Il phishing è una pratica illegale messa in atto da ignoti malintenzionati (chiamati phisher)
che contattano gli utenti tramite email, SMS, WhatsApp (o altri
software molto conosciuti di messaggistica) o talvolta con normali
telefonate con lo scopo di indurli a fornire volontariamente dati di
accesso a servizi bancari o comunque privati dai quali sia possibile
prelevare denaro.
Questo fenomeno fa leva sulla paura e più spesso sulla ingenuità degli utenti per indurli a fornire dati altrimenti difficilmente individuabili;
anzichè bypassare sistemi di sicurezza sempre più sicuri i truffatori
preferiscono aggirare l'ostacolo facendo si che sia proprio l'utente a
fornire i dati necessari per accedere al conto corrente (il target più
frequente) o ad un'area sensibile di un servizio cui sono registrati.
Quando
il truffatore riesce in questo intento non avrà alcuna difficoltà ad
accedere al conto bancario (ad esempio) del malcapitato di turno giacchè
ne possiede tutti i dati di accesso e riuscirà a prelevare in tutta
tranquillità il denaro disponibile, spesso senza che l'utente abbia il
tempo di intervenire.
Come funziona il phishing:
Come
abbiamo accennato la frode viene consumata per lo più per via
telematica/informatica ed anche in questo caso come per altre minacce
informatiche la stragrande maggioranza dei messaggi fraudolenti arriva
via email, anche se oggigiorno non è raro vederne anche su facebook,
whatsapp o altri social networks.
Generalmente nel messaggio
vengono descritte particolari necessità di verifica e controllo di una
presunta utenza (che sia un banca, il conto di poste italiane, Paypal o
altri servizi sui quali è possibile prelevare del denaro) adducendo
recenti problematiche che necessitano un immediato controllo da parte
dell'utente; il messaggio imita spesso quasi alla perfezione le
comunicazioni reali dei mittenti per i quali si spacciano, quindi stesso
logo, indirizzo email credibile, testo scritto con lo stesso carattere e
colori usati nelle comunicazioni ufficiali, contenuti che sembrano
reali e talvolta più che credibili tanto che l'utente meno attento può
cadere nel tranello e ritenere che ci sia la reale necessità di una
verifica finendo cosi per fornire i propri dati volontariamente.
Talvolta
per forzare l'utente a prendere sul serio la comunicazione vengono
indicate delle gravi conseguenze risultanti dal non agire; ciò amplifica
l'ansia in quanto quando si tratta del proprio denaro le persone
possano essere emotivamente disturbate da un messaggio che dice che
perderemo parte del capitale se si procede alla verifica richiesta o
che altrimenti non sarà più possibile usare il servizio.
Si tratta quindi di tecniche di
"ingegneria sociale"
che fanno leva sulla paura e sulla emotività delle persone coinvolte da
argomenti delicati ... e sempre sempre sulla poca destrezza con i mezzi
informatici.
Chi invia questi messaggi e come fa a conoscerci?
La domanda che molti si possono porre è...
"ma come fa questo furfante a conoscermi, avere la mia email e sapere che banca utilizzo ?"Domanda
più che lecita ... per la quale c'è una risposta semplice... Non c'è
una persona che fisicamente si mette a scrivere il messaggio proprio a
noi ne tantomeno questi loschi figuri vi conoscono o sanno che servizio
bancario utilizzate.
Si tratta di gruppi di persone
altamente organizzate che operano tramite softwares automatici che
inviano gli stessi messaggi a un numero enorme di email raccolte da
particolari servizi illegali.
Capita cosi, per fare
un esempio, di ricevere un messaggio di phising dal sito delle Poste
italiane che ci lascerà totalmente distaccati se sappiamo di non avere
mai avuto un conto alle Poste...ma capita anche il messaggio da servizi
bancari che possono coincidere con il nostro reale sistema bancario...
ed in quel caso le preoccupazioni possono farsi largo nella nostra
mente.
