Cybersecurity & Privacy

Phishing Poste, DHL,Telecom: attenzione ai link

Scritto da Cristiano Pastorello | Dec 6, 2016 11:00:00 PM

I Phishing Poste, DHL e Telecom sono solo 3 esempi tra i tanti, ma perché sono quelli più discussi?

Non tanto per il numero di attacchi quanto per quello di chi ci è cascato, semplicemente perché è talmente alta la probabilità che ognuno di noi abbia avuto a che fare con una di queste compagnie che la popolazione di potenziali vittime è enorme.

Non hanno nulla di più azzeccato rispetto ad altri se non la scelta dell’azienda per cui spacciarsi, quella è la prima malizia che un buon attacco deve avere.

Le varianti dei Phishing sono così innumerevoli perché la tecnica non pone limiti alla fantasia umana di applicarla, ancora una volta mi trovo a dire che si tratta di un attacco all’utente e non al suo PC, per questo ogni sua interazione digitale con il mondo può essere sfruttata e intercettata per attaccarlo con il metodo del Phishing.

Sono attacchi agli utenti, su larga scala e per questo gli Hacker devono trovare un denominatore comune “il più comune possibile” per poter comprendere nell’ attacco il maggior numero di utenti possibile.

E’ più conveniente investire tempo e denaro per spacciarsi per Poste Italiane o per Telecom piuttosto che per un’agenzia di viaggi, ovviamente per il maggior numero di potenziali vittime che possono aver a che fare con un operatore telefonico piuttosto che con una piccola agenzia.

Inoltre l’attenzione media che le persone hanno nell’utilizzo del posta elettronica è cresciuta, c’è maggiore cultura rispetto qualche anno fa, per questo i phishing oggi devono necessariamente essere intelligenti, azzeccati e ben riprodotti per poter ingannare l’utente e purtroppo lo sono, perché non c’è più nessuno che clicca su un link credendo di aver vinto un viaggio alle Maldive.   

L’ inganno non è nulla di tecnico ma è solo il motivo che porta l’utente ad eseguire un’azione, è la leva utilizzata, la proposta di un reset della password per questioni di sicurezza, il download di una fattura o la consegna di un pacco.

Lo scopo è che l’utente clicchi su un link contenuto nel corpo della mail per farlo arrivare su una pagina web falsa, ma identica a quella originale e che inserisca i dati richiesti, a quel punto è fatta.

Ecco che gli Hacker ottengo i dati di loro interesse, che possono essere lo scopo ultimo dell’attacco, come avviene per le credenziali bancarie, oppure componenti per portare avanti altri attacchi.

La tecnica del Phishing è molto utilizzata anche per scatenare le infezioni Ransomware, sempre tramite un link l’utente arriva su una pagina Web che quando viene visualizzata scatena l’infezione di un Cryptovirus che cifra tutti i file e chiede il pagamento di un riscatto per poterli decifrare e riutilizzare.

Molti casi possono essere evitati con 3 semplici attenzioni perché è vero che queste mail sono confezionate bene ma alcuni limiti tecnici non possono essere bypassati.

  • Quando si riceve una mail valutare se è plausibile riceverla, soffermarsi a riflettere se è consono aspettarsi una mail di quel tipo, per quanto riguarda il mittente, per l’oggetto del messaggio e per le modalità di comunicazione e azione adottate, che possono essere in linea o meno con quelle mantenute in precedenti messaggi.

 

  • Verificare l’effettivo indirizzo del mittente. In particolare il dominio di posta, che deve essere precisamente identico a quello dell’azienda reale, basta confrontarlo con quello pubblicato sul sito ufficiale. Quando riceviamo una mail nel campo mittente spesso vediamo il nome e non l’indirizzo di posta, dato che il nome può essere inserito liberamente dobbiamo visionare l’indirizzo di posta effettivo e questa operazione, comunque semplice, varia in base al sistema di posta che stiamo utilizzando. Il dominio di posta deve corrispondere a quello originale ed è necessario fare attenzione perché gli hacker, non potendolo utilizzare, ne usano uno molto simile nel quale cambiano solamente 1 o 2 caratteri, scelti bene, per ingannare il colpo d’occhio dell’utente che va a verificare questo aspetto (es. pippo@_dhl.it invece di pippo@dhl.it). Questo sistema è necessario quando l’hacker, per il tipo di attacco che sta eseguendo, necessita di ricevere mail di risposta dall’utente, perciò è costretto ad utilizzare una casella sulla quale può anche ricevere la posta. Invece nei casi in cui il lo scopo è esclusivamente quello di indurre l’utente a cliccare sul link, può utilizzare lo Spoofing, ovvero inviare una mail con indirizzo mittente modificato arbitrariamente, si può fare e in quel caso sarebbe identico. C’è da dire che questo metodo oggi viene utilizzato poco perché ormai anche gli antispam più semplici sono dotati di antispoofing, quindi le mail con indirizzo mittente modificato non arrivano a destinazione.

 

  •  Verificare il link effettivo contenuto nel messaggio. Un link è composto, purtroppo, di 2 parti, quella che leggiamo sul titolo del link, che è semplice testo e l’indirizzo effettivo della pagina web sulla quale arriviamo se clicchiamo, che non vediamo “in chiaro”. Facciamo un esempio, “leggi questo articolo sullo Spam!”, vi aspettate di leggere un articolo che parla di posta elettronica invece ne trovate uno che descrive i pericoli che affliggono i server aziendali. E’ un trucco banale che però diventa molto pericoloso perché l’utente sicuro di essere di fronte ad una mail lecita clicca senza verificare l’indirizzo effettivo della pagina Web che invece punterà ad una pagina creata ad hoc dagli Hackers. A seconda del tipo di attacco possiamo trovarci davanti ad una pagina graficamente identica a quella dell’azienda con la quale siamo convinti di interloquire, nella quale ci viene richiesto l’inserimento di alcuni dati, proprio quelli che ci vogliono sottrarre, come password, credenziali bancarie e altri dati personali. Per quanto riguarda gli attacchi Ransomware invece finiremo su una pagina Web di tipo pubblicitario contenente del codice maligno che viene mandato in esecuzione sul nostro PC quando viene visualizzata dal browser. E’ proprio il momento in cui viene scaricato ed eseguito il cryptovirus. E’ quindi necessario guardare sempre l’indirizzo effettivo di un link, molto attentamente, perché anche questo viene pensato in modo tale da ingannare il colpo d’occhio dell’utente, con cose del tipo www.1dhl.it o www._dhl.it invece di www.dhl.it. E’ sufficiente posizionarsi sul link senza cliccare perché appaia una piccola finestra di dettaglio che indica il reale indirizzo sottostante.

Applicando sistematicamente queste 3 verifiche l'utente sarà già in grado di scongiurare molti tentativi di infezione ma per prevenire anche l'errore umano, fretta e disattenzione, ti consiglio questa guida, nella quale abbiamo descritto nel dettaglio tutte le funzioi di controllo oggi necessarie in ogni antispam.