Indice dei contenuti
In questa guida ci dedicheremo ad approfondire il concetto di phishing, un tipo di frode effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
L'articolo è diviso in tre parti:
- una parte introduttiva, nella quale ci dedicheremo ad approfondire la definizione di phishing;
- un elenco dei canali utilizzati, in cui passeremo in rassegna le principali modalità con cui il phishing viene oggi veicolato;
- una serie di consigli e best-practices che spiegano come difendersi da una minaccia che, giorno dopo giorno, sta diventando sempre più pericolosa e insidiosa, anche grazie alle moderni tecniche basate sulle capacità di auto-apprendimento (machine learning) di cui i moderni algoritmi che generano le e-mail di "esca" sono sempre più spesso dotati.
Definizione
Come detto nella parte introduttiva di questo articolo, il phishing è un tipo di frode effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. Si tratta dunque di una attività illegale che sfrutta una tecnica di ingegneria sociale (l’inganno operato nei confronti dell’utente) come vettore di ingresso primario.
Sintetizzando, si tratta di una truffa che consiste nell’invio di messaggi ingannevoli con lo scopo di sottrarre agli utenti dati o informazioni di qualsivoglia tipo. Nella maggior parte dei casi questo tipo di frode è veicolata attraverso messaggi di posta elettronica (e-mail), ma può avere luogo anche mediante servizi di instant messaging come SMS, Skype, Whatsapp, e persino telefonate (come avremo modo di vedere).
Il nome phishing, una variante del verbo inglese fishing ("pescare"), sintetizza in modo estremamente efficace questo tipo di pratica illecita attraverso una metafora che investe molteplici chiavi di lettura:
- L'attaccante non seleziona i suoi utenti, ma li "pesca" inviando un gran numero di e-mail a liste di indirizzi presidiati da utenti reali da lui compilate, acquistate o di cui è venuto in possesso;
- Le vittime, così come i loro dati, vengono “pescati” mediante l’utilizzo di un’esca: un messaggio di posta elettronica falso, ma confezionato così bene da sembrare autentico.
- La quantità e la qualità di dati che la “pesca” consentirà di raccogliere non è facilmente prevedibile dall’attaccante: potrà essere quantificata soltanto dopo aver analizzato il contenuto della “rete”, ovvero la totalità delle risposte ricevute ovvero delle operazioni/attività effettuate dalle vittime.
Il primo punto di quelli sopra elencati è recentemente stato messo in discussione da un’ulteriore tecnica che si è affermata progressivamente negli ultimi anni e che prende il nome di Spear Phishing: (letteralmente “pescare con lancia”, o meglio con un arpione). Si tratta di una metodologia di Phishing mirato, rivolto cioè ad acquisire i dati di un obiettivo specifico e predeterminato: una azienda, un’organizzazione, un privato, etc.
A differenza del Phishing, lo Spear Phishing richiede una indagine preliminare della vittima e/o dei suoi utenti: i dati raccolti a seguito di questa operazione vengono poi utilizzati per creare un messaggio “esca” particolarmente verosimile. Queste tecniche “mirate” sono diventate via via più efficaci anche grazie alla grande diffusione dei social network, che consentono all’attaccante di effettuare uno studio analitico della vittima (abitudini, interessi, conoscenze, rete di contatti, etc.) e quindi di confezionare “esche” particolarmente credibili ed efficaci.
Canali utilizzati
Benché il termine phishing sia convenzionalmente utilizzato in riferimento a messaggi di posta elettronica, le e-mail non costituiscono l’unico canale con cui questa tecnica viene veicolata. E’ dunque opportuno identificare le principali tipologie di Phishing in cui, ad oggi, è possibile imbattersi:
- Phishing tramite E-Mail: il phishing tramite e-mail rappresenta il caso più noto e più comune: attraverso una normale e-mail, sotto forma di messaggio spam che sembra provenire da aziende, siti autorevoli (di e-commerce, servizi online, operatori telefonici o banche) o addirittura da enti pubblici (es. Poste Italiane, Agenzia delle Entrate ecc.), l’attaccante cerca di entrare in possesso dei dati sensibili dell’utente. Si tratta della tecnica più diffusa al giorno d’oggi per portare a termine un attacco di phishing e/o di spear phishing.
- Phishing tramite Instant Messaging: il termine instant messaging (abbreviato in IM) è utilizzato per identificare tutti i software e le app per dispositivi mobili che consentono di inviare messaggi privati: parliamo dunque di WhatsApp, Skype, Telegram e così via. Nella maggior parte dei casi, il phishing via IM è basato sull’invio di falsi buoni sconto per il supermercato, richieste di sottoscrizione ad abbonamenti truffaldini o descritti come “necessari” per continuare a utilizzare un servizio gratuito o regolarmente pagato secondo i legittimi canali di acquisto/rinnovo, e così via.
