eMail Phishing: un fenomeno in crescita

Security Awareness
31 Agosto 2018

Le ultime ricerche dimostrano che il fenomeno del Phishing è in crescita. Il riferimento è soprattutto all’email Phishing, anche se questa tecnica di attacco si è ormai diffusa anche su altri canali, come i sistemi di messaggistica, i social media, e la pubblicità su Internet.

Cos’è l’email Phishing?

Il Phishing è una tecnica di attacco basata sull’inganno.

I criminali Cyber spediscono delle mail dal contenuto ingannevole e invitano il destinatario a compiere un’azione (tipicamente cliccare su un collegamento ipertestuale), generando in lui la prospettiva di ottenere un vantaggio o semplicemente di evitare una situazione spiacevole.

Se il destinatario cadrà nella trappola e quindi eseguirà l’azione richiesta, i criminali otterranno un vantaggio fraudolento, provocando un danno al destinatario o alla sua organizzazione.

Gli scopi di questi attacchi sono sostanzialmente 3:

  • ottenere in modo fraudolento informazioni critiche (credenziali bancarie, numeri della carta di credito…), che poi verrano utilizzate successivamente per realizzare delle truffe;
  • realizzare delle truffe, convincendo l’utente a versare delle somme di denaro con metodi di pagamento elettronici;
  • infettare il dispositivo con un malware (codice malevolo), che normalmente avrà la finalità di sottrarre informazioni critiche.

Un esempio concreto:

mail agenzia viaggi

Stiamo per partire per un viaggio e riceviamo una mail che proviene apparentemente da un’agenzia di viaggi. Sembra proprio quella a cui ci siamo rivolti. La mail contiene un messaggio di allerta: “la tua prenotazione manca di alcuni dati essenziali ed è necessario fornire questi dati entro 24 ore per poterla confermare”. Per fornire questi dati dobbiamo cliccare sul pulsante che si trova al centro della schermata. Momento di panico, il nostro viaggio rischia di saltare. Lo stato di ansia provocato dal messaggio ci spinge a cliccare sul pulsante e a riempire il form che ci viene proposto. Fornendo credenziali di accesso, tra cui la password, e successivamente anche il numero della carta di credito, richiesto dall’albergo come garanzia. La truffa è completata, la nostra password e i dati della Carta di Credito sono in mano a un criminale informatico.

Un messaggio che ai nostri occhi appare credibile, il senso di urgenza e di pressione, il pulsante che ci invita a cliccare e la richiesta di informazioni sensibili sono gli ingredienti di un attacco Phishing.

Phishing massivo (Spray Phishing)

Esiste una tecnica di attacco “massiva”, quella che in termini tecnici si chiama Spray Phishing. E’ una tipologia di attacco poco curata, che fa leva sulla grande quantità di mail inviate e sulla probabilità statistica che qualcuno dei destinatari venga attirato dal contenuto della mail e quindi cada nella trappola.

Tornando al caso dell’agenzia di viaggi, la mail viene inviata a una rubrica molto ampia di destinatari nella speranza che tra questi qualcuno stia effettivamente per partire per un viaggio e quindi venga attratto dalla mail. Queste mail hanno testi generici e formule di apertura e chiusura generiche, come un “Gentile cliente” in apertura e un “Servizio Clienti” al posto della firma. A volte si riscontrano errori ortografici nel testo e problemi di formattazione, anche perché si tratta spesso di testi tradotti in molte lingue, con sistemi di traduzione automatica.

Individuare che si tratti di una mail di phishing, nel caso di un phishing massivo, è un esercizio alla portata di tutti, ponendo la giusta attenzione, prima di effettuare l’azione, sugli elementi che la compongono. Oltre agli elementi già citati, è importante prestare attenzione al reale indirizzo del mittente e al reale indirizzo di destinazione del collegamento ipertestuale presente nella mail.

Phishing diretto (Spear Phishing)

Esiste una tecnica di attacco “personalizzata” su un determinato utente, su una determinata organizzazione, oppure su una specifica categoria di utenti. E’ una tipologia di attacco sofisticata, che fa leva sulla conoscenza del target. Le mail vengono costruite con una certa accuratezza, hanno una maggiore probabilità di colpire l’attenzione di chi le riceve e quindi di risultare credibili. I testi sono pieni di riferimenti specifici e anche le formule di apertura e chiusura sono più dirette. Il “Gentile cliente”, diventa “Gentile Mario Rossi”, mentre la firma è proprio quella dell’incaricato con cui potreste avere avuto dei contatti.

Dietro questo tipo di attacchi ci sono le cosiddette attività di “ingegneria sociale” (social engineering) che servono ad acquisire informazioni sulle vittime, sfruttando ad esempio i canali social (Facebook, Twitter, Instagram, …), dove le persone, consapevolmente o inconsapevolmente, rendono pubbliche informazioni che appartengono alla sfera privata. I criminali Cyber sfruttano anche i malware (comunemente chiamati virus) per carpire informazioni sensibili su individui e organizzazioni, informazioni da riutilizzare come base per effettuare le loro truffe.

