Phishing for dummies: come riconoscere le email sospette ed evitare truffe o furti d’identità

Il phishing consiste nell’invio di mail ingannevoli per indurre la potenziali vittima a fornire dati sensibili (dati del conto corrente, codici della carta di credito o credenziali di accesso personali n.d.r.) per poi utilizzare questi stessi dati in modo fraudolento per furti di identità o per sfruttare e credenziali ottenute a scopo di lucro.

I metodi di phishing più comuni

Esistono diversi tipi di attacchi di phishing: se alcuni appaiono semplici da smascherare, come nei casi di messaggi palesemente inverosimili scritti in un italiano scadente o nei casi di e-mail generiche, altri possono essere talmente personalizzati alla vittima e potrebbero essere scambiati per autentici.

Esaminiamo alcuni dei tipi di phishing più frequenti secondo la classifica stilata dall’Infosec Institute. Il Deception phishing, rappresenta la tipologia più comune basata sulla concomitanza di inganno e urgenza per indurre le potenziali vittime ad agire senza controllo. Lo Spear phishing è invece un tipo di mail composta su misura per una vittima utilizzando informazioni raccolte in OSINT (Open Source Intelligence) o a mezzo social, per rendere credibile quanto scritto nella mail e sembrare una fonte attendibile. Whaling o frode del CEO consiste nel cercare di ingannare un alto dirigente o comunque un esponente di una grossa organizzazione o i suoi collaboratori, per indurli con l’inganno a fornire informazioni riservate o addirittura a spostare somme economiche in favore dell’attaccante.

Vishing, ovvero il phishing effettuato a mezzo Voice over IP, utilizza un ID chiamante per fingersi “un contatto lecito” e veicolare richieste apparentemente legali. Lo SMiShing è simile al precedente ma perpetrato a mezzo SMS ed è utilizzato per facendo credere di aver vinto un concorso, o per fingersi come una banca e società di carte di credito tentando di ottenere le informazioni della persona tramite un collegamento nel testo o una richiesta di chiamare un numero. Nel W2 phishing un malintenzionato utilizza l’email di un dirigente o ne crea uno simile inviando messaggi ai dipendenti per ottenere informazioni private quali numeri e dati sensibili: tipico dei periodi di scadenze fiscali, spesso gli attaccanti usano mail camuffate per sembrare che provengano dall’agenzia delle entrate o da entità del fisco del paese di provenienza della vittima.

Il Pharming rappresenta un tipo di attacco che utilizza l’avvelenamento della cache DNS (Domain Name System) per cambiare l’indirizzo IP associato al nome di un sito Web: la vittima viene rimandata a un sito dannoso nel quale le viene richiesto di di inserire le sue credenziali nel sito esca. Le Ransomware phishing sono mail ingannatorie tese a indurre la vittima a cliccare un link che invece scarica un dannoso ransomware solitamente in grado di bloccare il PC della vittima chiedendo un riscatto. Nel Dropbox phishing e Google Docs phishing si utilizza una email che sembra provenire da Dropbox o da Google Docs e richiede alla vittima di accedere: tuttavia le credenziali vengono registrate dal malintenzionato e utilizzate per accedere a questi siti al posto della vittima carpendone dati e foto personali. Un tipo di attacco che può essere evitato attivando semplicemente l’autenticazione a due fattori.

Incidenza a livello mondiale e sul territorio italiano

L’analisi dell’incidenza del phishing da gennaio a marzo fornita dalla Unit 42 di Paolo Alto networks, una unità di ricerca e analisi della minaccia che periodicamente emette bollettini informativi e dettagli sul comportamento dei malware. Nel periodo osservato l’URL phishing non hanno visto declino, con 4.213 URL da 262 domini unici utilizzati negli attacchi di questo tipo. In media sono stati riscontrati anche singoli domini responsabili della pubblicazione di 16 URL di phishing diversi. La mappa di distribuzione geografica dei 262 domini presenta la maggiore concentrazione negli Stati Uniti, seguiti da Germania e Polonia: l’Italia è al 5° posto fra tutti i paesi del mondo con 6 domini individuati.

Tra i 4.213 URL studiati, circa 2.066 utilizzano un modello di phishing generico che può essere indirizzato a più società o organizzazioni diverse mentre 1.404 URL hanno mostrato pagine contraffatte rivolte ai clienti Adobe, 155 URL indirizzati a clienti DropBox, 18 URL indirizzati a utenti di Facebook, 442 URL indirizzati a utenti di Google Docs, 108 URL indirizzati a utenti di Google Drive e 20 URL indirizzati a clienti di Office 365. Una menzione particolare va al phishing perpetrato mediante URL di tipo HTTPS, solitamente più complesso da analizzare. Dei 4.243 URL individuati, 1,010 sono per URL HTTPS da 46 domini univoci. In media, un dominio ha servito 21 diversi URL.

