L’evoluzione tecnologica degli ultimi anni ha portato alla creazione di un contesto virtuale prima sconosciuto, all’interno del quale possono occorrere illeciti ed attacchi informatici. Lo stesso abbattimento dei confini portato dalla rivoluzione digitale facilita tale tipo di pratiche, consentendo agli attaccanti di estendere il proprio raggio di azione. Altro aspetto da tenere in considerazione è il fattore umano – sebbene la tecnologia evolva le debolezze umane continuano ad esistere.
Un ruolo di primo piano è giocato dal phishing inquadrato secondo ilCommon Fraud Scheems dell’FBI, come frode tipica.
Questo si attua nella maggior delle ipotesi mandando mail a molteplici soggetti, apparentemente provenienti da Enti, fornitori di servizi, istituzioni bancarie. Le pratiche per la sottrazione del dato sono molteplici: chiedere di rispondere alla mail fornendo dati personali o allegare un allegato fittizio contenente un malware per esempio. Se il contatto fraudolento va a buon fine, il criminale può decidere se utilizzare direttamente i dati sottratti o rivenderli nel mercato nero o dark web.
Un’altra tattica utilizzata è quella del social engineering, ovvero tentare di raggirare psicologicamente la vittima prescelta guadagnandone la fiducia. Una forma particolare di phishing è lo spare phishing, che invece di rivolgersi ad una moltitudine di soggetti indeterminati, è indirizzato ad una vittima ben precisa. Un attacco ad hoc per carpire un certa tipologia di dato, per esempio quello sensibile, studiato in base al ruolo o mansione ricoperta dalla vittima.
L’attacco di phishing si categorizza in alcune fasi tipiche:
- Individuazione obiettivo e scelta di tecniche da adottare;
- Primo contatto con potenziale vittima;
- Sottrazione del dato;
- Utilizzo del Dato per Vantaggio Economico;
- Eliminazione delle tracce dell’attacco.
Si parla di deceptive phishing quando l’attacco viene effettuato tramite invio di messaggio di posta elettronica, mentre si parla di malware based phishing quando viene installato malware nel computer della vittima attraverso tecniche di social engeneering.
Di seguito esempi comuni di tecniche di phishing:
- Search Engine Phishing: siti web fittizi creati dal criminale informatico sotto forma di portali di ricerca;
- Man in the Middle Phishing: intercettazione dei messaggi con criminale informatico che si interpone con vittima per accesso al sito web;
- Pharming: accesso ad informazioni senza apertura mail attraverso la manomissione dell’indirizzo DNS che mira a modificare la corrispondenza tra indirizzo IP e URL;
- Smishing: messaggio sms per esempio da istituto di credito volto a sottrarre le credenziali della vittima.
La posta elettronica rimane mezzo comune per veicolare tale attacco per cui alcuni comportamenti utili a proteggere i propri dati personali:
- Evitare di inviare per mail informazioni sensibili. Se fosse necessario servirsi di protocolli di cifratura;
- Diffidare di mail inattese;
- Se utente noto verificare che informazioni siano in linea con comportamento abituale del mittente;
- Verificare veridicità del mittente analizzando l’header, ovvero l’intestazione del messaggio;
- Prestare attenzione al testo del messaggio;
- Diffidare di messaggi che non riportano nome e cognome del destinatario;
- Prestare attenzione ad apertura degli allegati;
- Antivirus by default costantemente aggiornato;
- Fare riferimento a tecnici informatici esperti in caso di truffa.
Amedeo Leone
