Maggio 2016 – L'hacker della porta accanto

Oggi vi parlerò del phishing tecnica di hacking da molti non conosciuta ma alquanto importante per qualunque utente che intenda lavorare e navigare sicuro sul web.

Tale attività illegale sfrutta una tecnica di ingegneria sociale che tramite l’inganno riesce ad ottenere in maniera oltretutto relativamente semplice dati sensibili dalla vittima di questo attacco informatico.

Partiamo da alcune informazioni generali:

images — Immagine satirica di pesci composti di password e dati sensibili attirati dall’amo del phisher.

Il termine compare per le prime volte nei primi anni del 1900 e deriva dall’unione delle parole inglesi: password e fishing. Questo termine allude alla “pesca” per così dire di password e come il pescatore spera che i pesci ingenui abbocchino all’amo, allo stesso modo il phisher spera faccia il malcapitato.
Nata in Spagna e Portogallo e in seguito segnalata dalla polizia locale a quella italiana.
Solo nel 2007 (con sentenza del Tribunale di Milano) si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing. Tale sentenza è stata confermata in Cassazione nel 2011.
Le successive sentenze hanno indicato quali norme possono essere applicate a questo nuovo fenomeno criminale ma in Italia non esiste ancora un regolamento preciso e ben definito a differenza di altre legislazioni – prima fra tutte quella americana – che possiedono norme penali incriminatrici ad hoc.
In caso di e-mail sospette è buona norma, prima di cancellarle, inoltrarne una copia alle autorità competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.

Il phishing in concreto:

Questa tecnica di attacco informatico sfrutta le debolezze e l’ingenuità della vittima la quale non nota pochi ma importantissimi particolari che nel caso la salverebbero dal furto delle loro password. Il phisher (colui che mette in atto la manovra del phishing) riesce a ricreare un ambiente sul web perfettamente identico a quello che voi normalmente usate per loggarvi in una banca, in un sito personale o in un social network per poi farsi arrivare i dati da voi inseriti al suo computer tramite ad esempio una mail. Voi di tutto questo processo non ve ne accorgerete minimamente perché sarà tutto inviato automaticamente e a voi non risulteranno stranezze di alcun tipo essendo che voi entrerete nel vostro sito simulato dal phisher che assomiglierà in tutto e per tutto al vostro o nei casi più semplici nel vostro vero sito sfruttando il salvataggio remoto dei vostri dati sul computer. Ma come è possibile tutto ciò? Come si fa a evitarlo?

Passi principali del phishing:

2015-04-29-ts3_thumbsb79 — Immagine simbolica della cattura di password tramite il login in un qualsiasi sito (pezzo di carta bianca) e non in uno specifico.

L’utente malintenzionato (phisher) spedisce a un utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario.
l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.).
l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Fake login).
il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale
normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema, queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Come prevenire:

Principalmente bisogna fare attenzione che i siti visitati siano autentici, ciò sarà facilmente intuibile dall’url che risulterà diverso da quello della vostra banca, sito, ecc. Se non si riscontrano stranezze nel nome si può provare con l’invio del modulo dove ci è stato chiesto di inserire i nostri dati per effettuare l’accesso senza inserire alcun dato. Infine se anche questo non porta a nulla di particolare si può provare con credenziali sbagliate e se riuscite ad entrare lo stesso avrete capito di essere di fronte ad una manovra di phishing la quale una volta smascherata è buona norma segnalarla alla polizia postale o alle autorità competenti.

Alcuni browser come Chrome hanno sviluppato un sistema anti-phishing che rileva il sito fasullo e ti avverte che stai per essere vittima di un attacco informatico.

Inoltre Microsoft, e-Bay e Visa hanno deciso di dar vita al Phish Report Network: una sorta di database che raccoglie le informazioni utili per identificare le e-mail truffaldine che arrivano agli utenti di tutto il mondo e che consentirà di stilare una lista nera dei siti del phishing a cui sono stati attribuiti molti tentativi di truffa.

