Frode on-line: phishing

Che cosa è il phishing?

Il phishing è essenzialmente una frode on-line e coloro che la attuano non sono altro che truffatori e ladri d'identità con competenze tecniche. Essi utilizzano spamming, siti Web fasulli, crimeware e altre tecniche per indurre con l'inganno gli utenti a divulgare informazioni riservate, quali numeri di conto corrente bancario e di carta di credito. Dopo aver acquisito informazioni sufficienti, essi le utilizzano per truffare le vittime (ad esempio, aprendo nuovi conti con le identità rubate o prosciugando i conti bancari delle vittime) o le vendono sul mercato nero ricavandone un profitto.

Come funziona il phishing
Nella maggior parte dei casi, i phisher inviano grandi quantità di e-mail di spamming, a volte perfino milioni di messaggi. Ogni e-mail contiene un messaggio che sembra provenire da un'azienda ben nota e fidata. Di solito il messaggio include il logo e il nome dell'azienda e cerca di provocare una risposta emotiva a un falso allarme. Nel messaggio si richiedono spesso, con tono professionale ma urgente, informazioni personali dell'utente. Talvolta l'e-mail indirizza il destinatario verso un sito Web fasullo. Il sito Web, come l'e-mail, appare autentico e in alcuni casi l'URL è mascherato in modo tale che anche l'indirizzo Web risulti identico a quello reale.

Il sito Web fasullo esorta il visitatore a fornire informazioni riservate: codice fiscale, numeri di conto, password, ecc. Poiché sia l'e-mail che il corrispondente sito Web sembrano legittimi, il phisher spera che almeno una piccola parte dei destinatari del messaggio cada nell'inganno e riveli i propri dati.Anche se è impossibile conoscere le percentuali reali di risposta delle vittime agli attacchi di phishing, si ritiene che tra l'1 e il 10% dei destinatari cada nel tranello e che una campagna di phishing riuscita ottenga un tasso di risposte intorno al 5%. Per chiarire meglio il punto di vista, le campagne di spamming ottengono in genere una percentuale di risposta inferiore all'1%.

Nel corso del 2005, i phisher sono diventati sempre più sofisticati.In combinazione con i propri proxy e siti Web fasulli, hanno iniziato a utilizzare crimeware che sfruttano le vulnerabilità più comuni dei browser Web per infettare i computer delle vittime. Questa tendenza significa che è sufficiente che un utente segua il collegamento a un sito Web fasullo, incluso nel messaggio di phishing, perché la sua identità venga rubata, anche senza che inserisca i propri dati personali. Infatti sarà il Trojan Horse o lo spyware installato sul computer a intercettare queste informazioni non appena l'utente visiterà il sito Web legittimo della propria banca o di altro servizio on-line.Durante lo scorso anno, questo genere di crimeware è diventato più mirato, intercettando solo le informazioni necessarie al phisher, e più invisibile, grazie all'utilizzo di rootkit e altre tecniche aggressive che permettono di agire di nascosto sul sistema infetto.

Un altro esempio di aumento delle competenze dei phisher, è il modo in cui utilizzano i difetti nel design dei siti Web per rendere gli attacchi più convincenti. Ad esempio, un difetto nel sito Web di IRS ha permesso ai phisher di fare apparire i loro URL "esca" sul sito Web di IRS stesso, anche se gli URL indirizzavano la vittima su un server Web gestito da criminali. Questo è uno dei tanti esempi che dimostra i continui progressi dei truffatori on-line.

Esempio di phishing

Symantec gestisce una rete di computer intenzionalmente vulnerabili chiamati "honeypot", che svolgono la funzione di esca per intercettare e studiare gli attacchi reali. Queste informazioni vengono quindi utilizzate a scopo di ricerca e per migliorare i prodotti Symantec. Symantec ha intercettato di recente un tipico attacco di phishing nella propria rete di computer "honeypot", rivolto verso il servizio di aste on-line eBay. La diffusa popolarità di eBay l'ha reso uno dei marchi più attacati dai phisher in Internet.

