Si parla di phishing fin dagli albori del Web, cioè dalla seconda metà degli anni Novanta. Eppure l’attività che cerca di far “abboccare all’amo” le vittime raggiunte da messaggi email truffaldini è ancora attualissima. Il phishing, infatti, ha continuato a evolversi nelle tecniche e a trovare nuovi canali di diffusione, diventando via via più sofisticato e difficile da smascherare. Ce ne parla  Pierluigi Torriani, security engineering manager per l’Italia di Check Point Software Technologies.

 

Pierluigi Torriani, security engineer manager per l'Italia di Check Point

 

La prima testimonianza dell’uso del termine phishing risale al 1996, agli albori del Web. Com’è possibile che un metodo di frode online vecchio di vent’anni sia ancora attuale? Per una semplice ragione: funziona molto bene. Si tratta di uno dei metodi su cui più gli hacker possono contare per poter accedere ad account digitali personali e lavorativi. Secondo una stima dell’Fbi, la compromissione delle sole caselle di posta elettronica business, una variante del phishing molto specifica, tra ottobre 2013 e maggio 2018 a  livello globale aveva causato perdite superiori ai 12 miliardi di dollari.

 

Il phishing è diventato un processo industrializzato. SI calcola che circa un’email su duemila sia un’email di phishing e che oltre un milione di siti Web fasulli sia creato ogni mese per cercare di ingannare gli utenti, convincendoli a cedere informazioni personali. Un recente studio ha evidenziato che il 25% delle email di phishing supera le barriere di sicurezza di Microsoft Office 365. Per i criminali, è un gioco semplice: devono solo distribuire una quantità ingente di e-mail e link falsi, e aspettare che le persone cadano nelle loro trappole. Dato che sempre più transazioni vengono effettuate tramite dispositivi mobile, gli utenti si ritrovano sempre più bersagliati da attacchi che sempre più hanno successo.

 

Dietro all’ascesa degli attacchi di mobile phishing ci sono molte ragioni. Innanzitutto, l’ergonomia e le ridotte dimensioni degli schermi dei dispositivi mobili rendono più difficile ispezionare un Url inviato via email, su chi viene richiesto di cliccare, e per i truffatori è più facile attrarre visitatori inconsapevoli verso i loro siti fasulli. In secondo luogo, i dispositivi mobili sono solitamente usati per collegarsi a molteplici account di posta, fatto che permette agli hacker di prendere di mira sia gli account lavorativi sia quelli personali. Infine, i dispositivi mobili possono essere attaccati con messaggi testuali di phishing e con applicazioni malevole, fatto che lascia agli hacker ampie possibilità sui metodi di aggancio delle vittime. Guardiamo più da vicino i tre principali vettori di phishing.

 

Lo spear phishing tramite posta elettronica

I tentativi di email phishing possono mirare sia agli utenti consumer sia a quelli business che usano i dispositivi mobili. Quelli di tipo consumer solitamente implicano nomi, numeri di telefono e account tratti da database trafugati, con cui si creano messaggi molto mirati e convincenti. Per esempio, gli hacker possono usare delle credenziali di un database sottratto durante una violazione massiccia (come quelle recenti di Equifax e di Yahoo) per inviare gli utenti mobile dei messaggi mirati usando il nome di quel brand o informazioni personali.

Per gli attacchi contro gli utenti aziendali vengono creati dei profili di queste persone, usando informazioni tratte da LinkedIn, Facebook e Twitter, e poi si confezionano email mirate fingendo siano spedite da dirigenti senior; si richiede un pagamento urgente o un servizio e si chiede al destinatario di compiere una transazione che sembra lecita ma non lo è. In alternativa, questi attacchi possono camuffarsi da email inviate dal team It dell’azienda e dirottare l’utente verso degli Url per sottrarre password e credenziali Vpn.

 

Il phishing via Sms

il cosiddetto smishing è un vettore sempre più comune per l’invio di Url dannosi agli utenti. Anche in questo caso esistono diverse varianti, dagli attacchi su larga scala simili agli attacchi e-mail, che incorporano espedienti come la reimpostazione delle password o gli aggiornamenti di sicurezza degli account, fino ad attacchi molto più mirati e personalizzati.

 

L’app phishing

Le applicazioni mobili sono diventate un canale molto fruttuoso per la distribuzione di link di phishing. Dopo tutto, la maggior parte dei dispositivi mobili hanno un enorme numero di app installate, ed esistendone oltre 3,8 milioni su Google Play, oltre 2 milioni sull’App Store e oltre 1,5 milioni su piattaforme di terze parti, le opportunità per gli hacker sono molto numerose. Anche in questo caso bisogna stare in allerta per diverse tipologie. Il phishing che usa le comunicazioni cifrate si approfitta della natura crittografica di  WhatsApp, Telegram e Signal per inviare messaggi convincenti, che si spacciano da supporto clienti o da servizio online conosciuto e che in quanto crittografati non vengono “flaggati”.

Il phishing basato su social media utilizza applicazioni come Twitter, creando falsi profili che fingono di essere servizi di supporto clienti. Ovviamente esistono anche applicazioni totalmente false e anche interi app store di terze parti fasulli. Questi ultimi spesso ricorrono alla distribuzione di un profilo di configurazione che viene installato su un dispositivo in seguito alla visita di una pagina Web. Una volta installato sul dispositivo, il profilo permette all’utente di accedere agli app store di terze parti; le applicazioni da lì scaricate non sono soggette alcuna verifica o valutazione di sicurezza e possono essere impiegate per diffondere Url di phishing e contenuti malevoli o addirittura per installate app nocive sul dispositivo dell’utente.

 

Come difendersi dal phishing

La protezione dal phishing non prevede solo la presenza di un rilevamento delle e-mail potenzialmente dannose, ma deve comportare l’attuazione di tre ulteriori fasi: protezione dell’Url da mobile, profilazione della sicurezza dei dispositivi mobile e, soprattutto, formazione degli utenti. Combinando tecnologie di sicurezza e formazione degli utenti, le aziende saranno in una buona posizione per garantire che i propri dipendenti non siano facili vittime del phishing.