Per andare un po più a fondo della questione, i sistemi
automatici utilizzati di cui accennavamo sanno mettere in correlazione
gli indirizzi email raccolti senza consenso in maniera fraudolenta con i
siti web visitati frequentemente da utenti poco accorti alla propria
sicurezza informatica dove inseriscono i propri dati mentre
navigano; è per questo che i messaggi di phishing risultano con l'andare
del tempo sempre più mirati e subdoli in quanto spesso richiamano
l'attenzione dell'utente elencano attività che
egli ha veramente svolto
di recente sul web...motivi di preoccupazione in più in quanto fa
pensare
"ma allora è vero, sanno anche dove ho navigato di recente !!!"Una
delle ultime tendenze è fornire prove di spionaggio delle azioni
recentemente svolte dall'utente inserendo una vecchia password che
l'utente utilizzava realmente in passato su alcuni servizi online;
questo ha destato molta preoccupazione in quanto è facile capire la
preoccupazione di una persona che si sente ricattata da qualcuno che
fornisce delle prove certe a supporto delle proprie minacce.
Anche
in questo caso nessun reale pericolo... si tratta sempre di vecchie
passwords che i delinquenti acquistano da servizi illegali che a loro
volta li hanno ottenuti crackando server web poco sicuri dove erano
immagazzinati dati personali reali. Nel caso in cui la password corrisponda a
quella attualmente in uso è opportuno cambiarla quanto prima!
Casi di phishing nella vita quotidiana; alcuni esempi reali:
Vediamo
adesso alcuni esempi pratici per capire meglio come si sviluppa un
tentativo di phishing; prenderemo in analisi alcune metodologie di
attacco tra le più comuni ed analizzeremo casi concreti che hanno preso
di mira alcune banche o servizi di credito molto conosciuti nel nostro
paese, senza per questo voler minimamente additare tali servizi come non sicuri... sia chiaro...
semplicemente ne analizzeremo un numero limitato a scopo didattico e
per meglio comprendere come avviene all'atto pratico questo tipo di
frode informatica.
Quello che sarà mostrato negli
screenshots successivi è più o meno quanto avviene contro ogni sistema
di credito esistente e non solo per gli istituti utilizzati negli
esempi.
La mail che segnala un problema sul proprio conto:
Questo
tipo di email sembra... e sottolineo sembra... provenire da un noto
istituto italiano e ci racconta di alcuni problemi di sicurezza che
hanno reso necessario il blocco dei servizi dell'utente; si richiede
quindi, millantando motivazioni che vanno a nostro beneficio, di
accedere per rimuovere le limitazioni presenti.
Come si vede dallo screenshot, la mail sembra provenire da POSTE ITALIANE; diciamo subito che
non è cosi, in quanto
la descrizione del mittente può essere manomessa... cosi come
può essere manomessa la destinazione dei links presenti in qualsiasi email.
Qualora
l'utente cliccasse su questo link pensando erroneamente di essere
rimandato al sito delle poste italiane per rimuovere le limitazioni
descritte,
sarebbe rimandato ad un sito che nulla ha a che fare con l'istituto delle poste italiane,
ma che probabilmente ne imiterà la pagina web per indurre il
malcapitato ad inserire i propri dati in quello che a tutti gli effetti
potrebbe sembrare il sito ufficiale dell'ente descritto.
Vedremo a breve ancor più
nel dettaglio come capire in modo sicuro se il link è truffaldino e
quindi come verificare la destinazione reale dei links presenti nelle email che riceviamo.
Vediamo
ora un tentativo di phishing contro poste italiane ancora più
elaborato... quindi stesso soggetto ma con modalità diverse di operare.
In
questo screenshot vediamo come i truffatori abbiamo speso più tempo nel
costruire la propria trappola; email in veste grafica somigliante a
quella dell'istituto delle poste italiane con tanto di logo e icone
utilizzate veramente sul sito ufficiale.
L'utente in questo caso è visivamente portato a fidarsi
in quanto riconosce, a differenza dell'esempio precedente, il logo del
proprio istituto... il messaggio inoltre propone un'azione da compire
che, a quanto si legge, andrà a vantaggio dell'utente... ma ovviamente
anche in questo caso
è tutto falso e come nella precedente email
il link non porta altro che alla solita pagina truffa con la quale richiederà i dati di accesso per poi memorizzarle chissà dove.