Per garantire ad altri potenziali attaccanti un “semplice prodotto finito” sono stati individuati anche KIT di phishing già pronti. In particolare, si apprende che questi kit sono formati a partire da clonazione e impacchettamento di i file modificati di un sito Web (destinati a essere utilizzati in una campagna) all’interno di un file ZIP e poi sono caricati su più siti Web compromessi, da dove sono poi prelevati per l’uso. Tuttavia, dopo aver decompresso i file e aver distribuito il sito di phishing, alcuni malintenzionati non riescono nella rimozione dell’archivio, rendendo l’analisi del contenuto accessibile ai ricercatori.

I dati del Phishing a mezzo mail sul mese di giugno sono tratti dal bollettino on line del C.R.AM. che ha individuato categorie specifiche di messaggi ingannatori a nome di Decathlon,  Poste Italiane, Intesa San Paolo e Netflix, descrivendo le caratteristiche di riconoscimento in termini di oggetto del messaggio e suoi contenuti fraudolenti. Dato il periodo appena trascorso dei Mondiali di calcio e l’interesse che solitamente suscita, non poteva mancare la campagna di phishing legata proprio all’evento sportivo a nome del quale i cybercriminali hanno attirato le potenziali vittime con il download dei tabelloni e il tracker dei risultati. Nel momento in cui viene aperto il file, si attiva una variante di malware chiamata “DownloaderGuide”, un noto downloader di programmi potenzialmente indesiderati (PUP) comunemente utilizzato come programma di installazione per applicazioni, quali barre degli strumenti, adware e ottimizzatori di sistema. Maya Horowitz, Threat Intelligence Group Manager di Check Point, ricorda alle aziende come sia necessario “prendere provvedimenti per ricordare ai dipendenti le best practice di sicurezza, ideali per prevenire con successo queste email che rappresentano la più frequente modalità di inizio di un attacco ovvero uno dei più pericolosi vettori di minacce di attacchi cibernetici”.

Come difendersi dal phishing

Nella spiegazione dei vari tipi di phishing sono stati forniti alcuni mezzi di contrasti specifici: ma in generale come accorgersi che la mail arrivata non rappresenti un’esca per abboccare al tranello? Michaele Rebultan, esperto di sicurezza informatica, suggerisce alcuni semplici controlli che possono aiutare a dubitare ed a cercare conferme nella validità dell’email, dei suoi eventuali allegati e dei link sui quali si viene invitati ad interagire.

Controllare a mail del mittente, per verificare se sia ben formata ortograficamente o se invece il dominio appaia scritto male: indice di mistificazione o falsificazione (tecnicamente spoofing). Anche se la scrittura è corretta si potrebbe voler controllare che il dominio non è fasullo, copiandolo e incollandolo su un sito pubblico che colleziona, traccia e segnala i domini di phishing e malware, come ad esempio il sito di Virustotal. Il ricorso a questo tipo di siti di verifica è ulteriormente consigliato per analizzare link URL ricevuti via mail o mediante sistemi di instant messaging.

Le URL che possono insospettire sono accompagnate da messaggi che invitano all’apertura del link, con mezzi diversi, dalla persuasione, allo scherzo, dal gioco, all’emergenza, provando a stimolare la curiosità o mediante offerte marketing. La sottomissione della URL potrebbe evidenziare che si tratta di indirizzi malevoli e che veicolano malware. Quando invece si vorrebbe sapere se l’allegato di una mail è sicuro, allora la verifica da fare è caricare il file sospetto su siti come Virustotal ed attenderne l’analisi. Nel fortunato caso in cui la minaccia sia riconosciuta viene emesso un IOC (indice di compromissione), in caso contrario potrebbe trattarsi di un nuovo sample di malware non ancora riconosciuto come dannoso.

Esistono molti altri siti di verifica disponibili e gratuiti oltre a Virustotal, fra cui OPSWAT, VirSCAN, URLVoid, Sucuri, IsItHacked! e molti esperti di sicurezza li interpellano anche tutti insieme per avere una valutazione multipla su un oggetto dubbio: perché coltivare un lecito dubbio, ed effettuare qualche piccolo controllo in più, permette di eliminare potenziali grandi problemi.