Phishing

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Il phishing è una minaccia attuale, il rischio è ancora maggiore nei social media come Facebook, Twitter, e Google+. Degli hacker potrebbero infatti creare un clone del sito e chiedere all’utente di inserire le sue informazioni personali. Gli hacker comunemente traggono vantaggio dal fatto che questi siti vengono utilizzati a casa, al lavoro e nei luoghi pubblici per ottenere le informazioni personali o aziendali.

Il termine phishing è una variante di fishing (letteralmente “pescare” in lingua inglese),probabilmente influenzato da phreaking e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio leet, nel quale la lettera f è comunemente sostituita con ph. La teoria popolare è che si tratti di un portmanteau di password harvesting, è un esempio di pseudoetimologia.
Una tecnica di phishing è stata descritta nel dettaglio in un trattato presentato nel 1987 al International HP Users Group, Interex.

La prima menzione registrata del termine phishing è sul newsgroup di Usenet alt.online-service.america-online il 2 gennaio 1996, malgrado il termine possa essere apparso precedentemente nell’edizione stampata della rivista per hacker 2600.

In accordo con Ghosh ci sono stati 445’004 attacchi nel 2012, 258’461 nel 2011 e 187’203 nel 2010, mostrando che la minaccia del phishing è in aumento.
Numero totale di attacchi phishing unici
Anno Gennaio Febbraio Marzo Aprile Maggio Giugno Luglio Agosto Settembre Ottobre Novembre Dicembre
2005 12845 13468 12883 14411 14987 15050 14135 13776 13562 15820 16882 15244
2006 17877 17163 18480 17490 20109 28571 23670 26150 22136 26877 25816 23787
2007 29930 23610 24853 23656 23415 28888 23917 25624 38514 31650 28074 25683
2008 29284 30716 25630 24924 23762 28151 24007 33928 33261 34758 24357 23187
2009 34588 31298 30125 35287 37165 35918 34683 40621 40066 33254 30490 28897
2010 29499 26909 30577 24664 26781 33617 26353 25273 22188 23619 23017 21020
2011 23535 25018 26402 20908 22195 22273 24129 23327 18388 19606 25685 32979
2012 25444 30237 29762 25850 33464 24811 30955 21751 21684 23365 24563 28195
2013 28850 25385 19892 20086 18297 38100 61453 61792 56767 55241 53047 52489
2014 53984 56883 60925 57733 60809 53259 55282 54390 53661 68270 66217 62765
2015 49608 55795 115808 142099 149616 125757 142155 146439 106421
Prime azioni di phishing su AOL

Il phishing su AOL era strettamente connesso alla comunità warez che scambiava software senza licenza. AOHell, rilasciato all’inizio del 1995, era un programma con lo scopo di attaccare gli utenti di AOL fingendosi un rappresentante della compagnia AOL. Nel tardo 1995 AOL applicò misure per prevenire l’aperture di account usando carte di credito false, generate tramite algoritmo. I cracker iniziarono ad attaccare i veri utenti con lo scopo di ottenere i loro profili.
Transizione a operazioni più ampie

L’aver ottenuto gli account di AOL poteva aver permesso ai phishers l’utilizzo improprio delle carte di credito, ma ha soprattutto portato alla realizzazione che potessero essere attuabili attacchi verso sistemi di pagamento. Il primo attacco diretto conosciuto contro un sistema di pagamento è stato ad E-Gold nel giugno 2001, che è stato seguito da “post-9/11 id check”. Entrambi vennero visti al tempo come fallimenti, ma possono essere ora visti come primi esperimenti per attacchi più complessi per banche tradizionali. Nel settembre 2003 c’è stato il primo attacco a una banca, ed è stato riportato da The Banker in un articolo scritto da Kris Sangani intitolato “Battle Against Identity Theft.”.

Nel 2004 il phishing era riconosciuto come una parte completamente affermata dell’economia del crimine: emersero specializzazioni su scala globale per portare a termine le operazioni, che venivano sommate per gli attacchi finali.

