Oggi vi parlerò del phishing tecnica di hacking da molti non conosciuta ma alquanto importante per qualunque utente che intenda lavorare e navigare sicuro sul web.
Tale attività illegale sfrutta una tecnica di ingegneria sociale che tramite l’inganno riesce ad ottenere in maniera oltretutto relativamente semplice dati sensibili dalla vittima di questo attacco informatico.
Partiamo da alcune informazioni generali:
![images](https://lhackerdellaportaaccanto.wordpress.com/wp-content/uploads/2016/05/images.jpg?w=199&h=132)
- Il termine compare per le prime volte nei primi anni del 1900 e deriva dall’unione delle parole inglesi: password e fishing. Questo termine allude alla “pesca” per così dire di password e come il pescatore spera che i pesci ingenui abbocchino all’amo, allo stesso modo il phisher spera faccia il malcapitato.
- Nata in Spagna e Portogallo e in seguito segnalata dalla polizia locale a quella italiana.
- Solo nel 2007 (con sentenza del Tribunale di Milano) si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing. Tale sentenza è stata confermata in Cassazione nel 2011.
- Le successive sentenze hanno indicato quali norme possono essere applicate a questo nuovo fenomeno criminale ma in Italia non esiste ancora un regolamento preciso e ben definito a differenza di altre legislazioni – prima fra tutte quella americana – che possiedono norme penali incriminatrici ad hoc.
- In caso di e-mail sospette è buona norma, prima di cancellarle, inoltrarne una copia alle autorità competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.
Il phishing in concreto:
Questa tecnica di attacco informatico sfrutta le debolezze e l’ingenuità della vittima la quale non nota pochi ma importantissimi particolari che nel caso la salverebbero dal furto delle loro password. Il phisher (colui che mette in atto la manovra del phishing) riesce a ricreare un ambiente sul web perfettamente identico a quello che voi normalmente usate per loggarvi in una banca, in un sito personale o in un social network per poi farsi arrivare i dati da voi inseriti al suo computer tramite ad esempio una mail. Voi di tutto questo processo non ve ne accorgerete minimamente perché sarà tutto inviato automaticamente e a voi non risulteranno stranezze di alcun tipo essendo che voi entrerete nel vostro sito simulato dal phisher che assomiglierà in tutto e per tutto al vostro o nei casi più semplici nel vostro vero sito sfruttando il salvataggio remoto dei vostri dati sul computer. Ma come è possibile tutto ciò? Come si fa a evitarlo?
Passi principali del phishing:
![2015-04-29-ts3_thumbsb79](https://lhackerdellaportaaccanto.wordpress.com/wp-content/uploads/2016/05/2015-04-29-ts3_thumbsb79.jpg?w=420&h=294)
- L’utente malintenzionato (phisher) spedisce a un utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario.
- l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.).
- l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Fake login).
- il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale
- normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema, queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
- il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.
Come prevenire:
Principalmente bisogna fare attenzione che i siti visitati siano autentici, ciò sarà facilmente intuibile dall’url che risulterà diverso da quello della vostra banca, sito, ecc. Se non si riscontrano stranezze nel nome si può provare con l’invio del modulo dove ci è stato chiesto di inserire i nostri dati per effettuare l’accesso senza inserire alcun dato. Infine se anche questo non porta a nulla di particolare si può provare con credenziali sbagliate e se riuscite ad entrare lo stesso avrete capito di essere di fronte ad una manovra di phishing la quale una volta smascherata è buona norma segnalarla alla polizia postale o alle autorità competenti.
Alcuni browser come Chrome hanno sviluppato un sistema anti-phishing che rileva il sito fasullo e ti avverte che stai per essere vittima di un attacco informatico.
Inoltre Microsoft, e-Bay e Visa hanno deciso di dar vita al Phish Report Network: una sorta di database che raccoglie le informazioni utili per identificare le e-mail truffaldine che arrivano agli utenti di tutto il mondo e che consentirà di stilare una lista nera dei siti del phishing a cui sono stati attribuiti molti tentativi di truffa.
Sfatiamo miti e leggende:
Una preoccupazione frequente degli utenti che subiscono lo spillaggio è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio on-line indicato nel messaggio-esca. Normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spam, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.
![phishing_password_security_thinkstock-100412471-primary.idge](https://lhackerdellaportaaccanto.wordpress.com/wp-content/uploads/2016/05/phishing_password_security_thinkstock-100412471-primary-idge.jpg?w=702)
Alessandro Benatti – Phishing
Fonti: