Lezione pratica Anti Phishing: conosciamolo per sapere come difenderci

03 Luglio 2010

PREMESSA: sul web ci sono mille guide e portali dedicati all'anti phishing, che allargano il discorso anche agli spammer, agli spam bot e agli script di brutal forcing per recuperare password. Il mio discorso sarà incentrato solo ed esclusivamente sul phishing, una tecnica potente e facile da realizzare per chi ha un minimo di conoscenze informatiche, non costa quasi nulla ed in molti casi porta interessanti guadagni (illegali, ma pur sempre guadagni). Vi descriverò come funziona, chi può attuare questo sistema di frode, perchè e soprattutto come evitare di cadere in queste trappole; ritengo che basti un pò di attenzione e qualche minima nozione per rendere nullo un tentativo di phising. Ho realizzato una pagina fittizzia di Facebook, per mostrare a chi fosse interessato come funziona in pratica il phishing e per dimostrare che non ci vuole molto a realizzare un sito fake, sul quale invitare gli ignari utenti ad inserire le loro credenziali, inviandole così al malintenzionato di turno.

Il phishing cos'è?

Phising si può tradurre come "spillaggio", nel nostro contesto, spillaggio di dati sensibili, principalmente nomi utente e password di account utente, ma anche numeri di conti bancari e carte di credito. Questi dati non vengono semplicemente rubati, ma è proprio la persona proprietaria di questi dati a consegnarli al malintenzionato. Il metodo è semplice e quanto mai efficace, se chi viene attaccato non possiede la malizia necessaria a capire che si tratti di una frode. L'ignaro e malcapitato utente riceve una mail dal phisher (colui che ha organizzato la frode) che replica nella grafica e nei contenuti , quella di un sito od organizzazione di conoscenza del malcapitato (facciamo l'esempio di Facebook). Il contenuto della mail sarà tale da allertare l'utente (problemi con l'account, necessità di comunicazione di dati particolari) con uno o più link sul quale si invita l'utente a cliccare e inserire i suoi dati per risolvere il problema. Il link suggerito nell' email, non porterà al sito originale, bensì ad una pagina identica a quella del sito ufficiale, ospitata su un server controllato dal phisher. Tramite essa, l'utente malcapitato verrà invitato ad inserire nome utente e password (ma anche altri dati sensibili) consegnandoli direttamente nelle mani del phisher.

Chi può farlo e perchè?

Il phisher è una persona con conoscenze informatiche buone, in possesso di un server web, sul quale costruire il sito fittizio, il form per catturare le password e i dati sensibili e il database nel quale i dati vengono raccolti. Solitamente questi web server si trovano nell'est europa o nei paesi asiatici, nei quali non vengono richieste informazioni personali per l'acquisto di un server, per questo motivo, il phisher può organizzare la truffa indisturbato e in anonimato. I motivi sono i più disparati, principalmente si fa per denaro. Rubare password di siti come facebook non è remunerativo. I veri phisher puntano ad accessi bancari e numeri di carte di credito. I social network tuttavia possono servire come punto di partenza per scovare informazioni importanti della vittima.

Come difendersi?

L'unica cosa che non si può evitare è quella di ricevere email con intento di phishing. Molte vengono riconosciute come spam, ma molte altre possono raggiungere la vostra casella di posta. Se ricevete email da enti bancari che vi chiedono di fornire i vostri dati del conto bancario, carte di credito ecc ecc.... sappiate che gli istituti di credito non chiedono mai questi dati, così sensibili per email. Se banca sella vi chiede di inserire il vostro numero di conto, nome, cognome e altri dati, sarà sicuramente un tentativo di phishing, perchè come detto, questi dati non vi verranno mai richiesti per email! L'aspetto da tenere sotto controllo per essere sicuri al 100% di non cadere in una trappola è sicuramente la verifica dell' URL inserito nella email. L'URL è l'indirizzo che identifica univocamente una risorsa web (sito, immagine, filmato). In una mail di spam, l'URL è l'unica cosa che non si può mascherare, è un punto debole per il phisher e noi utenti dobbiamo sfruttarlo per difenderci. Riprendiamo il nostro esempio di Facebook e immaginiamo di ricevere una mail da Facebook la quale ci comunica che il nostro account è irregolare e che per risolvere il problema dobbiamo fare click qui: http://facebook.bloggercrew.com. Sorpresi dal messaggio e preoccupati per il nostro account clicchiamo immediatamente sull' URL nella mail e ci logghiamo. Bene, abbiamo appena consegnato i nostri dati di accesso a Facebook al phisher! In quanto non è la pagina originale di facebook, ma una pagina ospitata su un sito chiamato bloggercrew.com (ops!) in un sottodominio chiamato facebook per confondere il malcapitato. Quando clicchiamo su un URL e apriamo un sito, è bene verificare se questo URL è vero o falso. Per farlo basta dare un occhio alla barra degli indrizzi del nostro browser : facebook_url La parte da analizzare con attenzione è quella evidenziata in giallo. http:// è un prefisso standard ed è sempre presente negli URL; la parte a destra della zona gialla non è così importante, può contenere caratteri strani, numeri ecc ecc ma se è preceduta dal dominio del sito corretto, ci possiamo fidare. Come potete vedere www.facebook.com è il sito ufficiale di Facebook e non facebook.bloggercrew.com; all'utente disattento o che ignora l'importanza di un URL questo aspetto può sfuggire; in molti casi, questa disattenzione può costare cara. Come detto il phisher non può nascondere questo URL e quindi abbiamo modo di capire se è un imbroglio. Un URL può essere in parte mascherato, come nel mio esempio (facebook.bloggercrew.com) con l'aggiunta del nome reale del sito, ma comunque la parola bloggercrew, prima di .com deve farvi suonare un campanello di allarme. A questo si aggiunge anche il fatto che ultimamente vanno di moda siti di URL shortener, che accorciano gli URL, mascherando involontariamente il sito accorciato. A questo proposito, mi faccio un pò di pubblicità, segnalando che il mio URL shortener bit.gy, fornisce anche un servizio di reverse shortening, ovvero svela che URL si celano dietro agli URL accorciati (per esempio dal più famoso bit.ly). Potete dare un occhiata qui Se volete vedere come funziona e quanto è facile creare una pagina di phishing, vi linko la pagina fittizzia di facebook creata da me. Un Pop Up vi avvisa che la pagina che state visitando non è il vero Facebook e che è solo a livello dimostrativo. Vi invito infatti (per la vostra sicurezza) a NON inserire i vostri dati di login reali Pagina di Facebook Tarocca! Se ti è piaciuto questo articolo, iscriviti alla pagina ufficiale di Facebook & sicurezza. Una serie di articoli pensati per fornire informazioni utili agli internauti che vogliono usare facebook e il web in generale con più sicurezza e serenità


X
THE END