"Phishing": problema e minaccia in rapida crescita a causa
dell’ingenuità degli utenti,
Un recente studio condotto da studiosi della UC Berkeley e
della Harvard University mostra che gli utenti continuano a subire truffe
perpetrate con il phishing nonostante siano stati informati del crescente
numero di attacchi. Il phishing funziona facilmente a causa dell’ingenuità
degli utenti.
La relazione indica che i migliori siti di phishing sono
riusciti ad ingannare il 90% dei partecipanti che hanno commesso errori
nell’esecuzione delle verifiche nel 40% dei casi. Il 23% dei partecipanti non
ha prestato la giusta attenzione alla barra dell’indirizzo, alla barra di
stato o agli indicatori di sicurezza. 15 partecipanti su 22 hanno continuato
senza esitazione anche dopo essere stati avvertiti che gli strumenti di
sicurezza avrebbero potuto essere meno efficaci del previsto.
Esistono tre motivi principali per cui gli utenti vengono
ingannati.
- Mancanza di conoscenza Molti utenti non conoscono le
nozioni di base sull’impiego e sulle funzionalità dei sistemi operativi,
delle applicazioni, della posta elettronica e dei siti Web. I siti di
phishing sfruttano questa mancanza di conoscenza in diversi modi. Alcuni
utenti, ad esempio, non conoscono il significato o la sintassi dei nomi di
dominio e non riescono a distinguere gli indirizzi URL regolari da quelli
ingannevoli. Altri attacchi falsificano l’intestazione dei messaggi di posta
elettronica e in molti casi gli utenti non riescono neppure a capire gli
indicatori di sicurezza che segnalano che lo standard SSL non è uno
strumento di sicurezza appropriato.
- Inganno visivo: I "phisher" ricorrono all’inganno visivo
contraffacendo il testo normale, le immagini e le finestre. Persino gli
utenti più esperti possono essere tratti in inganno nei casi riportati di
seguito:
testo
visivamente ingannevole: gli utenti possono essere ingannati dalla sintassi
di un nome di dominio negli attacchi in cui vengono sostituite delle lettere
passando inosservate, ad esempio paypaI.com utilizza la "I" maiuscola, che
appare in modo del tutto simile alla lettera "l" ("L" minuscola)
immagini
che mascherano il testo sottostante
immagini
che emulano finestre
finestre
che mascherano le finestre sottostanti
aspetto
ingannevole
- Scarsa attenzione: Anche gli utenti più esperti che
riescono a rilevare l’inganno visivo descritto nei casi riportati sopra
possono essere comunque tratti in inganno se non prestano la giusta
attenzione agli indicatori di sicurezza.
Di seguito vengono riportati alcuni casi in cui tali
indicatori possono essere ignorati.
Mancanza
di attenzione agli indicatori di sicurezza: La sicurezza diventa spesso un
obiettivo secondario. Quando gli utenti sono concentrati sulle loro attività
principali, possono trascurare gli indicatori di sicurezza e i messaggi di
avvertenza.
Mancanza
di attenzione in caso di assenza degli indicatori di sicurezza: Gli utenti non
si accorgono dell’assenza di un indicatore di sicurezza.
La relazione illustra chiaramente che anche nei casi in cui si
prevede la presenza di "spoof", gli utenti vengono indotti facilmente a
fornire le informazioni richieste dai phisher. Lo studio ha rivelato che il
migliore sito di phishing è stato in grado di trarre in inganno il 90% dei
partecipanti. Gli indicatori progettati per segnalare l’attendibilità non sono
stati interpretati correttamente e solo il 23% dei partecipanti ha utilizzato
il contenuto del sito Web per valutarne l’autenticità, senza esaminare le
altre aree del browser.
La relazione indica che è assolutamente necessario che gli
utenti acquisiscano una sempre maggiore consapevolezza e conoscenza degli
attacchi di phishing e delle modalità ingannevoli delle pagine Web. Oltre agli
strumenti di protezione che impediscono in modo efficace l’ingresso dei
messaggi di phishing nella casella postale, queste sono alcune delle
principali attività per coloro che si occupano di sicurezza su Internet.