Vediamo
ora un terzo e più accattivante tentativo di phishing, ancora con il
soggetto delle poste italiane o meglio di un servizio ad essa collegato
molto conosciuto, la famosa
postepay .
In questo caso la veste grafica è ancora più curata e sembra veramente di stare sul sito di postepay.
Notiamo però un dettaglio ulteriore di cui fino ad ora non avevamo parlato...
il testo in un italiano non corretto e spesso con errori.
Nello
screenshot lo notiamo dalle aree cerchiate di rosso... da qui un
concetto importante che riprende quanto detto in apertura dell'articolo;
trattandosi di testi creati ed inviati non da persone ma da sistemi
automatici, spesso la grammatica o la forma lessicale è errata in
maniera più o meno evidente. Prestiamo quindi sempre particolare
attenzione a questo aspetto e perdiamo due minuti in più a leggere le
informazioni sulle email che ci arrivano.
Passiamo ora ad un tentativo di frode che sfrutta la notorietà del noto istituto di credito Intesa San Paolo.
In
questo screenshot notiamo, come già visto in precedenza, un messaggio
che parla di presunte azioni di sicurezza da fare entro un determinato
numero di ore per migliorare la sicurezza del proprio conto che
guardacaso prevedono la conferma dei propri dati di accesso.
Anche
in questo esempio notiamo la presenza del logo ufficiale dell'istituto
di credito e un link che, stando alla descrizione visibile, riporta al
sito di intesa san paolo.
Qui ci fermiamo un secondo e ribadiamo un concetto fondamentale;
i testi ed i link visualizzati nelle email possono essere manomessi e non è mai certo che quanto leggiamo sia veritiero.
Anche in questo caso infatti il link non porterà al vero sito della
banca ma ad una pagina predisposta ad hoc dei delinquenti per
convincerci ad inserire i nostri dati di accesso, dati che poi
utilizzeranno per portarci via il nostro denaro.
Vediamo un secondo tentativo contro il medesimo istituto ma un po piu elaborato.
In questo caso notiamo una grafica ancora più chiara, che punta molto sul logo per indurre l'utente ad una fiducia istantanea...
Notiamo
inoltre, nell'indirizzo del mittente, che il messaggio sembra provenire
da intesa san paolo... ma ovviamente, secondo quanto detto poco fa, non
è vero.
Vediamo una cosa nuova, che vale anche per i precedenti messagi, ovvero
la destinazione reale cui rimanda il link:
possiamo vederla da computer semplicemente passando il mouse sopra di esso ma senza premere alcun tasto... si nota subito che il link non porta dove dice il testo visibile ma ad un sito estero sicuramente poco raccomandabile.
Questa azione di verifica del link è fondamentale per la nostra sicurezza, per cui non scordiamo mai di controllare i link prima di cliccarli e anzi... come diremo a breve, non clicchiamoci mai sopra!
Purtroppo
questa azione di verifica è facilmente applicabile su un computer,
molto meno su un dispositivo mobile anche se il modo per fare tale
verifica c'è.
Per finire un ultimo esempio che riguarda il noto servizio di pagamento su internet chiamato
PayPal.
Il
messaggio è scritto in inglese ma recita più o meno quello che recitano
tutti gli altri esempi già visti, ovvero per ragioni di sicurezza è
necessario verificare (e quindi inserire) i propri dati di accesso al
conto PayPal.
Whatsapp e social networks:
Il
phishing sfrutta prevalentemente le email ma usa anche i social
networks e qualunque servizio sia sufficientemente diffuso da creare una
rete di potenziali vittime molto elevata.
Non di rado si vedono
catene di S.Antonio su WhatsApp o Facebook... altre volta si ricevono
messaggi che invitano a dare il proprio consenso ad una band musicale, a
dare un appoggio virtuale ad una petizione con scopi apparentemente
benefici o a sfruttare dei buoni sconto con un semplice click sul link
ricevuto.