Sfatiamo miti e leggende:

Una preoccupazione frequente degli utenti che subiscono lo spillaggio è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio on-line indicato nel messaggio-esca. Normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spam, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.

phishing_password_security_thinkstock-100412471-primary.idge — Immagine espressiva in modo simbolico del phishing.

Alessandro Benatti – Phishing

Fonti:

Polizia di Stato

Wikipedia

Più si va avanti negli anni e più risulta difficile rispondere alla domanda “Come hai vissuto la tua prima esperienza su internet?” , specialmente se, come me, siete nati nel bel mezzo dell’esplosione e diffusione di questo nuovo e a volte misterioso mezzo.

Infatti, come avrete già capito, la mia primissima esperienza su internet riguarda la mia più tenera infanzia, e di conseguenza ne conservo un ricordo alquanto vago. Tutto ciò che ricordo ero io, seduto sulle gambe di mia madre, intento a fissare quell’enorme e, diciamocelo, orribile schermo a tubo catodico color latte-andato-a-male, collegato a sua volta ad un enorme e rumorosissimo Tower Case dal gusto estetico altrettanto discutibile.

vecchio-pc-640x476 — Esempio di vecchio computer.

All’epoca, avrò avuto cinque o sei anni al massimo, l’era di internet (in Italia) era ancora agli albori e io non ne comprendevo ancora le potenzialità e funzionalità: l’unico scopo del connettersi nel web, comunque, come ho detto prima, costantemente supervisionato da un genitore, per me era giocare ad insulsi giochini flash. Niente di più.

Dopo svariati anni di totale impossibilità a connettersi ad internet (dovuta a traslochi e scarsa necessità della stessa), nel 2008 riuscii a convincere mio padre a sottoscrivere un contratto per ottenere una connessione internet attraverso una chiavetta-modem usb. Fu da quel momento in avanti che la mia esperienza sul e del web si fece più assidua e concreta. Il motivo iniziale che mi spinse a desiderare la possibilità di connettersi ad internet quotidianamente fu un altro gioco online, chiamato all’epoca “Tribal Wars”, di cui adesso spiegherò brevemente in cosa consiste, visto che per l’appunto fu la mia prima vera esperienza su internet. Per chi volesse approfondire, lascio il link alla pagina di Wikipedia qui.

tribalwars_big — Il logo originale del gioco.

Tribal Wars, oggi meglio conosciuto come Tribals, era ed è tutt’oggi un MMOG online sviluppato dalla Innogames. In poche parole, il gioco consiste nell’amministrare un villaggio medioevale, migliorandone di volta in volta le varie costruzioni attraverso dei livelli, e sfornare truppe per razziare ed eventualmente conquistare i villaggi limitrofi, controllati anch’essi da altri player. Una meccanica interessante e degna di nota che caratterizza in generale questo genere di giochi è però il poter formare delle alleanze con altri giocatori: accettarne una significava infatti entrare a far parte di un gruppo di utenti che comunicano principalmente attraverso un forum. Fu esattamente in uno di questi forum, dove si discute sì del gioco e delle strategie di squadra da intraprendere, ma anche di molti argomenti off-topic, che incominciai a interagire personalmente per la prima volta con altri utenti del web.

Ma Tribal Wars fu solo il trampolino di lancio verso un mondo affascinante e praticamente sconfinato; ben presto scoprii che esistevano forum nati e incentrati su argomenti di qualsiasi tipologia, dal file sharing a community di fan di un particolare gioco o film. Inoltre quello fu il periodo d’oro di una delle piattaforme di messaggistica istantanea più famose di sempre: parlo ovviamente di Windows Live Messenger ai tempi d’oro, prima che le sue funzioni venissero rimpiazzate dall’attuale colosso dei social network, Facebook. Inutile dirvi quante ore ho passato su entrambi!

Giovanni Blangiardi

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.