Nel 2011 una campagna di phishing cinese ha avuto come obbiettivi gli account Gmail di alti ufficiali di governo e dell’esercito degli Stati Uniti e del Sud Korea, come anche di attivisti cinesi. Il governo cinese ha negato ogni accusa di aver preso parte a questo attacco partito dal suo territorio, ma ci sono prove che People’s Liberation Army ha assistito nello sviluppo del software di cyber-attacco.
Tecniche di phishing
Attacchi rilevanti di phishing
Data Vittima Dettagli attacco
2013/11 Target (negozi) 110 milioni di utenze comprensive di carta di credito rubate, attraverso il phishing di un account di un subappaltatore.[17] Il CEO e lo staff della sicurezza IT sono stati licenziati.
2011/03 RSA Security Lo staff interno di RSA è stato vittima di phishing, portando all’accesso della master keys e al furto di tutti i token RSA SecureID, che sono stati in seguito usati per far breccia all’interno dei fornitori per la difesa US.
2014/09 Home Depot Le informazioni personali e della carta di credito di 100+ milioni di clienti di tutti i 2200 Home Depot sono stati messi in vendita su siti di hacking.
2014/11 ICANN Sono stati ottenuti accessi amministrativi al Centralized Zone Data System, permettendo agli attaccanti di accedere ai file di zona e ai dati degli utenti del sistema. Oltre a ciò è stato ottenuto anche al I CANN’s public Governmental Advisory Committee wiki, blog, e al portale di informazioni whois.
Un grafico che mostra l’incremento delle segnalazioni di phishing da ottobre 2004 a giugno 2005

Il servizio di condivisone file RapidShare è stato vittima del phishing per ottenere le credenziali di account premium, che non hanno vincoli di velocità e numero di download.

Gli attaccanti che hanno avuto accesso al database di TD Ameritrade contenente 6.3 milioni di indirizzi mail lanciarono successivamente un attacco phishing alle suddette mail per ottenere username e password.

Quasi la metà dei furti di credenziali tramite phishing nel 2006 sono stati commessi da gruppi che operavano tramite la Russian Business Network con sede a San Pietroburgo.

Nel terzo quadrimestre del 2009 il Anti-Phishing Working Group ha riportato di aver avuto 115,370 segnalazioni di mail di phishing dai consumatori USA con la Cina che ospitava più del 25% delle pagine incriminate.

Dal dicembre 2013 il ransomware Cryptolocker ha infettato 250,000 pc. Inizialmente l’obbiettivo era l’utenza business ed è stato usato un archivio Zip allegato a una mail che sostiene di essere da parte di una lamentela di un consumatore e per passare sucessivamente a un pubblico più vasto usando una mail riguardate un problema con un assegno. Il ransomware crittografava i file e richiedeva un riscatto per ottenere la chiave di decifrazione (in modo da poter riavere i file). Secondo Dell SecureWorks più dello 0.4% degli infetti ha pagato il riscatto.

Metodologia generale di attacco

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

l’utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.) oppure un’offerta di denaro.
l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Fake login).
il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Talora, l’e-mail contiene l’invito a cogliere una nuova “opportunità di lavoro” (quale operatore finanziario o financial manager), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l’accredito di somme che vanno poi ri-trasferite all’estero tramite sistemi di money trasfert (Western Union o Money Gram), trattenendo una percentuale dell’importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il phishing, per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest’attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una rogatoria e l’apertura di un procedimento presso la magistratura locale di ogni Paese interessato.
Lista dei tipi di phishing

Phishing
Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ottenere informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
Spear phishing
Un attacco mirato verso un individuo o una compagnia è stato denominato spear phishing. Gli attaccanti potrebbero cercare informazioni sull’obbiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.
Clone phishing
È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata. Le parti modificate della mail sono volte a ingannare il ricevente. Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta.
Whaling
Di recente molti attacchi di phishing sono stati indirizzati verso figure di spicco di aziende o entim e il termine whaling è stato coniato per questi tipi di attacco.[31] Viene mascherata una mail/ pagina web con lo scopo di ottenere delle credenziali di un manager. Il contenuto è creato su misura per l’obbiettivo, è spesso scritto come un subpoena legale, un problema amministrativo o una lamentela di un cliente. Sono state utilizzate anche mail identiche a quelle dell’FBI cercando di forzare il ricevente a scaricare e installare del software.

Manipolazione dei link

La maggior parte dei metodi di phishing usa degli exploit tecnici per far apparire i link nelle mail come quelli autentici. Altri trucchetti diffusi sono utilizzare URL scritte male, oppure usando sottodomini ad esempio http://www.tuabanca.esempio.it/, può sembrare a prima vista un sito legittimo, ma in realtà sta puntando a un sottodominio di un altro sito. Un’altra metodologia è registrare un dominio lavorando su lettere visivamente simili.
Aggiramento dei filtri

I phisher hanno iniziato, col tempo, a mascherare il testo inserendolo in immagini, in questo modo i filtri anti-phishing hanno più difficoltà nell’identificazione delle minacce. Questo ha portato sull’altro lato a una evoluzione dei filtri, ora capaci di trovare testo in immagini. Questi filtri usano OCR (riconoscimento ottico dei caratteri)
Contraffazione di un sito web

Quando una vittima visita un sito di phishing l’attacco non è terminato. Nella pagina possono essere infatti presenti comandi JavaScript per alterare la barra degli indirizzi.[34] Può essere fatto o mettendo un’immagine nella barra degli indirizzi o chiudendo la finestra e aprendone una nuova con l’indirizzo legittimo.