- Phishing tramite Social Network: il phishing tramite social network è per molti versi simile al phishing tramite instant messaging, in quanto è anch’esso basato su buoni sconto, proposte di iscrizione a servizi truffaldini, invito a visitare o a registrarsi presso siti-civetta che cercheranno poi di acquisire i nostri dati, e così via; la principale differenza rispetto alle metodologie precedenti è che questa tecnica sfrutta una componente psicologicamente molto importante alla base del canale di trasmissione utilizzato, ovvero il social network: il cosiddetto trust level, ovvero il livello di fiducia che l’utente medio attribuisce alle comunicazioni che riceve da determinati canali. Un messaggio truffaldino condiviso da conoscenti, amici o altre persone fidate può sfruttare questo meccanismo inconscio per ottenere agli occhi dell’utente un livello di credibilità maggiore.
- Phishing tramite SMS: anche il servizio di SMS messo a disposizione dagli operatori telefonici è di fatto un instant messaging, e fa dunque anch’esso parte della categoria dei possibili canali di trasmissione di un attacco basato sul phishing: negli ultimi anni è stato addirittura coniato un termine apposito, smishing, per identificare gli attacchi di phishing condotti tramite SMS. Lo smishing può presentarsi con caratteristiche analoghe al phishing tramite IM, ma può anche sfruttare una serie di protocolli del provider per eseguire comandi (apertura di link, download di app, sblocco di determinate funzioni, etc.) direttamente sullo smartphone della vittima, solitamente azionabili eseguendo un link contenuto nel messaggio.
- Phishing tramite telefono: negli ultimi anni è tornata in auge una delle tecniche di phishing più antiche, utilizzata in tutto il mondo per compiere truffe di vario tipo (specialmente a persone anziane) fin da prima dell’arrivo di internet e delle e-mail. Si tratta del phishing tramite telefono, ovvero della truffa compiuta mediante un operatore telefonico, che con la tecnologia moderna può essere eventualmente sostituito da un bot opportunamente programmato, in grado di effettuare chiamate automatiche e “parlare” con voce registrata o con un sintetizzatore vocale. Questo tipo di tecnica ha caratteristiche in tutto e per tutto simili alle precedenti: l’attaccante si identifica come un operatore autorizzato da un’azienda e comincia a richiedere informazioni, adducendo una motivazione plausibile. Questo tipo di truffe si prestano molto bene anche a tecniche di spear phishing: in alcuni casi, specialmente quando truffe di questo tipo sono rivolte a persone anziane o che hanno difficoltà ad orientarsi con il mondo della tecnologia e/o dei servizi digitali, l’operatore può arrivare persino a spacciarsi per un parente, simulandone la voce e/o sfruttando la presenza di disturbi ambientali.
Come difendersi
Gli attacchi di phishing avvengono in modo sempre più sofisticato e credibile: in altre parole, le “esche” vengono confezionate in modo sempre più verosimile, rendendo difficile distinguere il falso dal vero: il rischio di cadere vittima di queste “esche” è particolarmente elevato per chi vive o opera in un contesto caratterizzato da un gran numero di servizi digitali, dove la ricezione di fatture, avvisi di pagamento, questionari di soddisfazione o richieste di invio documentazione è all’ordine del giorno.
Per questo motivo è ormai fondamentale sviluppare dei meccanismi di difesa adeguati, come quelli elencati di seguito:
Errori ortografici
Nei casi di phishing più grossolano i messaggi possono contenere errori ortografici, imprecisioni e/o piccole storpiature: verbi non declinati correttamente, nomi e cognomi scritti in modo non corretto, maiuscole o minuscole invertite, articoli errati o assenti, spaziature eccessive, punteggiatura non corretta, loghi imprecisi o di pessima qualità, etc.; errori di questo tipo sono particolarmente frequenti nei casi in cui i messaggi vengono creati con l’ausilio di automatismi software: tradotte con strumenti automatici, ovvero compilati mettendo insieme informazioni provenienti da tabulati, etc.
Per proteggersi da queste casistiche è fondamentale prestare una grande attenzione alla forma, all’ortografia e alla struttura di qualsiasi messaggio.
