Che cos’è il phishing ?

Con il termine phishing (parola ricavata dai vocaboli inglesi fishing — pesca e password) si indica una particolare tipologia di frode in Internet; lo scopo dei malintenzionati, nella circostanza, è quello di entrare in possesso dei dati personali e confidenziali degli utenti. Più precisamente, attraverso il phishing viene praticato il furto di login e password, dei numeri relativi a carte di credito e conti bancari, così come di ulteriori dati riservati.

Il phishing, di per se stesso, è costituito da messaggi e-mail fasulli mascherati sotto forma di notifiche e comunicazioni ufficiali provenienti (in apparenza!) da istituti bancari, provider, sistemi di pagamento online ed altre organizzazioni. In genere, per un motivo o per l’altro, viene richiesto al destinatario del messaggio di posta elettronica di comunicare / aggiornare urgentemente i propri dati personali. Nella fattispecie, le ragioni addotte possono essere le più disparate. Può trattarsi di una fantomatica perdita di dati, di qualche inesistente avaria o violazione di un determinato sistema informatico, e via dicendo.

Gli attacchi condotti dai phisher divengono sempre più sofisticati e prevedono, di frequente, l’utilizzo di particolari tecniche di ingegneria sociale. I malfattori in questione cercano, quasi sempre, di spaventare ed intimorire l’utente, per far sì che quest’ultimo fornisca senza alcuna esitazione i propri dati personali. In genere, i messaggi elaborati dai phisher contengono esplicite minacce, relative, ad esempio, al blocco di qualche account personale nel caso in cui il destinatario dell’e-mail non provveda ad eseguire rapidamente quanto richiesto nel messaggio (“se i dati personali occorrenti non saranno comunicati entro la fine di questa settimana, il suo account verrà bloccato”). Ironia della sorte, anche se può sembrare particolarmente buffo, il motivo per cui l’utente dovrebbe trasmettere al più presto dati di natura personale o confidenziale è spesso rappresentato dalla (falsa) necessità, secondo gli stessi phisher, di apportare delle migliorie ai sistemi anti-phishing (“se vuole proteggersi al meglio nei confronti del phishing, clicchi su questo link ed inserisca poi login e password personali”).

phish_01
Fig. 1 – Esempio di messaggio di phishing in cui si richiede (con il pretesto di innalzare il livello di sicurezza) di cliccare sul link in esso presente, per aggiornare poi i propri dati personali
nell’ambito del sistema informatico della National Credit Union Administration.

I siti di phishing, in genere, hanno vita breve (in media soltanto 5 giorni). I filtri anti-phishing, di fatto, ricevono informazioni in merito alle nuove minacce esistenti con notevole rapidità; per tale motivo, i phisher debbono costantemente provvedere a registrare nuovi siti web. L’aspetto esteriore del sito rimane ad ogni caso immutato, visto che la sua funzione è quella di imitare il più possibile il sito web ufficiale sottoposto all’attacco di phishing.

Giungendo sul sito fasullo, l’utente inserirà, quindi, le proprie credenziali; in tal modo, i phisher otterranno l’accesso – nella migliore delle ipotesi – alla sola e-mail box della “vittima”, mentre, nel peggiore dei casi, i malintenzionati potranno agevolmente disporre del conto bancario online di cui è titolare l’utente in causa. A dir la verità, non tutti i phisher si occupano della trasformazione in contanti del denaro illecitamente sottratto. Il fatto è che si tratta, per essi, di un’operazione piuttosto complessa e rischiosa, compiendo la quale si possono facilmente lasciare evidenti tracce, che permettono poi alle forze dell’ordine di poter individuare ed assicurare alla giustizia i truffatori in questione. Pertanto, una volta entrati in possesso dei dati personali degli utenti, alcuni phisher preferiscono vendere gli stessi ad altri malfattori, i quali, da parte loro, praticano già da tempo schemi criminali ben collaudati, finalizzati a prelevare ingenti somme di denaro dai conti bancari violati.

I bersagli principali dei phisher sono rappresentati da banche, sistemi di pagamento elettronico e aste online. Ciò è indice inequivocabile del fatto che i truffatori sopra menzionati si interessano soprattutto a quei dati personali che permettono loro di poter accedere al denaro degli utenti. Ma non solo. È ugualmente molto diffuso, presso le folte schiere dei phisher, il furto delle credenziali e-mail; tali dati, in effetti, possono risultare particolarmente utili a tutti coloro che distribuiscono programmi malware attraverso la posta elettronica, oppure a coloro che creano estese reti-zombie.

