Magazine

Phishing: tipologie e caratteristiche degli attacchi

04/06/2019
Phishing: tipologie e caratteristiche degli attacchi
PMIPrivatiProfessionisti
Abbiamo già affrontato il tema attraverso una classificazione del phishing per canali di attacco,  ma il fenomeno continua a mutare forma, strategia e obiettivi. 

Anche se si possono tracciare elementi riccorrenti negli attacchi di phishing che lo rendono riconoscibile, la natura degli attacchi si è evoluta con campagne che, a seconda del target e della strategia scelta, utilizzano infrastrutture informatiche diverse, variano il volume delle mail inviate e la durata di attività dell’attacco. 

Nel suo annuale Security Intelligence Report, Microsoft ha analizzato i trend in atto sottolineando come, nel 2018, il phishing sia ancora il metodo di attacco preferito e - si legge nel report - lo resterà in futuro perché “implica decisioni e giudizi umani di fronte agli sforzi persistenti da parte dei criminali informatici per far cadere le vittime nelle loro esche”. 

Classificazione del phishing in base alle tipologie di attacco:

  • Domain Spoofing: consiste nel falsificare la propria identità a partire da un dominio originale (e legittimo) del quale il sito fraudolento prende le sembianze. Attraverso una copia ombra del sito web oggetto di spoofing l’utente viene dirottato su una applicazione creata ad hoc. Il domain spoofing è un fenomeno che colpisce non solo gli utenti, ma anche l’industria della pubblicità e dell’editoria. L’autore dell’attacco si pone come filtro fra l’inserzionista e il sito che dovrebbe ospitare la pubblicità, devia l’inserzione su un portale terzo comunicando al fornitore la buona riuscita della delivery.
L’inserzione sarà quindi posizionata in un sito che non garantisce lo stesso traffico e quindi la stessa visibilità. Uno dei casi più eclatanti di spoofing è stato scoperto nel 2017 dal Financial Times che - indagando sul fenomeno - ha scoperto che  il suo stesso sito era stato oggetto di spoofing e che annunci display su spazi mascherati da FT.com erano stati venduti per un valore di 1,3 milioni di dollari al mese. Questo tipo di attacco è particolarmente efficace nelle piattaforme in progammatic, ovvero le piattaforme automatizzate e danneggia sia gli advertiser che sprecano budget pubblicitario per un sito dagli scarsi contenuti, sia l’organizzazione che concede lo spazio pubblicitario, privata dei guadagni di tale campagna. 
  • Domain Impersonation: si differenzia dal domain spoofing solo perché il dominio del messaggio email è simile, ma non perfettamente uguale all’originale. E’ questo il caso del phishing più grossolano e “di massa”: le email contengono errori ortografici o piccole storpiature, nel nome del presunto mittente; in ogni caso il reale indirizzo da cui provengono queste email è differente da quello ufficiale.
  • User Impersonation: questo metodo consiste nel camuffare l’indirizzo email del mittente dietro un’identità ben nota a chi riceve il messaggio. In questo modo è più facile convincere l’utente a fornire dei dati o a visitare determinati link. Ad essere presi di mira sono soprattutto le banche, ma anche enti governativi e istituzioni. 
  • Tex Lures: è il messaggio “esca” con cui gli hacker cercano di convincere a compiere l’azione necessaria per il furto dei dati. Il canale dell’attacco può esserre molteplice, dalle email alle telefonate, ai messaggi sms, il fine è sempre lo stesso: indurre l’utente a inviare le proprie informazioni personali e dati, o compiere un determinato compito con l'attrattiva di una proposta allettante. Altre volte invece l’esca fa leva sulla fretta o sulla paura dell’utente: il messaggio con la richiesta di rinnovare un servizio in scadenza, l’imminente chiusura di un conto o di un account inducono la vittima a inserire le proprie credenziali.
  • Credential Phishing Links: l’email ricevuta contiene il link a pagine che somigliano ad alcuni siti web legittimi, come social network, provider o istituti di credito. Aprendo quel link, si aprirà una finestra in cui viene richiesto di eseguire il login con le proprie credenziali. Si tratta però di una trappola, in quanto gli hacker copieranno le chiavi d’accesso al sito e le potranno riutilizzare per furti d’identità o transazioni bancarie.
  • Phishing Attachments: questa tipologia prevede degli allegati alla mail che, se aperti, si installano sul dispositivo. Scaricare il file allegato può aprire le porte a malware di phishing che permetteranno agli hacker di avere accesso alle informazioni personali contenute nel device. Se non si è consapevoli di questi rischi può anche capitare di non accorgersi di ciò che è successo.
  • Links to fake cloud storage locations: anche le piattafiorme cluod vengono utilizzate da attacchi di phishing: in questo caso l’email sembra arrivare da una fonte legittima e incoraggia l’utente a rilasciare il permesso - e i relativi dati personali - per accedere. Per evitare di essere vittima di questi tentativi di truffa è opportuno saper riconoscere il phishing, dubitare di ogni email la cui provenienza non è chiara e installare filtri anti-spam sul proprio computer. Qui di seguito la guida che illustra alcuni esempi di email sospette e come muoversi quando le riceviamo.