Errori logici
Poiché la quasi totalità degli attacchi di phishing viene condotta ignorando gran parte delle informazioni che riguardano la vittima, il mittente è costretto a indovinare gran parte dei dettagli: potrebbe dunque spacciarsi per un operatore di una banca famosa, Poste Italiane, Agenzia delle Entrate, Telecom Italia, o un qualsiasi altro servizio utilizzato da un gran numero di persone, nella speranza di “indovinare” un fornitore con il quale la vittima ha effettivamente dei rapporti; oppure potrebbe adottare una tecnica psicologica opposta, spacciandosi per un dipendente di una piccola realtà (Studio dell’Avv. Bianchi, Commercialista Astori, Farmacia Pirri, etc.), nella speranza di “pescare” una vittima abituata ad avere a che fare con un gran numero di interlocutori di quel tipo e/o a prendere per buone quelle tipologie di mittenti. Per proteggersi da questi tentativi è fondamentale:
-
- Verificare sempre la genuinità del nome e dell’indirizzo e-mail del mittente: la maggior parte degli attacchi di phishing vengono condotti utilizzando nominativi e/o e-mail facilmente identificabili come sospette.
- Accertare la reale sussistenza di un suo rapporto con noi e/o la nostra organizzazione. Per svolgere questo controllo può essere fondamentale coinvolgere nell’analisi colleghi e collaboratori, così da acquisire man mano il know-how necessario per diventare autonomi.
Presenza di allegati
Quando sono presenti allegati con estensione dei file inusuale - cioè allegati non previsti - bisogna prestare la massima attenzione: la maggior parte delle odierne tecniche di phishing prevedono l’installazione di malware sul computer dell’utente, operazione che avviene quasi sempre mediante l’esecuzione di allegati che non sono quello che sembrano. Per proteggersi da questi tentativi è fondamentale verificare sempre l’estensione dei file, evitando di aprire quelli aventi una estensione diversa da quelle con le quali siamo abituati a lavorare. Nella maggior parte dei casi, poiché il rischio phishing è ormai noto a tutti, un invio legittimo di allegati è sempre anticipato da e-mail inviate in precedenza e/o accompagnato da una serie di informazioni verosimili e verificabili sul nome e sul tipo di file.
Nella quasi totalità dei casi, gli utenti che non svolgono delle mansioni tecniche o informatiche specializzate possono aspettarsi di ricevere unicamente le seguenti tipologie di file: testi (TXT, PDF), immagini (JPG, GIF o PNG) o archivi (ZIP, RAR, 7Z). Un caso particolare è dato dai file degli applicativi MS Office quali Word (DOC, DOCX), Excel (XLS, XLSX) e PowerPoint (PPT, PPTX): questi file possono contenere delle macro, ovvero degli script programmati per svolgere delle operazioni automatiche sul sistema in determinate condizioni: questi script possono essere configurati per essere lanciati all’apertura del file, rendendo questi ultimi simili a degli eseguibili.
Poiché si tratta di una funzionalità che è spesso utilizzata per portare attacchi informatici, è consigliabile adoperare la massima cautela: per difendersi da questa possibilità, è opportuno configurare i propri applicativi MS Office disabilitando l’esecuzione automatica delle macro all’apertura dei file, così da avere il tempo di identificare la minaccia prima che questa possa essere “inoculata” all’interno del nostro sistema.
Presenza di link
Vale lo stesso discorso fatto per gli allegati, soprattutto se si tratta di link che puntano a siti o a file sconosciuti, con un’importante aggiunta: quando ci si trova in presenza di link contenuti in un messaggio e-mail, è quasi sempre possibile verificare la corrispondenza tra il testo visualizzato dal link (la parola o la frase su cui cliccare, quasi sempre colorato in blu o con un altro colore distintivo) e l’indirizzo effettivo del link stesso: se ci si trova su un PC desktop, questo controllo può essere effettuato portando il puntatore del mouse sopra il link, senza cliccare. Nella quasi totalità dei casi in cui l’indirizzo non coincide con il testo colorato, il link in questione è fraudolento.
Urgenze e scadenze
La situazione emergenziale è uno dei fattori sui quali ogni truffa fa maggiormente leva, e il phishing non fa certo eccezione: un pagamento in sospeso da saldare immediatamente, un premio da ritirare a breve, il rischio di perdere un account, e qualsiasi altra situazione emergenziale creata artatamente per spingere la vittima in una condizione di ansia tale da “forzarle la mano”, impedendole di analizzare la situazione con lucidità e spingendola fuori dalle procedure di sicurezza ordinarie. Quando una e-mail punta a mettere fretta il rischio che sia una truffa è molto elevato, specialmente in una società come quella odierna dove le comunicazioni di scadenza o di rinnovo vengono effettuate con largo anticipo e in modo reiterato attraverso molteplici canali. Il modo migliore per difendersi da questa tecnica è reagire in modo opposto a quello richiesto e auspicato dal mittente: analizzare con calma e grande attenzione il messaggio, verificando con cura le informazioni contenute al fine di poter determinare con certezza se si tratta davvero di un’emergenza oppure di un tentativo di frode.
Premi, vincite, buoni sconto e concorsi
Un’altra tecnica psicologica molto utilizzata, per molti versi affine a quella dell’urgenza, è quella basata sull’occasione da non perdere. Anche in questo caso è opportuno analizzare con grande attenzione il messaggio: statisticamente parlando, il rischio che una “offerta speciale” ricevuta a mezzo e-mail sia una frode è estremamente elevato.