Un attaccante può anche usare vulnerabilità in un sito fidato e insere i suoi script malevoli.[36] Questi tipi di attacco, conosciuti come cross-site scripting sono particolarmente problematici perché tutto sembra legittimo, compresi i certificati di sicurezza. In realtà tutto è fatto ad hoc per portare a termine l’attacco, rendendolo molto difficile da individuare senza conoscenze specialistiche. Un attacco di questo tipo è stato utilizzato nel 2006 contro PayPal.
Phishing telefonico

Non sempre il phishing implica l’utilizzo di un sito web o di mail, vengono infatti inviati messaggi sms agli utenti, che dicono che ci siano stati dei problemi con i loro account bancari. Quando il numero indicato (gestito dal phisher, di solito si tratta di un numero Voice over IP) nel messaggio viene chiamato viene chiesto all’untente il proprio PIN. Il Vishing (voice phishing) qualche volta utilizza un finto numero di chiamante, in modo da dare l’apparenza di un’organizzazione fidata.
Anti-phishing

Fino al 2007 l’adozione di strategie anti-phishing per poteggerei dati personali e finanziari era bassa. Ora ci sono molte tecniche per combattere il phishing, incluse leggi e tecnologie create ad hoc per la protezione. Queste tecniche includono passi che possono essere usati sia da individui che da organizzazioni.

Telefoni, siti web e email di phishing posso essere riportati alle autorità, come descritto qua.
Istruzione

Una strategia per combattere il phishing è istruire le persone a riconoscere gli attacchi e ad affrontarli. L’educazione può essere molto efficace, specialmente se vengono enfatizzati alcuni concetti e fornito un feedback diretto.

L’Anti-Phishing Working Group, un ente di rinforzo per la sicurezza, ha suggerito che le tecniche di phishing convenzionali potrebbero diventare obsolete in futuro, con la crescente consapevolezza delle persone delle tecniche di social engineering usate dai phisher.[44] Ha inoltre predetto che il pharming e diversi usi di malware diventerrano più comuni per rubare informazioni.

Tutti possono aiutare il pubblico incoraggiando pratiche sicure ed evitando quelle pericolose. Sfortunatamente anche i giocatori noti sono conosciuti per incitare gli utenti a pratiche rischiose, ad esempio richidendo ai propri utenti di rivelare le loro password a servizi di terze parti, come ad esempio la mail.
Risposta tecnica

Misure di anti-phishing sono state implementate nei browsers, come estensioni o toolbar, e come parte delle procedure di login. Sono anche disponibili software contro il phishing.

Di seguito ci sono alcuni dei principali approcci al problema.
Aiuti nell’identificare i siti legittimi

La maggior parte dei siti bersaglio del punishing sono protetti da SSL con una forte crittografia, dove l’URL del sito web è usata come identificativo. Questo dovrebbe in teoria confermare l’autenticità del sito, ma nella pratica è facile da aggirare. La vulnerabilità che viene sfruttata sta nella user interface (UI) del browser. Nell’url del browser viene poi indicata con dei colori la connessione utilizzata (blocco verde per certificato EV, scritta https in verde)
Browsers che allertano l’utente quando visitano siti truffaldini

Un altro approccio popolare per combattere il phishing è quella di mantenere una lista dei siti noti per phishing e contrallare se l’utente gli visita. Tutti i browser popolari incorporano questo tipo di protezione. Alcune implementazioni di questo approccio mandano gli URL visitati a un servizio centrale, che ha suscitato preoccupazione per la privacy. Una protezione di questo tipo può essere applicata anche a livello di DNS, filtrando a monte le richieste pericolose, questo approccio può essere applicato a ogni browser, ed è simile all’uso di un file host (un file in cui si definiscono destinazioni personalizzati per domini).
Argomentare i login con password

Il sito di Bank of America[53][54] è uno dei molti siti che ha adottato questo sistema, consiste nel far scegliere all’iscrizione un’immagine all’utente, e mostrare questa immagine ad ogni login successivo. In questo modo essendo l’immagine nota solo all’utente e al sito legittimo in un eventuale attacco di phishing questa sarebbe assente o sbagliata. Purtroppo però molti studi hanno suggerito che l’utente ignori la mancanza della sua immagine personale e immetta comunque la sua password.
Eliminazione delle mail di phishing