Tornando al caso dell’agenzia di viaggi, la mail viene inviata a individui che stanno realmente affrontando un viaggio, includendo informazioni specifiche che rendono la missiva credibile all’occhio di chi la legge. Apparentemente la mail sembra provenire proprio dall’agenzia di viaggi di fiducia, e tutti i riferimenti come logo, nominativi, e dettagli relativi al viaggio, sembrano coincidere. Ci richiederanno di fare un’azione urgente, pena l’annullamento della nostra prenotazione (con tanto di dettagli sull’albergo prenotato), spingendoci a mettere da parte la dose di naturale diffidenza che contraddistingue ogni individuo, ed eseguire l’azione suggerita.

In questo caso, individuare che si tratti di una mail di phishing, è un esercizio più compesso e richiede maggiore consapevolezza rispetto a queste modalità di attacco.

Come proteggersi

Le più recenti ricerche ci dicono che il Cyber Crime è il nuovo “campo di gioco” della criminalità organizzata. Quando parliamo di “criminali cyber” tendiamo a visualizzarli con l’immagine del ragazzo con la felpa, ma oggi, sempre di più, dietro il Cyber Crime ci sono grandi organizzazioni criminali, molto avanzate sotto il profilo tecnologico, che studiano tecniche di attacco sempre più sofisticate e che fanno ricorso ad automazione e intelligenza artificiale. Per questo è necessario che tutti acquisiscano maggiore consapevolezza del rischio e adeguino i loro atteggiamenti e comportamenti all’evoluzione del fenomeno criminale.

Esistono delle buone pratiche che riducono il rischio di diventare vittime di questa tipologia di attacchi, ma nessuna di queste buone pratiche può risultare efficace se non supportata da un atteggiamento consapevole da parte dell’individuo. Aprire e leggere una mail non è di per sé pericoloso, mentre il pericolo si annida nell’azione suggerita dalla mail: cliccare su un collegamento suggerito, fornire informazioni sensibili, comunicare password, aprire un allegato.

L’atteggiamento giusto è quello che ci induce a riflettere prima di agire, prendendoci il giusto tempo per verificare la validità della richiesta.

Di seguito forniamo due suggerimenti di base molto importanti, ma ulteriori approfondimenti possono essere acquisiti leggendo la selezione di nostri articoli dedicati al Phishing.

Per le aziende e per la pubblica amministrazione ricordiamo che la nostra soluzione di e-learning include uno specifico modulo di apprendimento dedicato al Phishing, che spiega tutte le pratiche necessarie a contrastare il fenomeno.

Il criterio di urgenza

Il criterio di urgenza e di pressione è spesso un chiaro indice di un tentativo truffaldino.

Nessuna mail, specialmente se inattesa, può avere un contenuto così urgente da giustificare una reazione impulsiva. Un messaggio molto urgente, che richiede un’azione immediata, difficilmente verrà veicolato solo via mail.

Torniamo per un attimo al caso precedentemente esposto, e quindi alla supposta agenzia di viaggi che richiede una nostra azione di conferma immediata, pena l’annullamento di una prenotazione. Di fronte a una situazione di questo tipo è poco probabile che un’agenzia di viaggi professionale si limiti a mandarci una mail, senza farla precedere da una telefonata. Quindi il suggerimento è che in casi come questi, prima di cliccare sul link indicato ed eseguire l’azione richiesta, sia opportuno fare una verifica diretta della validità della stessa, ad esempio con una telefonata al servizio clienti dell’agenzia.

Nella selezione di nostri articoli dedicati al Phishing, si trovano alcuni casi emblematici, come i casi dei rimborsi promessi da alcune banche o da fornitori di servizi essenziali. In questo schema, la banca o l’ente erogatore di un servizio preannuncia il diritto ad un rimborso, ma per ottenerlo richiede di fare un’azione entro un breve intervallo di tempo: “richiedi il rimborso cliccando qui entro 48 ore”. Ricordate che nessuna banca e nessun ente erogatore di un servizio userebbe un processo di questo tipo se aveste diritto ad un rimborso.

Il collegamento ipertestuale

Le mail di Phishing solitamente contengono un collegamento ipertestuale che si concretizza o in un link testuale oppure in un bottone graficamente evidente. In teoria quel link o quel bottone dovrebbero condurci alle aree riservate (le aree myself) del sito web dell’organizzazione che apparentemente ci sta scrivendo oppure a pagine dedicate del loro sito. In realtà, nel caso di un attacco phishing, cliccando su quei collegamenti verremo indirizzati su pagine “esca” che solo apparentemente appartengono a quell’organizzazione.

Nel caso del rimborso da parte della banca, se dopo un’analisi attenta del testo della mail, riteniamo la richiesta possibile, è comunque opportuno accedere in modo diretto al servizio di home banking. Evitando comunque di usare il link proposto nella mail. E verificare direttamente se esiste qualche riferimento all’agognato rimborso. Se non troviamo nulla, ma siamo ancora speranzosi rispetto al rimborso, possiamo ricorrere ai numerosi canali di comunicazione (numero verde, chat, whatsapp) disponibili per chiedere spiegazioni. Molte aziende hanno inserito nei loro siti web delle sezioni dedicate ai tentativi di truffa dove riportano queste situazioni ogni volta che qualcuno gliele segnala.

Con un atteggiamento consapevole e con una serie di buone pratiche potremo quindi ridurre il rischio di diventare vittime del Cyber Crime. Seguite il nostro blog per mantenervi informati rispetto alle più comuni tecniche di attacco oppure assumete le nostre Cyber Pillole.

Articoli correlati