Anche in questi casi valgono le raccomandazioni già
fatte per i casi pervenuti per email e soprattutto è bene considerare
questo ultimo fondamentale concetto;
non è detto che un messaggio
proveniente da un conoscente (marito, moglie, amico/a, collega,
fidanzata etc etc) sia per forza autentico e sicuro.
Questo in quanto, come già detto, i messaggi sono creati da sistemi automatizzati e
un vostro conoscente potrebbe essere divenuto vittima di una frode; a quel punto succede qualcosa di
impotante da comprendere, ovvero che tale conoscente diventa egli stesso il mittente di altre frodi che pertanto porteranno il suo nome... ed in questo caso ogni verifica ci farebbe protendere per dire "si ma è sicuramente lui ad averlo scritto, posso fidarmi"... e invece non è affatto detto.
Si
capisce bene come, parlando di social networks, un utente infettato ne
infetta altri 100 (per dire un numero) con un effetto di incremento
esponenziale del numero delle potenziali vittime.
Le classiche offerte commerciali via telefono:
I
pericoli esistono anche quando riceviamo le classiche promozioni
commerciali via telefono; chi non è mai stato bersagliato dai vari
operatori delle reti telefoniche o televisive per le promo più in voga
del momento a qualunque ora del giorno?
Il phishing è
in agguato anche in questo caso e tutti noi abbiamo appreso dai fatti
di cronaca quotidiana come certe povere vittime, spesso anziane, siano
state raggirate da persone che telefonicamente proponevano offerte
super-vantaggiose per aderire alle quali occorreva fornire dei dati
personali, quando l'ultima bolletta pagata, quando un nominativo o
codici di vario tipo.
Il processo è il medesimo del phishing
finora descritto, ovvero ottenere dati altrimenti difficilmente
ottenibili per falsificare richieste puramente inventate di cambio
operatore o tariffazione.
In questi casi assistiamo a vere e
proprie truffe organizzate dove bande di criminali hanno tessuto una
fitta rete di collaboratori con lo scopo di delinquere ai danni del
malcapitato che ingenuamente ha fornito i propri dati o il consenso.
Occhi aperti quindi anche per le classiche promozioni telefoniche o porta a porta.
Il nostro consiglio è sempre quello di NON accettare mai alcuna proposta telefonicamente ma di riferire che in caso di vostro interesse vi recherete al più vicino centro autorizzato.
Per
quanto riguarda le proposte fatte porta a porta, consigliamo di non far
entrare mai nessuno nella propria abitazione, anche se provvisti di
tesserino di riconoscimento in quanto non ci vuole nulla a
falsificarlo... come in altri casi, se suonano alla porta rispondiamo
che non siamo interessati e che qualora lo fossimo ci recheremo
personalmente (e quando vogliamo noi) al più vicino centro autorizzato
per maggiori dettagli.
I contratti stipulati senza il consenso dell'utente:
Rimaniamo nell'ambito dei contatti telefonici.
Casi
di cronaca recenti hanno dimostrato come sia facile ritrovarsi un
servizio non richiesto dopo aver parlato con un operatore al telefono.
Sebbene
non si possa parlare tecnicamente di phishing, anche una semplice
risposta di assenso può, nelle mani di delinquenti organizzati,
diventare l'accettazione di un contratto.
Come dite...è assurdo ? Si lo è, ma è già successo e capiterà ancora. Facciamo un esempio spicciolo per capire meglio.
Telefonata da un operatore alla casa di un italiano...
Operatore - "Pronto, sono Manuela e chiamo per conto di XXX italia, lei è il sig. Rossi Mario ?"
Utente - "Si sono io, cosa desidera ?".... ci fermiamo qui... perchè
il danno potrebbe essere già fatto... l'utente ha risposto
"SI"... un si innocente siamo d'accordo, ma che
può essere facilmente trasformato in un SI pronunciato ad una domanda diversa, come per esempio,
"Se accetta il nuovo contratto dica SI dopo il beep"
... basta un software di elaborazione audio, una paio di operazioni di
taglio et voilà, il gioco è fatto, il consenso (fasullo) è stato
estorto.