Si agisce su una delle fonti del phishing, nello specifico si cerca di eliminare le mail attraverso filtri specializzati contro la spam, diminuendo le minacce diminuiscono le possibilità di essere ingannati. I filtri si basano sul machine learning e natural language processing per classificare le mail a rischio.[58][59] La verifica dell’indirizzo mail è un nuovo approccio.
Monitoraggio e blocco

Molte compagnie offrono servizio di monitoraggio e analisi per banche e organizzazioni con lo scopo di bloccare i siti di phishing.[61] I singoli individui possono contribuire riportando tentativi di phishing, a servizi come Google. cyscon o PhishTank. I’Internet Crime Complaint Center noticeboard raccoglie e gestisce allerte per ransomware e phishing.
Verifica a 2 passi delle transazioni

Prima di autorizzare oprazioni sensibili viene mandato un messaggio telefonico con un codice di verifica da immettere oltre la password.
Limiti della risposta tecnica

Un articolo di Forbes dell’agosto 2014 argomenta che il phishing resiste alle tecnologie anti-phising perché una tecnologia non può sopperire in modo completo alle incompetenze umane (“un sistema tecnologico per mediare a debolezze umane” ) .
Casi giudiziari e prime condanne penali

Nel 2007 con sentenza del Tribunale di Milano si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing]. Tale sentenza è stata confermata in Cassazione nel 2011.

Nel 2008, con sentenza del Tribunale di Milano, si è invece pervenuti per la prima volta in Italia alla condanna per riciclaggio di soggetti che, quali financial manager, si erano prestati alla attività di incasso e ritrasferimento di somme di denaro provento dei reati di phishing a danno dei correntisti italiani

Queste due sentenze hanno dunque indicato quali norme possono essere applicate a questo nuovo fenomeno criminale, dal momento che in Italia il phishing non è ancora specificatamente regolamentato, a differenza di altre legislazioni – prima fra tutte quella americana – che possiedono norme penali incriminatrici ad hoc[73]
Risarcimento economico dei danni provocati

Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell’account Internet dei clienti, o della clonazione dei loro bancomat o carte di credito. Un recente provvedimento del GUP di Milano, del 10 ottobre 2008, ha stabilito che solo l’esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all’ente la qualifica di danneggiato dal reato.
Grafico raffigurante il numero di “phishing” tra il 2004 e il 2005

I singoli contratti per l’apertura di un conto corrente e la home banking possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate. Spesso, l’istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa riassicurazione è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture.

L’istituto rifiuta generalmente il risarcimento se il cliente, oltre a perdere la carta, ha smarrito anche il PIN di accesso; in modo analogo, per la home banking rifiuta di risarcire le somme se il cliente ha smarrito la password di accesso insieme al token. Ciò configura negligenza da parte del cliente e l’eventualità del dolo e truffa all’istituto di credito: il cliente potrebbe cedere a terzi i propri dati e la carta, i quali, d’accordo col cliente, potrebbero effettuare dei prelievi, mentre il titolare dichiara lo smarrimento o il furto.

Tuttavia la banca (o altro istituto o società) ha l’onere di applicare sia le misure di sicurezza minime stabilite nel DL 196/03 per tutelare i dati personali del cliente, sia di attuare tutte quelle misure idonee e preventive che, anche in base al progresso tecnico, possono ridurre al minimo i rischi. Infatti in caso di furto delle credenziali, anche se la banca accusa l’utente di esserne responsabile perché potrebbe aver risposto a mail di phishing, è tenuta a dimostrare al giudice di aver attuato tutte le misure (sia quelle minime stabilite che quelle idonee e preventive che vanno valutate di caso in caso con una valutazione del rischio -obbligatoria- e un documento programmatico per la sicurezza) per ridurre al minimo i rischi.

Se la banca non ha attuato misure che in altre banche sono comuni per la prevenzioni delle frodi informatiche, accessi abusivi etc., ad esempio, potrebbe essere tenuta a risarcire l’utente del danno. La Raccomandazione europea n. 489 del 1997 stabilisce che dalla data della comunicazione alla banca di aver subito una truffa (con allegazione della denuncia alla polizia), il titolare del conto non può essere ritenuto responsabile dell’uso che viene fatto del suo conto da parte di terzi, per cui i soldi sottratti devono essergli restituiti.
fonte: it.wikipedia.org/wiki/Phishing

Questo sito non rappresenta una testata giornalistica e viene aggiornato senza alcuna periodicità, esclusivamente sulla base della disponibilità del materiale. Pertanto, non è un prodotto editoriale sottoposto alla disciplina di cui all’art. 1, comma III della L. n. 62 del 7.03.2001.© Tutto il materiale è di proprietà e il copyright dei rispettivi proprietari.