Il fenomeno si chiama
phishing, e deriva da una storpiatura del termine inglese
fishing (pesca) incrociato con il suffisso
ph ormai entrato nell'uso per contraddistinguere alcune attivita' truffaldine o poco ortodosse fatte via Internet o sulle linee telefoniche, come il
phreaking (uso anomalo della rete telefonica) attuate per ottenere l'accesso ad informazioni personali e riservate con la finalita' del furto di identita' mediante l'utilizzo di messaggi di posta elettronica fasulli, oppurtunamente creati per apparire autentici.
Grazie a questi messaggi, l'utente e' ingannato e portato a rivelare dati sensibili, come numero di conto corrente, nome utente e password, numero di carta di credito ecc.
La metodologia del phishing
Il phishing avviene normalmente in questo modo: viene inviata una mail in massa a migliaia di utenti sperando che almeno qualcuno abbocchi. In questa mail si viene sollecitati ad inserire username e password per entrare nel proprio account. Se il malcapitato che non sa della truffa, finisce con il farlo, ecco che finira' in pasticci seri.
In pratica il phishing agisce cosi':
1) l'utente malintenzionato (cracker o meglio
phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simuli nella grafica e nel contenuto quella di una istituzione nota al destinatario (ad es. la sua banca, il suo provider web, un sito online a cui e' iscritto, etc..).
2) la e-mail contiene avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente o account (ad es. un addebito enorme, la scadenza dell'account etc..).
3) nella mail il destinatario e' invitato a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la societa' di cui il messaggio simula la grafica e l'impostazione.
4) il collegamento al sito web della banca fornito
non porta in realta' al sito web ufficiale, ma a pagine appositamente create per emulare il
Look and feel del sito in oggetto e richiedere al destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessita' di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server e quindi finiscono nelle mani del cracker (phisher).
5) il cracker (phisher) utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come
ponte per ulteriori attacchi.
Come difendersi dal phishing
Anche se gli esperti di contraffazione continueranno a sviluppare nuove e piu' subdole forme di inganno online, ecco delle semplici regole
evergreen (sempre attuali) con le quali potersi difendere dal phishing:
1) Non rispondere mai a richieste di informazioni personali ricevute tramite posta elettronica. In caso di dubbio, rivolgetevi all'istituto che dichiara di avervi inviato l'e-mail.
2) Visitare i siti Web digitandone il rispettivo URL nella barra degli indirizzi.
Se sospettate che un'e-mail proveniente dalla societa' di emissione della vostra carta di credito, da una banca o da un servizio di pagamento on line non sia autentica, non utilizzate i collegamenti in essa contenuti per accedere ai relativi siti Web. Questi collegamenti potrebbero condurvi ad un sito contraffatto dal quale tutte le informazioni immesse potrebbero essere inviate all'autore della contraffazione nonche' del sito stesso.
Anche se sulla barra degli indirizzi viene visualizzato l'indirizzo corretto, non lasciatevi ingannare. Gli hacker conoscono molti modi per visualizzare un falso URL nella barra degli indirizzi del vostro browser.
3) Verificare che il sito Web utilizzi la crittografia.
4) Esaminare regolarmente i rendiconti bancari e della carta di credito.
5) Denunciare sospetti usi illeciti delle proprie informazioni personali alle autorita' competenti.
6) Se non immettete i vostri codici nel sito-trappola, siete al sicuro anche se avete ricevuto il messaggio-esca.
7) I truffatori non vi hanno inviato il messaggio perche' sanno che avete un conto presso quell'istituto: piu' semplicemente, ne hanno mandate migliaia di copie a tutti gli indirizzi che sono riusciti a trovare, sperando di imbattersi anche in qualche correntista.
8) Aggiornare continuamente il proprio pc e browser.
Le tecniche del phishing
Queste sono in continua evoluzione in quanto sostanzialmente si basano sulla vulnerabilita' dei browser (e ogni tanto se ne scopre una) e sulla buona fede degli utenti.