Questo succede perchè queste organizzazioni criminali,
sempre secondo i fatti di cronaca, dislocate in paesi spesso ben lontani
dal nostro,
non hanno ovviamente nulla a che fare con le note aziende delle quali si spacciano per collaboratori, ma ne sfruttano solamente il nome e la notorietà per far pensare all'utente di essere al sicuro.
Anche in questo caso suggeriamo, ad ogni telefonata di questo tipo, di non rispondere MAI con un assenso, nemmeno alla domanda fatta poco fa... rispondiamo invece cosi:
Operatore - "Pronto, sono Manuela e chiamo per conto di XXX italia, lei è il sig. Rossi Mario ?"Utente - "Lei chi è e come ha avuto il mio numero?"Operatore - "Lei è iscritto volontariamente alle liste perchè ha firmato un documento bla bla bla"Utente - "Guardi non mi interessa, non chiami più perchè bloccherò subito il suo numero..." ... chiudere la telefonata e bloccare subito il numero chiamante.
Quali difese abbiamo contro il phishing ?
La prima difesa, come diciamo sempre su questo portale, è
l'attenzione dell'utente che sta dietro la tastiera/dispositivo.
Un utente sbadato, svogliato o poco accorto prima o poi rimarrà vittima di un tentativo di phishing proprio per colpa della leggerezza con la quale si approccia al mondo delle tecnologie.
Guardandoci
attorno notiamo che senza dubbio i grandi servizi mondiali si sono
mossi; parliamo in particolar modo delle banche, che per poter offrire
un servizio di home banking serio ed affidabile hanno messo in piedi dei
sistemi di sicurezza che utilizzano riconoscimento delle impronte
digitali, blocco su un unico cellulare o token fisici che generano
numeri casuali senza i quali è impossibile accedere al conto corrente
online.
Purtroppo per quella che è la mia opinione, molti
servizi, compresi quelli bancari, sono ancora indietro nel garantire una
difesa efficace, basti pensare che colossi della finanza oggi obbligano
gli utenti ad utilizzare lo smartphone come unico mezzo per l'accesso
all'home banking senza fornire ne le modalità di utilizzarlo come
sistema non dispositivo (cioè allo scopo di sola consultazione senza
poter prelevare denaro o fare pagamenti) ne sistemi di doppia
autenticazione (pin + impronta digitale per dirne una o doppio pin).
Questo è ancor più grave quando tale realtà viene calata su persone
anziane o non in linea con le tecnologie moderne.
E'
facile pensare ai risvolti negativi in caso di smarrimento del
dispositivo o alla possibilità, non troppo remota, che un semplice
codice pin possa essere bypassato in particolari condizioni.
I
server mondiali si aggiornano continuamente in materia di sicurezza e
ormai ogni tentativo di phishing viene spesso catalogato, una volta
riconosciuto, come
SPAM (posta indesiderata);
l'utente riceve
si la mail ma marcata come SPAM e ciò rende molto più facile
proteggersi anche perchè in genere queste email considerate poco
attendibili vengono confinate in aree protette della propria casella
email. Purtroppo non è una regola certa sulla quale basarsi ma piuttosto
un aiuto che quando ci viene incontro risulta molto importante.
In
ogni caso, di anno in anno la sicurezza dell'autenticazione aumenta...e
questo non può che rincuorarci... ma le tecniche dei delinquenti in
questione vanno spesso di pari passo e cosi per ogni
frode tenuta sotto controllo ne nascono altre che mieteranno nuove vittime.
Ma allora cosa possiamo fare ? Ecco un elenco delle cose da tenere sempre a mente.
Le regole d'oro per proteggersi dal phishing:
- Accendere il cervello:
non me ne vogliate, ma oggigiorno prima di utilizzare sistemi
informatici per accedere al proprio credito è più che mai opportuno
prestare attenzione a TUTTO cio' che si fa, che si riceve, che si legge
ed avere sempre il seme del dubbio addosso. Come si dice a pensare male
si fa peccato ma ci si azzecca spesso, ed è (purtroppo) molto vero sui
sistemi informatici e sulla rete internet in generale. Un utente
disattento o che non legge, che non si fa domande, che non vuole perdere
tempo, che da tutto per scontato, che non ha voglia di usare password
sicure e usa sempre la stessa ovunque è la vittima preferita dai
malfattori.
