PHISHING, SPEAR PHISHING E WAILING
20/02/2018
In ambito Information Security lo studio del comportamento umano nel trattenere o fornire informazioni é definito come "Social Engineering".
L'Ingegneria Sociale studia tecniche psicologiche, metodi e strumenti per ottenere informazioni.
Le tecniche psicologiche piú comuni sfruttano l'autorevolezza o fanno leva sui sentimenti di colpa, panico, ignoranza, desiderio, avidità e compassione.
Il piú comune metodo di attacco per trafugare informazioni é il Phishing, mentre Spear Phishing e Wailing sono due varianti della stessa minaccia. Vediamoli uno alla volta.
PHISHING
Il Phishing è un tipo di truffa effettuata in internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un soggetto affidabile (Wikipedia).
L’essere umano per natura tende a fidarsi, a voler aiutare gli altri, ed é quindi raggirabile. Il criminale confida in un basso livello di attenzione della vittima o in una sua alta ingenuità.
Non è un caso, infatti, che la tipologia degli attacchi di Phishingsiano in costante crescita da anni. Secondo il Rapporto del Clusit, l’Associazione Italiana sulla Sicurezza Informatica, tra il 2015 e il 2016 tale tipologia di attacco è cresciuta del 1160% nonostante la sensibilità al problema stia aumentando.
Una mail di phishing che ci avvisa di un regalo in denaro e grandi profitti per il futuro
Il Phishing punta a colpire il maggior numero di vittime, utilizzando strumenti massivi, come ad esempio le email, che vengono predisposte per raggiungere indistintamente masse enormi di utenti. Come in una pesca con le reti.
L’intento é di rubare dati personali, password di accesso ai siti di home banking, account email o infettare i computer delle vittime per poterne prendere il controllo.
Nelle email di phishing ci potrebbero essere allegati contenenti malware o link che puntano a siti malevoli.
Eseguendo gli allegati il proprio computer potrebbe essere ad esempio infettato da Ransomware (Malware che chiedono un pagamento per poter utilizzare i dati che nel frattempo sono stati criptati) o Trojan (Malware che si insediano e in maniera silente permettono il controllo remoto o l'esfiltrazione di informazioni da parte di terzi).
Cliccando sui link contenuti all’interno dell’email di phishing si potrebbe venire dirottati su finti siti di banche, spedizionieri, provider email, etc. Nel tentare di colpire il maggior numero di utenti i truffatori infatti si mascherano da aziende o enti che abitualmente si offrono alla massa e prontamente provvederanno a rubare le credenziali dell’utente nel caso venissero digitati.
Tra i piú famosi casi di Phiscing recenti nel territorio italiano ricordiamo finte fatture di operatori telefonici, richieste di tracciamento pacchi da Poste Italiane e altri spedizionieri, richiesta di aggiornamento dati di istituti bancari e restituzione di somme da parte dell'agenzia delle entrate.
Recentemente le email di phishing contengono link che puntano a spazi Cloud nei quali vengono depositati i file malevoli.
Si stima che alla fine di marzo 2016 il 93% di tutte le email di phishing era rappresentato da malware di tipo Ransomware.
I ransomware sono stati la piaga del 2017, evoluti e modificati per criptare non solo i file del PC in cui il malware veniva attivato, ma anche capaci di criptare file nella rete locale.
A inizio 2018 (fonte D3LabIT) è stato individuato un finto sito ikea (ikea-italy[.]info) che potrebbe essere l’oggetto di prossimi attacchi di phishing.
Infine vi segnaliamo un trend ormai consolidato. Anche i siti fake, utilizzati dai criminali per ingannare gli utenti dispongono di certificati SSL (HTTPS) validi e pertanto a fianco dell’indirizzo del sito comparirà il lucchetto verde. La vittima tende a fidarsi maggiormente dai simboli di sicurezza (leva dell'autorevolezza nel social engineering). Ricordiamo però che i certificati SSL si ottengono anche gratuitamente e non garantiscono la liceità di quanto riportato sul finto sito internet bensì solo che la comunicazione tra il server web e il client avviene in modo cifrato.
SPEAR PHISHING
Lo spear phishing è un attacco orientato a ottenere dati di interesse da un numero ristretto di vittime, sulle quali in precedenza l'attaccante ha raccolto informazioni e dati. Proprio grazie alle notizie acquisite sui target, le email di spear phishing sono più precise ed accattivanti, preparate appositamente per catturare l’attenzione e colpire queste determinate vittime.