 
L'operazione è iniziata quando l'aggressore ha sfruttato un difetto di vecchia data della sicurezza, che era stato reso disponibile intenzionalmente in uno dei server esca per attirare un attacco di questo tipo.Gli aggressori, dopo aver ottenuto completo accesso al sistema con tecniche di hacking e uno strumento di controllo remoto invisibile, hanno creato un sito Web identico a quello di eBay sul server. La pagina di accesso del falso eBay creata dal phisher è mostrata qui sopra: è molto simile alla versione autentica di eBay.

Nota: il falso sito Web di eBay è stato tolto da Internet prima che qualcuno cadesse vittima della truffa.

Un'e-mail "esca", simile al messaggio mostrato di seguito, è stata quindi inviata dal phisher a un elenco di indirizzi e-mail di vittime potenziali.Questo messaggio, ripreso da un vero attacco di phishing, segue la formula tipica di questo genere di messaggi: con una combinazione di linguaggio ufficiale e toni pressanti, esorta l'utente ad agire rapidamente per mantenere aperto il proprio account. Ogni collegamento incluso nel messaggio indirizza effettivamente al vero sito Web di eBay, a eccezione di quello con l'invito "fare clic qui per immettere di nuovo le informazioni dell'account". Questo collegamento rimanda l'utente alla pagina di accesso falsa http://signin.ebaay-com.us/ invece che a quella vera di eBay http://signin.ebay.com/.

Oggetto: Attenzione! Aggiornamento carta di credito 

[1]Registrazione a eBay 
[2][poweredByLogo_112x22.gif] 
Gentile Cliente [3][SYIStart_LiveHelp_75x20.gif] 

Ci rincresce informarLa che il Suo account eBay potrebbe 
essere sospeso se non provvede ad aggiornare i dati di 
account. Per risolvere questo problema, [4]fare clic qui 
per reinserire i dati di account. Se il problema non 
viene risolto, l'account potrebbe essere sospeso per un 
periodo di 24 ore, al termine del quale verrà cancellato. 

In conformità con l'Accordo utente, Sezione 9, possiamo 
inviare un avviso, sospendere temporaneamente, sospendere 
definitivamente o cancellare l'iscrizione e rifiutare di 
fornire il servizio se riteniamo che le Sue azioni possano 
causare una perdita a Lei, ai nostri utenti o alla nostra 
società. Possiamo intraprendere queste azioni anche se non 
siamo in grado di verificare o autenticare le informazioni 
da Lei fornite. 

In seguito alla cancellazione di questo account, Le è vietato 
qualsiasi utilizzo di eBay, compresa la registrazione di un 
nuovo account. La preghiamo di notare che questa sospensione 
non La solleva dall'obbligo di pagare eventuali compensi 
dovuti a eBay e già concordati. 

Distinti saluti, 
Safeharbor Department eBay,Inc 

Il team di eBay. 
Questo è un messaggio automatico. Si prega di non rispondere. 

[5]About eBay | [6]Announcements | [7]Security Center | 
[8]Policies | [9]Site Map | [10]Help
 ______________________________________________________ 
Copyright © 1995-2005 eBay Inc. All Rights Reserved. I marchi 
sono di proprietà esclusiva dei rispettivi titolari. 
L'utilizzo di questo sito Web implica l'accettazione 
dell'[11]Accordo utente e della [12] politica della privacy 
di eBay.
[13]TrustE

Dopo aver fatto clic sul falso collegamento nel messaggio di phishing, la vittima accede al falso sito di eBay utilizzando il proprio nome utente e password (questo particolare sito di phishing non era molto esigente e accettava qualunque nome utente e password). La vittima viene quindi indirizzata a una pagina in cui apparentemente può aggiornare i dati di pagamento, ma che in realtà invia al phisher un'e-mail con informazioni estremamente riservate, quali il numero della carta di credito, l'indirizzo di casa, il codice fiscale, il numero della patente di guida e il nome da nubile della madre.Anche se molti phisher raccolgono tutti i dati della vittima in un cosiddetto server "dead drop" o "egg drop", questo particolare phisher preferiva ricevere le informazioni tramite e-mail sul suo account di e-mail gratuito, dove poteva accedere e leggere le informazioni personali di ogni vittima a suo piacimento. Molti attacchi di phishing, come quest'ultimo, durano solo alcuni giorni, e la maggior parte delle vittime risponde entro 24 ore.