- Aggiornare il proprio sistema operativo e le applicazioni collegate ai servizi di credito;
i truffatori sfruttano spesso falle del sistema operativo o delle
applicazioni che usiamo per accedere al nostro credito, per cui tenendo
tali sistemi aggiornati si riduce il rischio che possano sfruttare
queste falle per danneggiarci.
- Prestare attenzione al mittente del messaggio: diffidare sempre di email ricevute da persone sconosciute è la prima regola.
Per mittente si intende non solo il testo visualizzato come nome del mittente (tipo Mario Rossi) ma l'indirizzo email reale che può e deve essere verificato con un minimo di attenzione... se il testo del mittente è Mario Rossi e l'indirizzo invece risulta essere Bghk@crack.ru c'è qualcosa che non va.
- Non cliccare mai sui link presenti nelle email, nemmeno in caso di sicurezza quasi matematica che il messaggio sia autentico.
Anche
qualora una mail reale, senza alcuna truffa, ci invitasse ad accedere
ad un servizio servendosi di un link diretto, abituiamoci a pensare che
non si tratta affatto di una facilitazione che ci avvantaggia ma
potrebbe invece essere un tentativo di frode.
Anche dopo tutte le opportune verifiche del caso, accediamo al servizio se lo desideriamo ma NON trami il link, bensì digitando la homepage manualmente sul nostro browser.
Se una volta fatto l'accesso come di consueto, ovvero in maniera
sicura, troveremo traccia della comunicazione riportata nella email
allora potremo anche procedere, diversamente potremo essere di fronte ad
una frode.
In ogni caso prestare sempre moltissima attenzione ai links e verificarli come mostrato negli screenshot precedenti.
- Utilizzare un software antispam;
questo semplice accorgimento, utile a coloro che scaricano la posta su
client come Thunderbird o Outlook o altri che acquisiscono le email da
più servizi contemporaneamente, evita molti problemi in quanto filtra i
messaggi spam che spesso veicolano i tentativi di phishing. Per coloro
che lo desiderano è disponibile una nostra guida sull'argomento:
Difendersi dallo SPAM con Spamihilator
- Installare un buon antivirus e tenerlo sempre aggiornato è cosa buona e santa e peraltro volendo non costa nulla!
- Proteggere i dispositivi mobili con almeno 2 codici di protezione; uno primario di blocco schermata ed uno a proteggere l'accesso all'applicazione del servizio di credito.
I codici devono essere di almeno 6-8 numeri o meglio ancora se fatto di caratteri alfanumerici (numeri e lettere);
un dispositivo mobile può essere smarrito o rubato, pertanto chi ne
venisse in possesso potrebbe accedere ai vostri servizi di credito in un
lampo se non correttamente protetti.
Non
si pensi che la presenza di un semplice codice di accesso al dispositivo
ci possa mettere al sicuro in quanto scoprire un codice di blocco non è
cosa tanto difficile...
molto meglio averne almeno 2, meglio ancora se uno di essi usa l'impronta digitale.
Conclusioni:
Abbiamo
fatto un viaggio all'interno degli esempi più comuni di phishing, una
frode molto pericolosa dalla quale è bene salvaguardarsi con attenzione.
L'articolo
vuole più che altro essere un contenuto che faccia aprire gli occhi ai
nostri lettori e mai vorremo invece che venisse visto come un testo per
additare qualcuno; l'informatica odierna applicata alla rete internet
sta diventando un terreno molto pericoloso e noi cerchiamo, con umiltà,
di dare quanti più mezzi possibile per affrontarla rischiando il meno
possibile.
Per chiunque volesse può commentare questa guida con il box sottostante, che lo ricordiamo, può essere totalmente anonimo.
Un saluto a tutti, alla prossima.
Stefano Ravagni