WHALING
Il termine “whaling” indica la dimensione degli obiettivi da attaccare (whaling infatti deriva dal termine inglese “balena”). Attraverso sofisticate tecniche di ingegneria sociale, il criminale punta a informazioni riservate e personali di notevole valore economico e commerciale. Di solito, questi attacchi vengono diretti verso persone di alto profilo della finanza e dell’industria. Non ci troviamo più di fronte ad un phishing di “piccoli e casuali pesci”, ma è una pesca di “grandi, ricchi e determinati pesci”.
COME COMBATTERE IL PHISHING, REGOLE GENERALI
Le truffe informatiche si realizzano soprattutto contro gli utenti meno preparati e "informatizzati". In ogni caso, non esistendo un software in grado di risparmiarci da queste email é fondamentale destinare all’interno delle aziende e delle famiglie, momenti anche brevi, di formazione. Riconoscere email di phishing sempre piú verosimili richiede accortezza e un po' di malizia.
Nessuno regala nulla. Tutte le email che promettono vincite, riscatti, premi, sono pericolose.
In linea generale poi ci sentiamo di consigliarvi di non aprire o rispondere a mail sospette e non attese. Rispondere a una email fraudolenta, puó comunicare al criminale che la casella è attiva e quindi fornire una informazione aggiuntiva.
Nessun ente o istituto di credito vi chiederà mai le credenziali di autenticazione per email, né tramite assistenza telefonica. Non inviate mai informazioni delicate e password per posta elettronica a nessuno.
Infine é buona norma verificare gli indirizzi web in anteprima prima di cliccare sui link/immagini/pulsanti di una email sospetta. Ormai ogni client di posta permette di verificare il sito web che si aprirá semplicemente passando sopra con il mouse al link o all'elemento senza cliccare.
Questa sopra è la stessa email di phishing mostrata prima. Se passiamo con il mouse, senza cliccare, sopra ai vari link in azzurro, compare in basso a sinistra il reale link che apriremmo se ci cliccassimo sopra. Indirizzi diversi dal mittente, lunghi e codificati, devono mettervi sull'attenti.
Da nostre verifiche empiriche in alcune email di phishing o siti contraffatti potrete trovare la stessa grafica del sito web reale, e alcuni link riporteranno effettivamente al sito ufficiale, l'anteprima quindi sará corretta. Altri elementi della email invece riporteranno al sito contraffatto.
A.S. - M.C.
In ambito Information Security lo studio del comportamento umano nel trattenere o fornire informazioni é definito come "Social Engineering".
L'Ingegneria Sociale studia tecniche psicologiche, metodi e strumenti per ottenere informazioni.
Le tecniche psicologiche piú comuni sfruttano l'autorevolezza o fanno leva sui sentimenti di colpa, panico, ignoranza, desiderio, avidità e compassione.
Il piú comune metodo di attacco per trafugare informazioni é il Phishing, mentre Spear Phishing e Wailing sono due varianti della stessa minaccia. Vediamoli uno alla volta.
PHISHING
Il Phishing è un tipo di truffa effettuata in internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un soggetto affidabile (Wikipedia).
L’essere umano per natura tende a fidarsi, a voler aiutare gli altri, ed é quindi raggirabile. Il criminale confida in un basso livello di attenzione della vittima o in una sua alta ingenuità.
Non è un caso, infatti, che la tipologia degli attacchi di Phishingsiano in costante crescita da anni. Secondo il Rapporto del Clusit, l’Associazione Italiana sulla Sicurezza Informatica, tra il 2015 e il 2016 tale tipologia di attacco è cresciuta del 1160% nonostante la sensibilità al problema stia aumentando.
Una mail di phishing che ci avvisa di un regalo in denaro e grandi profitti per il futuro
Il Phishing punta a colpire il maggior numero di vittime, utilizzando strumenti massivi, come ad esempio le email, che vengono predisposte per raggiungere indistintamente masse enormi di utenti. Come in una pesca con le reti.
L’intento é di rubare dati personali, password di accesso ai siti di home banking, account email o infettare i computer delle vittime per poterne prendere il controllo.
Nelle email di phishing ci potrebbero essere allegati contenenti malware o link che puntano a siti malevoli.
Eseguendo gli allegati il proprio computer potrebbe essere ad esempio infettato da Ransomware (Malware che chiedono un pagamento per poter utilizzare i dati che nel frattempo sono stati criptati) o Trojan (Malware che si insediano e in maniera silente permettono il controllo remoto o l'esfiltrazione di informazioni da parte di terzi).
Cliccando sui link contenuti all’interno dell’email di phishing si potrebbe venire dirottati su finti siti di banche, spedizionieri, provider email, etc. Nel tentare di colpire il maggior numero di utenti i truffatori infatti si mascherano da aziende o enti che abitualmente si offrono alla massa e prontamente provvederanno a rubare le credenziali dell’utente nel caso venissero digitati.
Tra i piú famosi casi di Phiscing recenti nel territorio italiano ricordiamo finte fatture di operatori telefonici, richieste di tracciamento pacchi da Poste Italiane e altri spedizionieri, richiesta di aggiornamento dati di istituti bancari e restituzione di somme da parte dell'agenzia delle entrate.
Recentemente le email di phishing contengono link che puntano a spazi Cloud nei quali vengono depositati i file malevoli.
Si stima che alla fine di marzo 2016 il 93% di tutte le email di phishing era rappresentato da malware di tipo Ransomware.
I ransomware sono stati la piaga del 2017, evoluti e modificati per criptare non solo i file del PC in cui il malware veniva attivato, ma anche capaci di criptare file nella rete locale.
A inizio 2018 (fonte D3LabIT) è stato individuato un finto sito ikea (ikea-italy[.]info) che potrebbe essere l’oggetto di prossimi attacchi di phishing.
Infine vi segnaliamo un trend ormai consolidato. Anche i siti fake, utilizzati dai criminali per ingannare gli utenti dispongono di certificati SSL (HTTPS) validi e pertanto a fianco dell’indirizzo del sito comparirà il lucchetto verde. La vittima tende a fidarsi maggiormente dai simboli di sicurezza (leva dell'autorevolezza nel social engineering). Ricordiamo però che i certificati SSL si ottengono anche gratuitamente e non garantiscono la liceità di quanto riportato sul finto sito internet bensì solo che la comunicazione tra il server web e il client avviene in modo cifrato.
SPEAR PHISHING
Lo spear phishing è un attacco orientato a ottenere dati di interesse da un numero ristretto di vittime, sulle quali in precedenza l'attaccante ha raccolto informazioni e dati. Proprio grazie alle notizie acquisite sui target, le email di spear phishing sono più precise ed accattivanti, preparate appositamente per catturare l’attenzione e colpire queste determinate vittime.
WHALING
Il termine “whaling” indica la dimensione degli obiettivi da attaccare (whaling infatti deriva dal termine inglese “balena”). Attraverso sofisticate tecniche di ingegneria sociale, il criminale punta a informazioni riservate e personali di notevole valore economico e commerciale. Di solito, questi attacchi vengono diretti verso persone di alto profilo della finanza e dell’industria. Non ci troviamo più di fronte ad un phishing di “piccoli e casuali pesci”, ma è una pesca di “grandi, ricchi e determinati pesci”.
COME COMBATTERE IL PHISHING, REGOLE GENERALI
Le truffe informatiche si realizzano soprattutto contro gli utenti meno preparati e "informatizzati". In ogni caso, non esistendo un software in grado di risparmiarci da queste email é fondamentale destinare all’interno delle aziende e delle famiglie, momenti anche brevi, di formazione. Riconoscere email di phishing sempre piú verosimili richiede accortezza e un po' di malizia.
Nessuno regala nulla. Tutte le email che promettono vincite, riscatti, premi, sono pericolose.
In linea generale poi ci sentiamo di consigliarvi di non aprire o rispondere a mail sospette e non attese. Rispondere a una email fraudolenta, puó comunicare al criminale che la casella è attiva e quindi fornire una informazione aggiuntiva.
Nessun ente o istituto di credito vi chiederà mai le credenziali di autenticazione per email, né tramite assistenza telefonica. Non inviate mai informazioni delicate e password per posta elettronica a nessuno.
Infine é buona norma verificare gli indirizzi web in anteprima prima di cliccare sui link/immagini/pulsanti di una email sospetta. Ormai ogni client di posta permette di verificare il sito web che si aprirá semplicemente passando sopra con il mouse al link o all'elemento senza cliccare.
Questa sopra è la stessa email di phishing mostrata prima. Se passiamo con il mouse, senza cliccare, sopra ai vari link in azzurro, compare in basso a sinistra il reale link che apriremmo se ci cliccassimo sopra. Indirizzi diversi dal mittente, lunghi e codificati, devono mettervi sull'attenti.
Da nostre verifiche empiriche in alcune email di phishing o siti contraffatti potrete trovare la stessa grafica del sito web reale, e alcuni link riporteranno effettivamente al sito ufficiale, l'anteprima quindi sará corretta. Altri elementi della email invece riporteranno al sito contraffatto.
A.S. - M.C.