"Vishing": una nuova tecnologia riporta in auge vecchie
attività illecite
Introduzione
Uno degli strumenti più diffusi già utilizzati dai pirati
informatici agli albori delle comunicazioni informatiche è il war-dialling. Il
pirata informatico utilizza un programma mediante il quale il suo computer
chiama (tramite modem) sequenze semi-casuali di numeri telefonici in una
determinata area. Nel caso in cui un modem risponda, può supporre con un buon
margine di sicurezza la presenza di un computer. L’elenco di risposte dei
modem (computer) può diventare per il pirata informatico un’opportunità di
conseguire i suoi obiettivi.
Poiché i modem sono ormai poco utilizzati, per ottenere gli
stessi risultati si ricorre alla scansione delle porte. Utilizzando un
computer l’intruso effettua la scansione di un intervallo IP alla ricerca di
computer sui quali determinate porte risultano aperte. Quelli che forniscono
una risposta positiva possono essere oggetto di nuovi tentativi di accesso il
cui esito potrebbe essere il controllo della macchina. A quel punto il
computer diventa utilizzabile per qualunque obiettivo: spamming, botnet e così
via.
Funzionamento del vishing
1. Utilizzare un computer che chiama sequenze di numeri (la
parte "V") La fase iniziale prevede la configurazione del computer mediante la
tecnologia voice over IP (VoIP) che consente di chiamare molti numeri
telefonici in una determinata area.
A differenza delle buone, vecchie tecniche di war-dialling, la
distanza in questo caso non costituisce un problema poiché il costo della
telefonata è irrisorio; tuttavia, come si vedrà al punto 2 riportato di
seguito, la lingua utilizzata nell’area potrebbe essere determinante ai fini
del risultato positivo dello schema di vishing. .
2. Riprodurre di un messaggio pre-registrato (la parte "ishing")
Presumibilmente alcuni dei numeri chiamati risponderanno. La persona che ha
messo in atto lo schema avrà già pre-registrato un testo di phishing, ad
esempio un messaggio, in apparenza proveniente dal reparto antifrodi della
società emittente della carta di credito, in cui viene richiesto di chiamare
altro numero allo scopo di risolvere alcune questioni.
In genere il messaggio pre-registrato utilizza la stessa
lingua dell’area in cui ha luogo il vishing. Un messaggio automatico in
tedesco che si rivolge a francesi e che si dice inviato da un dipendente della
banca non è esattamente un messaggio credibile e riuscirà a ingannare solo gli
utenti più ingenui (il che ovviamente potrebbe essere l’obiettivo).
3. Ottenere le informazioni che contano
Se la truffa descritta al punto 2 è convincente, alcuni di
coloro che hanno risposto alla chiamata automatica e ascoltato il messaggio
richiameranno al numero indicato.
In questa fase l’autore del vishing può scegliere tra varie
possibilità.
Può utilizzare le proprie capacità personali di social
engineering e rispondere personalmente alla telefonata, cercando di indurre
con l’inganno l’interlocutore a rivelare alcune informazioni personali, ad
esempio il numero della carta di credito, il codice PIN, la data di nascita e
così via. In questa fase, il contatto telefonico personale ha la maggiore
probabilità di successo; per contro, ha come svantaggio il fatto che l’autore
del vishing può parlare a una sola persona per volta. In alternativa l’autore
del vishing può pre-registrare un altro messaggio raccontando una storia che
sembri credibile e induca con l’inganno chi effettua la chiamata a fornire le
proprie informazioni personali. Può dire, ad esempio, che si è verificato un
crollo del database del reparto carte di credito della banca e
contemporaneamente alcuni numeri di carta di credito sono stati rubati. Poiché
il database e le informazioni del cliente non sono disponibili chiede a chi
effettua la telefonata di fornire il numero di carta di credito e il numero di
telefono in modo che la banca possa richiamare nel caso in cui tali numeri
rientrassero tra quelli che sono stati oggetto di furto. Le tecniche di
persuasione utilizzabili dall’autore del vishing hanno come limite solo la sua
immaginazione. D’altra parte devono essere il più possibile generiche,
affinché risultino efficaci per il maggior numero di persone.