Le verifiche elencate in questo paragrafo costituiscono al giorno d’oggi un know-how fondamentale di un qualsiasi operatore che si trovi a operare con e-mail, e devono quindi diventare un automatismo per qualsiasi e-mail ricevuta, a prescindere dal contenuto: ovviamente, diventano particolarmente importanti in presenza di allegati o di richieste particolarmente “sensibili” (dati, informazioni di pagamento, credenziali, link, etc.).
Soglia di attenzione, livello di consapevolezza e best-practice
E’ evidente che, per poter effettuare i controlli descritti nel paragrafo precedente, è necessario mantenere un livello di attenzione e di concentrazione piuttosto elevato: un impegno che può essere facilmente sottovalutato da un operatore che ha necessità di evadere un gran numero di e-mail in un periodo di tempo spesso innaturalmente limitato.
Sottovalutare il tempo necessario a prendersi cura delle e-mail ricevute è una caratteristica della maggior parte delle aziende e organizzazioni contemporanee, specialmente in quei settori dove il livello di informatizzazione non è cresciuto di pari passo con la consapevolezza informatica da parte degli operatori e/o dei rischi informatici da parte della dirigenza. Si tratta di errori di valutazione del tutto analoghi a quelli che venivano compiuti non molti decenni fa nelle fabbriche, quando il lavoro delle maestranze veniva organizzato in assenza di protocolli di sicurezza adeguati e/o ignorando l’impatto che determinate attività o materiali potevano avere sulla salute.
Per ridurre l’impatto di simili errori prima che sia troppo tardi è opportuno agire direttamente sull’organizzazione, al fine di sensibilizzare il management sulla necessità di rivedere i tempi, i modi e le procedure alla base di simili attività: una revisione che non può prescindere da una analisi dei rischi condotta con il costante coinvolgimento dei professionisti del settore e condotta con l’ausilio di strumenti di osservazione, tecniche di raccolta feedback e studio delle best practice individuate e suggerite dagli esperti.
Nello specifico, è fondamentale riconoscere l’importanza del ruolo svolto da chi si occupa della ricezione delle comunicazioni provenienti dall’esterno - che, come abbiamo visto, non può prescindere da un certo livello di verifica e controllo - e prevedere delle tempistiche adeguate a consentire lo svolgimento di tale attività.
Cosa fare quando si subisce un phishing
Nel caso in cui si abbia il dubbio o la certezza di essere caduti vittima di un phishing, è molto importante mantenere la calma e adottare immediatamente le opportune contromisure:
- Se sono state comunicate delle credenziali di accesso (username, password, etc.) è necessario effettuare un cambio password con urgenza, avendo cura di avvisare chi di dovere nel caso in cui si tratti di un account aziendale o condiviso.
- Se è stato aperto un file “sospetto” o fraudolento (documenti falsi o fittizi, file che non si aprono o che presentano contenuti o errori strani, etc.) è imperativo effettuare una immediata e approfondita scansione con sistemi antivirus/antimalware sul dispositivo coinvolto, possibilmente isolandolo dalla rete così da evitare il diffondersi di un eventuale contagio ad opera di ransomware o worm.
- Se sono stati inseriti dati di pagamento (carte di credito, PayPal, etc.), è necessario contattare il proprio istituto bancario e bloccare la carta di credito (o altro strumento di pagamento) di cui sono stati inseriti i dati.
E’ importante tenere presente che il phishing non è una semplice email ingannevole: si tratta di un reato vero e proprio, e come tale va considerato. Nonostante non sia ancora previsto dall’ordinamento penale, il phishing oggi viene giudicato come frode informatica e furto d’identità digitale.
Per questo motivo, a prescindere dalle contromisure da adottare per limitare i danni, è opportuno effettuare una comunicazione formale alla Polizia Postale, che sul suo sito ha disposto uno spazio per le segnalazioni di questo tipo: https://www.commissariatodips.it/
La stessa Polizia Postale, sul suo portale, raccoglie gli avvisi ricevuti e classificati come phishing. Consultando quella pagina è possibile farsi un’idea sui tentativi di frode in corso, ed eventualmente avere la conferma che le e-mail ricevute fanno parte di quella categoria.
Conclusioni
Per il momento è tutto: nei prossimi approfondimenti ci dedicheremo allo studio delle altre tipologie di attacchi, con un approfondimento specifico sui malware (trojan, virus, rootkit, ransomware, etc.) e sulle tecniche di hacking volte a neutralizzare ovvero a prendere il controllo dei sistemi informatici e/o dei loro dati (DDoS, MitM, SQL injection, XSS, etc).