
Parecchio tempo fa avevamo già accennato all’argomento qui, ma quest’oggi abbiamo deciso di riparlarne recuperando un esempio interessante di un’e-mail, da noi ricevuta nell’ottobre 2020, un po’ particolare e che indica esattamente il procedimento di network footprinting messo in pratica.
Ma prima di iniziare vogliamo sottolineare come proteggersi dalla pratica del phishing dovrebbe essere nell’interesse, sia individuale che dal punto di vista lavorativo, di tutti noi: apriamo il nostro portafoglio ed osserviamo tutte le nostre carte elettroniche, bancomat e di credito (con connessi accessi ai nostri conto correnti bancari), CIE 3.0 (la nuova carta d’identità digitale), tessera sanitaria (che permette di accedere a tutte le nostre informazioni mediche), CNS (carta nazionale dei servizi), tessere universitarie, patente di guida, numero di telefono, etc. e pensiamo a cosa potrebbe succedere – ovvero, prima a come ci sentiremmo, poi alle effettive conseguenze burocratiche ed in certi casi giuridiche – se dovessimo perderle o se ci dovessero essere rubate. Questo è esattamente quello che può accadere con il phishing! Il che metterebbe in pericolo sia la nostra identità, che e soprattutto il nostro conto in banca, che eventualmente anche la compagnia per cui lavoriamo: lo scopo del phishing è infatti rubare soldi, o meglio, dati che saranno utilizzati allo scopo di rubare dei soldi.
Abbiamo quindi un oggetto di valore, monetario, ed abbiamo individuato l’intenzione. Ora, vediamo il percorso con il quale il phishing arriva ad ottenere tutto ciò; questo avviene attraverso una comunicazione che punta ad approfittare della nostra sensibilità e manipolare le nostre buone intenzioni, o la nostra voglia di guadagnare, i nostri desideri o persino le nostre paure messa in pratica da una figura che si finge un potenziale aiuto.
PC, laptops, smartphones, hard disk esterni ed interni, chiavette USB, databases e tutti i tipi di computer a cui possiamo pensare contengono varie informazioni e password per l’accesso ai nostri dati. Non solo, ma sia strumenti vecchi che quelli di nuova generazione possono essere attaccati e potenzialmente a rischio il momento in cui il fattore umano, ovvero noi stessi che siamo in realtà l’anello debole dell’intera catena, non fa attenzione a proteggere la propria sicurezza.
A questo punto è evidente che la prima figura che deve porre attenzione in caso di un attacco informatico, in special modo di questa tipologia che stiamo trattando, siamo noi, individualmente. Quindi, per quanto riguarda la sicurezza informatica nostra ed altrui è nostra responsabilità segnalare, eventualmente, ciò che è accaduto o sta succedendo.
Per definizione, il phishing è una forma di social engineering (ingegneria sociale) che utilizza l’e-mail generalmente (o nel caso del vishing gli sms) in una forma apparentemente autentica – quindi la cui grafica, forma, espressione somigliano alla fonte reale (nell’esempio che riporteremo qui sotto si fingevano il customer service, ovvero l’assistenza, di Aruba di cui “teoricamente” dovremmo fidarci), ma in realtà ciò che vogliono acquisire sono solamente i nostri dati personali (richiedendo direttamente i nostri dati, indirizzandoci verso altri siti oppure invitandoci a scaricare degli allegati che contengono malwares).
Vogliamo sottolineare che questo tipo di attacchi potrà incidere direttamente anche sulla compagnia per cui lavoriamo la cui proprietà intellettuale, i dati dei clienti archiviati, i dati commerciali, i conti bancari, i POS (con tutte le informazioni relative alle carte di credito dei clienti) e tutto ciò che la concerne potrebbero essere messi in pericolo a causa di una nostra ingenuità nell’aprire un allegato oppure cliccare su un link. Ricordiamo il famoso attacco informatico su scala mondiale denominato WannaCry, del 2017, effettuato utilizzando anche il phising, e di cui avevamo parlato qui, che aveva colpito ospedali, banche, scuole, istituzioni ed altri grossi enti.
ESEMPIO DI E-MAIL CON INTENTO DI EFFETTUARE UN PHISING
Come possiamo notare dall’immagine qui sotto riportata, sulla nostra e-mail info@codexsprawl.com abbiamo ricevuto un falsissimo avviso di pagamento dicendo che il nostro nome di dominio era stato sospeso. Il phishing funziona un po’ come l’andare a pesca: si utilizza un’esca, come un falso login o sito internet, e si aspetta che il pesciolone di turno abbocchi. Questo tipo di attacco si ritrova spesso all’interno di e-mail, come abbiamo già accennato in passato, dove per esempio vengono inseriti dei link a dei siti internet che si pensano essere siti ufficiali ed, in realtà, poi si rivelano connessioni a tutt’altro sito internet, come vedremo ora nello specifico caso qui sotto riportato.
Una sola cosa è corretta: in effetti, noi ci siamo appoggiati ad Aruba e questo è facilmente visibile se andiamo su https://ipinfo.info/html/ip_checker.php e controlliamo i dati di codexsprawl.com. Mentre l’e-mail di contatto è stata derivata dalla nostra pagina dedicata. Questo vuol dire che nel nostro specifico caso l’attacco era diretto proprio a noi ed il termine phishing, più generico, diverrà whaling (caccia alla balena) che indica, appunto, un attacco di phishing mirato; mentre lo spear phishing (arpionaggio) è la stessa pratica ma che punta ad un gruppo specifico di persone, tifosi di un certo team di calcio, un gruppo di pazienti che hanno lo stesso medico e via dicendo.