4. Commettere la frode e/o ottenere altre informazioni Le
informazioni raccolte seguendo i tre punti riportati sopra possono poi essere
utilizzate dall’autore del vishing per commettere la frode. Nell’esempio
riportato sopra la frode si riferisce alla carta di credito ma potrebbe
riguardare qualunque aspetto.
In questa fase l’autore del vishing può anche utilizzare le
informazioni raccolte per ottenere altre informazioni e, nel caso estremo, per
quanto remoto, riuscire anche ad impossessarsi dell’identità dell’altra
persona.
Si tratta di un fenomeno destinato presumibilmente a ripetersi
ogni volta che vengono adottati nuovi canali. Indipendentemente dai supporti e
dalle tecniche utilizzate dalla persona fraudolenta, il consiglio generale è
di
utilizzare lo scetticismo intelligente in qualunque situazione
in cui viene chiesto di rivelare informazioni personali
"Spear Phishing": variante specializzata contro obiettivi
mirati
Recentemente ha fatto la sua apparizione una variante
specializzata di phishing, nota come "spear phishing" (pesca con la fiocina).
I tentativi di phising "abituale" sono generalmente rivolti a
individui scelti in modo più o meno casuale, con l’intento di indurli a
compiere azioni specifiche che andrebbero in qualche modo a compromettere i
propri dati personali. Lo spear phishing invece non ha come obiettivo
individui a caso. Spear phishing - attacchi mirati contro un’organizzazione:
si potrebbe registrare, ad esempio, un tentativo di phishing da parte di
un’organizzazione contro un concorrente (solitamente a scopo di spionaggio
industriale) oppure da parte di un’agenzia di intelligence nei confronti di
un’azienda sospetta, o ancora da parte di criminali nei confronti delle
istituzioni per l’ordine pubblico.
Gran parte degli utenti sono stati informati in più occasioni
sui rischi legati a tentativi di phishing con false richieste da parte di
banche e altre istituzioni di rivelare i propri nomi utente, le proprie
password e così via. Presumibilmente sono ormai pochi coloro che credono
ancora che una banca possa richiedere di confermare, tramite e-mail, il
proprio nome utente, password o i dati di una carta di credito. Benvenuti allo
spear phishing: l’artefice ti questo tipo di minaccia è in grado di forgiare
un messaggio e-mail in modo estremamente convincente, ad esempio facendo
credere che sia stato inviato da un capo reparto IT. Il messaggio può essere
ulteriormente personalizzato in modo tale da rendere ovvio che è riferito
unicamente all’organizzazione specifica in questione. In una situazione di
attacco di phishing, sono le abilità di social engineering dell’artefice a
determinare le probabilità di successo del tentativo. Nel caso di un attacco
di spear phishing, tuttavia, le probabilità di successo sono molto più
elevate.
Chi lancia l’attacco di spear phishing dispone di diversi
strumenti da mettere in funzione quando una delle vittime delle organizzazioni
prese di mira viene "trafitta dalla fiocina". Può installare, ad esempio,
delle backdoor sui computer compromessi e guadagnare accesso al computer o
rete per ottenere informazioni riservate. Può inoltre installare dei keylogger
per ottenere le sequenze di tasti digitate per comporre nomi utente e
password. Chi lancia l’attacco può inoltre installare virus che inviino tutti
i file di un particolare tipo ai quali il computer della vittima ha accesso. E
così via...
A differenza del tentativo di phishing generico, più comune,
l’attacco di spear phishing è molto più difficile da ostacolare. Vi sono
almeno due motivi per questo:
gli
attacchi sono diretti a piccoli numeri di individui, ed è quindi più difficile
per gli addetti alla sicurezza venirne a conoscenza e fornire protezione e
avvisi;
dal
momento che gli attacchi hanno come obiettivo il personale di
un’organizzazione specifica, le tecniche di social engineering possono essere
molto specifiche e personalizzate per i dipendenti di tale organizzazione.
(a cura di Norman)
http://www.mondoavvocati.it
Quest'opera è pubblicata sotto una Licenza Creative Commons
Archivio Droga
|