In ogni caso si richiedeva di inserire i propri dati, numeri delle carte di credito e codici di accesso a conti online.
Il team di sicurezza informatica di UniCredit ha identificato un caso di accesso non autorizzato a dati relativo a un file generato nel 2015. Questo file conteneva circa 3 milioni di record, riferiti al perimetro italiano, e risultava composto solo da nomi, città, numeri di telefono ed e-mail. In una nota della banca si legge che nell’accesso non autorizzato a file Unicredit “non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l’accesso ai conti dei clienti o l’effettuazione di transazioni non autorizzate”.
UniCredit ha immediatamente avviato un’indagine interna e ha informato tutte le autorità competenti, compresa la polizia. Contestualmente ha contattato, esclusivamente tramite posta tradizionale e/o notifiche via online banking, tutte le persone potenzialmente interessate.
Canali di attacco
Non esiste un solo tipo di attacco di phishing, oltre ai messaggi possono essere diverse anche le piattaforme e i canali utilizzati.
Il phishing informatico, è quello trattato fino ad ora, ed è il caso “classico”. Attraverso una normale email, sotto forma di messaggio spam che sembra provenire da aziende, siti autorevoli o addirittura da enti pubblici, si cerca di entrare in possesso dei dati sensibili dell’utente.
Questa è la tecnica più diffusa per portare a termine un attacco di phishing, ma ne esistono altre, meno frequenti ma pur sempre efficaci. Ad esempio, lo spear phishing, realizzato mediante l’invio di email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è ottenere l’accesso ad informazioni riservate di tipo finanziario, segreti industriali, di stato, o militari.
Il phishing via WhatsApp e Facebook è una evoluzione inevitabile, data la popolarità dei social network: anche WhatsApp e Facebook sono diventati un terreno fertile per tentativi di phishing, meglio non fidarsi dei messaggi sospetti che circolano nelle chat.
I più comuni si nascondono dietro a finti buoni sconto per il supermercato, abbonamenti per poter continuare utilizzare la stessa applicazione di WhatsApp o usufruire di servizi premium. Rispetto a quelle via e-mail, queste truffe possono trarre in inganno con più facilità, perché condivise nelle chat di conoscenti, amici e persone fidate. Aprendo i link fasulli, il cellulare può essere infettato da un virus che inoltra il link compromesso a tutti i contatti.
Il phishing telefonico o via SMS (conosciuti, rispettivamente, anche con i nomi di vishing e smishing) utilizza un canale forse più diretto, si ricevono chiamate o SMS da numeri sconosciuti che chiamano per conto di un’azienda formulando la richiesta di fornire dei dati. Anche se il motivo della telefonata può sembrare plausibile, il consiglio è di riagganciare e chiamare il numero ufficiale dell’azienda, per chiedere conferma di quanto avvenuto.
I consigli per difendersi dagli attacchi phishing
Il consiglio più banale è di non fornire informazioni sensibili al telefono, e non fidarsi mai di mail ordinarie che contengono link. Meglio controllare i propri account direttamente sui siti ufficiali.
E poi seguire alcune semplici precauzioni così riassunte:
- occhio agli errori. Nei casi di phishing più grossolano, le e-mail contengono errori ortografici, o piccole storpiature nel nome del presunto mittente. In ogni caso il reale indirizzo da cui provengono queste e-mail è differente da quello ufficiale.
- non credere alle urgenze. È uno dei fattori sui quali il phishing fa maggiormente leva: un pagamento in sospeso da saldare immediatamente, un premio da ritirare a breve o il rischio di perdere un account se non si paga subito. Quando un’e-mail ti mette fretta, il rischio che sia una truffa è alto.
- attenzione agli allegati. Quando sono presenti allegati con estensione dei file inusuale, o non previsti, è bene prestare molta attenzione. In questo caso, oltre al semplice phishing, potrebbero nascondersi virus dietro quei file.
- nessuno regala niente. Le e-mail che annunciano vincite di denaro, o qualsiasi tipo di premi, sono quasi sempre fasulle. Uno smartphone in regalo, l’eredità di un lontano parente o la vincita alla lotteria dovrebbero suonare sempre come un campanello d’allarme.
Nonostante tutto, perché il vecchio trucco del phishing resiste alle tecnologie anti-phishing? Perché qualunque tecnologia non può sopperire in modo completo alle incompetenze umane.