Come i browser vanno continuamente tenuti aggiornati con le patch che le varie societa' che li hanno prodotti rilasciano periodicamente per correggerne le vulnerabilita', cosi' anche per gli utenti si possono creare delle
patch, rappresentate dall'informazione.
Sapere quali sono le tecniche che possono ingannare significa anche poterle riconoscere ed evitarle; ecco perche' qui di seguito ne sono riportate alcune:
1) Copie autentiche
Il primo scopo del phishing e' quello di colpire il lato psicologico del malcapitato utente utilizzando testi, immagini ed in molti casi veri e propri cloni dei siti originali in modo da convincere l’utente dell’effettiva autenticita' del messaggio.
2) Utilizzo di indirizzi web (URL) autentici
Essendo basato sull’inganno e' assolutamente necessario per il phisher mascherare il falso URL verso il quale l’ignaro utente verra' indirizzato con il vero indirizzo del sito clonato. Per risolvere questo problema i phisher adottano prevalentemente due soluzioni: sfruttare le vulnerabilita' dei vari browser o registrare nomi a dominio simili a quelli originali (www.unicredit
sbanca.com anziche' quello originale www.unicreditbanca.com).
3) Indirizzo web mascherato
Per camuffare l’URL, soprattutto nelle e-mail, il phisher e' solito utilizzare una delle seguenti tecniche:
- 3.1. Conversione del nome a dominio in indirizzo
IP
Questo sistema consente di mascherare il nome del falso sito con il suo equivalente indirizzo IP; cosi' il legittimo indirizzo: http://www.ebay.com/signin.ebay.com/ws/eBayISAPI.dllSignIn&
puo' trasformarsi in http://218.154.123.224/signin.ebay.com/ws/eBayISAPI.dllSignIn&
- 3.2. Il carattere
@
Il simbolo
@ viene utilizzato per instradare l’utente verso il sito truffa. Infatti modificando l’URL in questo modo
https://www.paypal.com/it/cgi-bin/webscr
@www.microsoft.com
tutto quello che si trova a sinistra del simbolo
@ viene ignorato mentre si e' indirizzati verso il sito microsoft.com. A rendere questa tecnica ancora piu' subdola ci ha pensato il dotless decimale il quale consente di convertire un indirizzo IP in una numero decimale a 32-bit senza punti. In questo modo ad esempio l’indirizzo IP di www.microsoft.com 207.46.250.119 viene convertito in 3475962487 ed aggiunto all’URL modificato produce:
https://www.paypal.com/it/cgi-bin/webscr
@3475962487.
La tecnica del simbolo @ non e' piu' sfruttabile in quando Microsoft ha provveduto ad arginare il problema attraverso il rilascio di un apposita patch.
- 3.3. URL codificato
La codifica dell’URL o parte di esso nell’equivalente ASCII esadecimale e' una tecnica ancora molto usata dai phisher. Il meccanismo e' semplice infatti tramite un apposito convertitore o anche manualmente e' possibile trasformare ad esempio www.anti-phishing.it nella sua versione meno comprensibile
http://www%2E%61%6E%74%69%2D%70%68%69%73%68%69%6E%67%2E%69%74.
- 3.4. URL di elevate dimensione
Utilizzare un indirizzo web di dimensioni superiori a quelle della barra degli indirizzi e' una tecnica molto usata.
Ecco per esempio che URL ci si puo' veder recapitare:
http://62.193.218.82/daokewqoekwqoekwqoekwqoekwqpewqkeopwkdopsaj
daoidjsaoidjsaoidjaoidjsaiodjsaoidjsaoidjsaoidjsaoidsajdoisajdoi
sajdoisadjsaoijdsaoidjsaoidjsaoidwqewqjepwqiekpwqkeopwk/
card_activation.htm
- 3.5. Reindirizzamento
Per depistare l’utente sulla reale connessione in atto, molto spesso i phisher ricorrono al reindirizzamento. In questo modo l’utente crede di essere diretto verso il sito reale mentre in realta' viene trascinato nel sito truffa.