Una delle caratteristiche peculiari dei messaggi di phishing è indubbiamente rappresentata dall’elevata “qualità” degli stessi relativamente al livello di contraffazione applicato. Il destinatario dell’e-mail di phishing, in genere, riceve nella propria casella un messaggio di posta elettronica che riproduce alla perfezione – ad esempio – il logo dell’istituto bancario, del sito web, oppure del provider di servizi preso di mira dai malintenzionati. L’ignaro utente-vittima, senza sospettare nulla, provvede così a cliccare sul link subdolamente inserito nel messaggio (“Vai al sito ed effettua il login”), giungendo, in realtà, non sul sito web ufficiale, bensì nel sito analogo di phishing, peraltro realizzato con la massima cura e precisione.

Un altro trucco di cui si avvalgono di frequente i phisher è rappresentato dall’utilizzo di link molto simili agli URL che identificano i siti Internet originali. Gli utenti meno esperti corrono pertanto il rischio di essere tratti facilmente in inganno; un utente cauto ed accorto, invece, noterà immediatamente come il link presente sulla riga di comando del browser risulti, di fatto, diverso dal link effettivamente preposto a condurre verso il sito web originale. I link malevoli in causa, talvolta, iniziano con l’indirizzo IP; è tuttavia ben noto come società ed organizzazioni di primaria importanza, solide ed affidabili, non ricorrano più, ormai da tempo, all’utilizzo di link del genere.

Gli URL di phishing, quindi, sono spesso simili agli indirizzi Internet autentici e legittimi. Essi possono ad esempio includere la denominazione dell’URL originale, magari integrata da qualche parola aggiuntiva (ad esempio <www.login-examplebank.com>, invece di <www.examplebank.com>). Un altro trucco comunemente praticato dai phisher in questi ultimi tempi prevede, per ciò che riguarda l’URL, l’utilizzo del punto anziché della consueta barra, o slash (ad esempio <www.examplebank.com.personal.login> al posto di <www.examplebank.com/personal/login>). Esiste poi una variante riguardo a ciò, ovvero <www.examplebank.com-personal.login>.

Un ulteriore metodo applicato dai phisher con il preciso intento di raggirare gli utenti, è inoltre il seguente: nel corpo del messaggio viene in pratica inserito l’esatto link che conduce al sito web legittimo, ma l’URL effettivo, al quale il suddetto link fa riferimento, risulta poi essere diverso. La vigilanza esercitata dall’utente può essere ulteriormente offuscata dalla presenza, all’interno del messaggio e-mail, di alcuni link aggiuntivi che, di fatto, conducono al sito web ufficiale; il link principale, ad ogni caso, sul quale l’utente dovrà poi cliccare per effettuare le operazioni di login, condurrà invece la vittima verso il sito di phishing appositamente allestito dai truffatori.

phish_02
Fig. 2 – Esempio di messaggio di phishing (imitazione di una notifica ufficiale di eBay, la casa di aste più famosa della Rete) contenente numerosi link; soltanto uno di questi conduce, effettivamente, al sito di phishing allestito dai truffatori.

Talvolta, poi, si richiede al destinatario del messaggio di inserire i propri dati personali direttamente all’interno dell’e-mail di phishing ricevuta. È doveroso ricordare, a tal proposito, che nessuna banca (o qualunque altra organizzazione che possa eventualmente richiedere dati confidenziali all’utente) agirebbe mai in maniera simile.

phish_03
Fig. 3 – Esempio di messaggio di phishing realizzato sotto forma di notifica ufficiale proveniente (in apparenza!) dalla nota banca Barclays; come si può vedere, viene richiesto all’utente di introdurre direttamente i propri dati nel corpo del messaggio e-mail stesso.

Le tecnologie utilizzate dai phisher vengono costantemente migliorate e perfezionate. Tale specifica circostanza ha prodotto l’emergere di una nuova tendenza o, per meglio dire, di un nuovo concetto associabile al phishing – il cosiddetto “pharming”. Si tratta, allo stesso modo, di una particolare tipologia di frode in Internet, il cui scopo, così come per il phishing, è quello di ottenere i dati personali degli utenti; i pharmer, tuttavia, non ricorrono all’utilizzo della posta elettronica per perseguire i propri loschi obiettivi, ma operano direttamente attraverso i siti web ufficiali. Più precisamente, essi provvedono a sostituire con indirizzi IP contraffatti, a livello di server DNS, gli indirizzi numerici relativi a siti Internet del tutto legittimi; in tal modo, gli utenti vengono agevolmente rediretti verso i siti malevoli allestiti da tale categoria di truffatori. Questa tipologia di frode si dimostra ancor più pericolosa del phishing vero e proprio, visto che, in pratica, risulta impossibile, per l’utente, accorgersi dell’inganno messo in atto dai malfattori.

