Tempo di lettura stimato: 5'
Il phishing è l’applicazione delle tecniche di Social Engineering al mondo dell'informatica. Attraverso e-mail e siti fasulli, l’aggressore induce la vittima a fare qualcosa che non dovrebbe fare: dare le credenziali della banca, lasciare le proprie password, cliccare e scaricare un allegato malevolo.
Phishing, spear phishing e whatering hole
Esistono diversi tipi phishing, di questi, il phishing comunemente detto e lo spear phishing sono i più comuni, a cui si aggiunge un terzo tipo di attacco: il whatering hole. Vediamoli uno per uno.
Phishing: la pesca a strascico
Il phishing è un attacco in cui viene inviata una grande quantità di mail generate da dei computer. Gli indirizzi vengono raccattati in Rete – a volte a casaccio - e poi vengono mandate le mail con la logica della pesca a strascico. Chi manda queste mail non ha un obiettivo. Butta la rete e ha interesse a che qualche pesce ci caschi. Sono numeri interessanti: circa il 10% delle persone apre le mail di phishing e più dell’1% clicca sull’allegato o sul link malevolo.
L’1% di 1 milione è 10.000: quindi l’attacco ha una sua redditività.
Spear phishing: la pesca con la fiocina
Nel caso dello spear phishing, l’attaccante mira a fiocinare un certo pesce: ha un obiettivo ben preciso. Si studia la vittima, le sue abitudini, la sua cerchia familiare e aziendale, poi manda una mail mirata (una mail scritta da una persona) usando informazioni vere e credibili. Quindi usa un’esca, che ha un’efficacia maggiore rispetto al phishing generato dal computer. Il mittente conosce chi riceve la mail ed è davvero molto difficile capire se si tratta di una mail vera o finta.
Ecco i 5 siti che gli hacker vanno a controllare prima di un attacco, cioè dove raccolgono le informazioni:
1 – Google
2 – LinkedIn (perché si possono raccogliere un sacco di informazioni personali e aziendali e capire qual è l’organigramma di un’azienda)
3 – Instagram
4 – Tinder
5 - haveibeenpwned? (tradotto: "sono stato violato?")
Sul punto 5 è bene dire qualcosa di più: quando qualcuno viola un sito e ruba i dati, con questi dati vuol farci soldi. Li mette in vendita e finiscono nel Dark Web. Se, inserendo la nostra mail in haveibeenpwned?, vediamo non è tra i 10 miliardi di pawned account, bene. Ma molto più probabilmente la nostra mail rientrerà tra quelle violate. Vuol dire che la nostra e-mail si trova in un archivio pubblico sul Dark Web con una password usata realmente. Se quella password viene riutilizzata per più account, l’attaccante farà il “credential stuffing” – inserisce le credenziali in diversi servizi - con ottime probabilità di entrare.
Attenzione - Se la mail risulta pawned non significa che hanno bucato la casella di posta. Significa che quella mail è in giro per il Dark Web, qualcuno la conosce, insieme alla password collegata. Il consiglio è di cambiare tutte le password associate a quella mail.
Whatering hole: l’abbeveratoio
Il richiamo qui è alla pozza d’acqua nella savana che attira le gazzelle in grandi gruppi. Il leone si apposta vicino alla pozza e quando arrivano le gazzelle, le sbrana. Col whatering hole, i criminali infettano i siti più visitati dalle loro potenziali vittime. Qui è la vittima ad andare sul sito infetto e non chi attacca a sollecitare la visita con una mail. Sono gli attacchi più subdoli e difficili da individuare.
Funziona così: l’utente si trova in un sito compromesso, clicca qualcosa, viene ricaricata la pagina, l’utente crede di essere sempre sullo stesso sito, ma in realtà c’è un redirect verso un’altra pagina presente in un sito malevolo, che scarica il malware sul computer dell’utente.
Quando si navigano i siti è importante fare attenzione a dove si clicca, soprattutto quando compaiono delle finestre. Il malware si scarica cliccando sul pulsante chiudi la finestra o su qualsiasi comando. L’utente pensa di chiudere, ma finisce in un’altra pagina infetta. In questi casi è meglio chiudere la pagina del browser. Se non si chiude, digitare CONTROL+ ALT+CANC per uscire dall’applicazione.
Attenzione ai link: gli attacchi omografici
Sono un’altra modalità con cui è molto facile ingannare le persone. Per esempio, i 2 link che seguono non sono la stessa cosa:
- https://account.google.com/ServiceLogin
- https://account.google.come.ServiceLogin.it/
Il primo è un link è autentico, il secondo è potenzialmente malevolo. Cosa succede? Uno pensa di essere sul sito di Google, ma in realtà è sul dominio ServiceLogin.
I criminali creano domini del tutto simili a quelli reali – ma che in realtà sono malevoli - utilizzando caratteri cirillici, greci, numeri al posto delle lettere (zero al posto della O, la L minuscola al posto della i maiuscola). Sono inganni visivi.
Il consiglio è: non seguire mail il link, ma digitare direttamente nel browser il nome del sito in cui si vuole andare. Perché il link potrebbe essere omografico e la pagina di atterraggio molto verosimile.
Se succede e si lasciano le credenziali – per esempio se pensiamo di inserire i dati nel sito della banca o su un sito e-commerce – queste vengono hackerate.
Dobbiamo fare attenzione anche ai siti che hanno l’HTTPS
La dicitura HTTPS sta a significare che il traffico è crittografato. Significa che, se qualcuno dovesse intercettare i dati, non riuscirebbe a leggerli, ma il fatto che il sito viaggia in HTTPS non garantisce che dall'altra parte non ci sia un criminale.
Oggi, sempre di più, i siti che fanno phishing sono in HTTPS. Anche questa tecnica è aumentata col Covid. E non è detto che il primo risultato di Google sia un sito autentico! Alcuni sono fasulli.
Occhio alla PEC!
I criminali informatici sfruttano le nostre debolezze. Quindi attenzione alle PEC false.
Le PEC, che tecnicamente sono sicure, ma, sempre più spesso, vengono usate per attacchi informatici. Come? I criminali scrivono un messaggio in cui l’indirizzo contiene la parola PEC.
Chi lo riceve, legge PEC e apre.
Oppure registrano vere PEC, che differiscono di pochissimo dalla PEC vera di alcune banche, contando sul fatto che, se uno riceve la PEC dalla banca, certamente la apre.
E con questo trucco hanno svuotato dei conti.
Esiste poi una terza modalità: rubare le credenziali della PEC di un altro.
Come è successo con gli avvocati di Roma qualche tempo fa. Sono stati pubblicati i dati di accesso di circa 30.000 PEC di avvocati di Roma. PEC legittime, non falsificate (ma se uno ha i dati di accesso, può usare le PEC per fare phishing). Così Tizio pensa di ricevere la PEC da un avvocato di Roma - cosa lecita – e magari dentro c’è un allegato da scaricare armato con un malware e Tizio ci casca in pieno.
Non solo e-mail: il phishing interessa anche la messaggistica istantanea!
I cybercriminali fanno ricerca e sviluppo
I cybercriminali hanno grafici, psicologi, esperti di pubblicità. Creano e-mail graficamente costruite bene, assolutamente verosimili. Fanno leva sull’urgenza. Il phishing fa leva sull’urgenza.
Ricordiamoci che dietro a ogni cyberattacco c’è sempre un errore umano.
Articolo tratto dall’intervento dell’Ingegnere Giorgio Sbaraglia su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.