Osserviamo bene perché dovremmo ed abbiamo subito giudicato finta questa comunicazione:
- L’e-mail è stata inviata da una casella che non riporta il termine Aruba, ma supporto@pagamento.it innestando già un certo sospetto.
- “Ciao Utente”, non viene utilizzato da Aruba che predilige un “Gentile Utente” preceduto dal proprio e tipico logo arancio posizionato in alto e centralmente. Molti altri siti ufficiali prediligono il nome e cognome del cliente proprio per dimostrare ulteriormente l’attendibilità della propria comunicazione.
- Come sopra, la stessa cosa vale per la firma finale che nell’originale non chiuderebbe mai con “Cordiali saluti”, ma con:
Customer Care Aruba S.p.a.
www.aruba.it
assistenza.aruba.it - C’è la presenza di qualche errore non troppo evidente nel corpo del testo. Come, per esempio “confermando il rinnovo della royalty per il periodo prescelto” che non suona affatto italiano, ma piuttosto tradotto con Google; oppure ancora l’uso del pronome “tu” che alla fine si modifica con un “voi”.
- La richiesta di un’immediata azione da parte nostra con la minaccia che, entro 5 giorni, il nostro dominio verrà sospeso o cancellato.
- E, cliccando sul link AREA CLIENTI verremmo ridiretti sull’indirizzo segnalato sotto l’immagine che, ben evidentemente, non è di Aruba.
COSA FARE PER PROTEGGERSI
Ci sono un paio di trucchetti che possiamo utilizzare per proteggerci, o meglio mitigare sensibilmente la problematica del phishing poiché non è possibile bloccarla, oltre che mantenere alta la nostra attenzione e controllare bene su cosa stiamo cliccando:
- Controlliamo che l’e-mail del mittente sia attendibile controllandola su sito internet ufficiale.
- Impariamo a riconoscere l’attendibilità delle e-mail che riceviamo.
- Non abbassare mai l’attenzione!
- Se c’è un URL, un link, su cui possiamo cliccare anziché farlo alla cieca evidenziamolo, copiamolo (short-cut CTRL-V) ed incolliamolo (short-cut CTRL-C) su un software di scrittura (notes, liberoffice, openoffice o word) così da vedere, senza aprirlo, l’indirizzo completo su cui ci stanno ridirigendo.
- Se abbiamo dei dubbi contattiamo direttamente noi al telefono o tramite un’e-mail ufficiale, per esempio, la nostra banca o l’ente interessato piuttosto che cadere in trappola. Un esempio sono tutte quelle chiamate che riceviamo al telefono da parte di compagnie di gas/luce e telefoniche: non rispondiamo alle loro domande, se siamo interessati a cambiare i nostri piani tariffari ricontattiamoli personalmente noi al numero ufficiale! E se ci dicono che questo non è possibile, allora non fidiamoci di loro.
- Non utilizziamo mai l’e-mail del nostro sito associata all’account del nostro provider, ma usiamone una alternativa così da essere certi che quest’ultimo non potrà mai contattarci sulla casella che tutti possono utilizzare facilmente.
- Nel caso di una compagnia, il team addetto alla sicurezza dovrebbe effettuare dei test di social engineering sui dipendenti inviando false e-mail per riuscire a comprendere se questi abbiano o meno bisogno di maggiore informazione formazione relativamente a tale tematica.
- Cerchiamo di effettuare sempre dei backup dati e di non mentenerli sempre connessi al computer, ma da parte, di modo che nell’eventualità di un attacco non possano essere compromessi.
- Possiamo anche usare dei software, ISD/IPS (Intrusion detection system/Intrusion Prevention system) i quali, preventivamente, bloccano il phishing senza permettergli di accedere alla nostra e-mail (è il caso della cartella spam per esempio).
- Manteniamo sempre aggiornati i nostri sistemi operativi e le nostre applicazioni.
- Utilizziamo un buon anti-malware, puntualmente aggiornato, sia su computer che sul telefonino che scannerizzi i nostri dispositivi ed eventualmente anche gli allegati delle nostre e-mail prima di essere aperti.
- Segnalare la compagnia per cui lavoriamo l’arrivo di un’e-mail del genere per poter allertare i nostri colleghi e prevenire ingenuità da parte loro. Nel caso avvenisse a casa basterà segnalarlo all’azienda interessata cosicché, eventualmente, facciano qualcosa oppure avvisino tutti i loro altri clienti il prima possibile.
- Se siamo cascati in questo tipo di attacco, purtroppo, saremo costretti a cancellare le nostre carte di credito/debito e richiederne di nuove.
- Possiamo riportare il problema alla Polizia Postale direttamente utilizzando la loro pagina dedicata alle segnalazioni: https://www.commissariatodips.it/segnalazioni/index.html
Cerchiamo quindi di navigare con sicurezza, ma facendo sempre attenzione alle e-mail, ai messaggi ed ai siti a cui stiamo accedendo e mantenendo sempre dei backup del nostro sistema per recuperare i nostri dati nel caso in cui la nostra protezione non risulti essere stata adeguata! E pensiamo anche agli altri: insegnamogli come evitare di abboccare all’amo!
Comincia la discussione