I bersagli più frequentemente presi di mira dal phishing sono attualmente rappresentati da eBay, la celebre casa d’aste online, e da PayPal, il noto sistema di pagamento. Inoltre, subiscono frequenti attacchi di phishing anche numerosi istituti bancari, ubicati in varie parti del mondo. Gli assalti condotti dai phisher possono essere sia casuali, sia ben mirati. Nel primo caso, l’attacco viene effettuato nei confronti dei siti web che godono di maggior popolarità presso il pubblico della Rete (quali eBay, ad esempio), in quanto la probabilità che il destinatario del messaggio sia titolare di un account presso una o più di tali famose piattaforme è, comunque, sempre piuttosto elevata. Gli attacchi mirati, invece, vengono eseguiti quando i truffatori riescono a conoscere in anticipo il nominativo della banca, del sistema di pagamento, del provider o del sito web presso il quale l’utente ha aperto il proprio account online. Questo secondo metodo è sicuramente ben più complesso e dispendioso per i phisher; le probabilità di successo, per i malintenzionati, risultano tuttavia maggiori.

phish_04
Fig. 4 – PayPal

Il furto dei dati confidenziali non è ad ogni caso l’unico pericolo che si presenta nel momento in cui l’utente provvede a cliccare sul link di phishing inserito nel messaggio e-mail. Spesso, compiendo tale azione, la vittima corre il rischio di vedersi recapitare uno spyware, un keylogger oppure un temibile programma Trojan. Quindi, anche se non disponete di un account che può essere eventualmente preso di mira dai truffatori, non è possibile sentirsi completamente al sicuro.

Secondo i dati raccolti da Gartner, nel 2006, negli Stati Uniti, il danno arrecato ad ogni vittima degli attacchi di phishing ammontava, mediamente, a 1.244 dollari USA. Nel 2005, per contro, tale importo non superava ancora i 257 dollari; queste cifre testimoniano in maniera inequivocabile l’incredibile successo ottenuto dai phisher nel breve volgere di un anno. Per ciò che riguarda la Russia, la situazione si presenta in maniera leggermente diversa. Poiché all’interno della Federazione Russa i sistemi di pagamento elettronico, per il momento, non risultano così diffusi come in Occidente, i danni economici causati dal phishing assumono proporzioni minori. Tuttavia, con la progressiva diffusione, entro i confini di tale paese, dei metodi di pagamento online, la quota relativa ai messaggi di phishing presenti all’interno dei flussi e-mail crescerà in maniera significativa anche in Russia, amplificando, di conseguenza, l’entità dei danni provocati dai phisher. Quindi, sebbene al momento tale problema, nella Federazione Russa, non sia così rilevante come in altri paesi, risulta necessario, sin da ora, prepararsi nel modo migliore, per poter affrontare lo stesso in maniera efficace.

L’ampio successo sinora ottenuto dal fenomeno phishing è in gran parte determinato dal basso livello di consapevolezza, dimostrato a più riprese dagli utenti, nei confronti del modo di operare delle società e delle organizzazioni a nome delle quali agiscono subdolamente i malfattori in causa. In effetti, sebbene numerosi siti web pubblichino precise avvertenze riguardo al fatto che gli stessi non richiederanno mai ai propri clienti – attraverso la posta elettronica – di comunicare dati di natura confidenziale, molti utenti continuano imperterriti ad inviare ai truffatori di turno le proprie credenziali di login. Per tale motivo è stato creato, alcuni anni fa, l’Anti-Phishing Working Group (APWG), organismo preposto alla lotta nei confronti del phishing, del quale fanno parte sia società normalmente bersagliate dai phisher, sia aziende specializzate nella creazione e nello sviluppo di software anti-phishing/antispam. Nel quadro delle attività condotte dal gruppo APWG sono previste precise iniziative volte ad informare al meglio gli utenti; al tempo stesso, i membri dell’APWG sono soliti scambiarsi reciprocamente utili informazioni riguardo ai nuovi siti (o minacce) di phishing che compaiono progressivamente sulla scena. Attualmente, l’associazione APWG annovera oltre 2.500 membri; figurano, tra di essi, istituti bancari internazionali di primaria importanza, così come società leader nel settore IT. Secondo alcune ottimistiche previsioni, in un futuro ormai prossimo gli utenti impareranno a diffidare dei siti di phishing, così come è stato fatto, a suo tempo, riguardo ai messaggi e-mail contenenti allegati e provenienti da mittenti sconosciuti. Per il momento, ad ogni caso, la principale protezione nei confronti degli insidiosi attacchi portati dai phisher continua ad essere rappresentata dai filtri antispam.