4) Imitazione (Spoofing) della barra degli indirizzi
Nei casi in cui non e' possibile registrare o impadronirsi di un URL simile al sito originale il phisher ricorre alle vulnerabilita' dei browser e ad astuti trucchi per convincere il malcapitato utente della reale autenticita' del sito trappola.
Tra questi i phisher hanno favorito il metodo della sostituzione della barra degli indirizzi.
Questa tecnica consente in maniera molto semplice e senza particolari conoscenze tecniche di sostituire la reale barra degli indirizzi con una falsa immagine della stessa contenete un falso URL. Questa tecnica risulta particolarmente insidiosa in quanto lo stesso meccanismo puo' essere usato anche per modificare la barra di stato; soprattutto per visualizzare il lucchetto, tipico delle connessioni protette facendo cosi' credere all’utente di essere realmente in una sessione sicura tipica dei servizi di home banking o degli acquisti online.
5) Sostituzione dell’indirizzo web
In molti casi i phisher ricorrono ad un ingegnoso trucco, infatti se la sostituzione della barra degli indirizzi puo' destare sospetti anche nell’utente piu' distratto, la sostituzione dell’indirizzo web continua ad essere ancora oggi una delle scelte preferite. Cosi' come avveniva nel caso precedente (punto 4), questa volta ad essere sostituito da un immagine contraffatta e' solo l’URL contenuto nella barra degli indirizzi.
Per smascherare il trucco e' sufficiente aprire una qualsiasi finestra o semplicemente la finestra delle proprieta' per vedere come il falso URL si sovrappone su queste ultime.
6) Finestre popup e falsi frame
Basata fondamentalmente sullo sfruttamento delle vulnerabilita' dei browser, la tecnica delle finestre di popup e' senza dubbio la scelta che garantisce il migliore rendimento per il phisher; infatti mentre in background e' presente il vero sito una finestra priva di barra degli indirizzi, degli strumenti ed in alcuni casi anche con il tasto destro disabilitato richiede informazioni riservate al malcapitato utente.
E' anche possibile sfruttare questa tecnica attraverso il semplice linguaggio di programmazione HTML infatti attraverso l'uso dei frame e' possibile, ad esempio, visualizzare nel primo frame il sito originale, mentre nel secondo frame e' possibile inserire un falso form, una falsa pagina oppure in alcuni casi far eseguire anche programmi keylogger.
7) Cross Site Scripting (CSS o XSS)
Questa tecnica consiste nell’esecuzione ed inserimento di codice arbitrario, normalmente form, all’interno di un sito vittima e nella rispettiva visualizzazione di tale codice nel browser dell’ignaro utente come se facesse parte del sito vittima. La sua pericolosita' sta di fatto nell’incapacita' del sito reale di convalidare l’input prima di ritornare nel sistema dell’utente.
8) Trojans / Worms / Spyware
Come gia' detto a favorire i casi di phishing c'e' anche la vulnerabilita' dei borwser come quella riscontrata nella gestione del file HOSTS.
Quando digitiamo il nome di un dominio nel nostro browser il protocollo IP interroga il DNS per conoscere il corrispondente indirizzo IP; ma prima di far questo controlla il file HOSTS per verificare la presenta di tale indirizzo, se e' presente, si collega automaticamente.
A sfruttare questa vulnerabilita' per rubare i numeri dei conti correnti on-line ci ha pensato il worm PWS-Banker.y e le sue varianti prendendo di mira importanti servizi di home banking.
Inoltre un ulteriore alleato dei phisher e' keylogger, il quale e' in grado di registrare in maniera subdola e silenziosa tutto quello che viene digitato all’interno del nostro sistema: username e password, indirizzi e-mail, numeri di carta di credito, conto correnti, informazioni riservate...
Maggiori informazioni sono disponibili sui siti specializzati come:
Antiphishing.org (www.antiphishing.org) (in inglese)
Anti-phishing.it (www.anti-phishing.it) (in italiano)