Cos’è il phishing?

Il phishing tramite mail è uno dei pericoli maggiori da cui è importante imparare a difendersi. Cercando di dare una definizione di phishing, si potrebbe dire che è un tentativo di impadronirsi illegalmente dei dati sensibili di una persona. Questi dati vengono poi usati dalla persona malintenzionata per un proprio vantaggio economico.

Questo termine proviene dalla lingua inglese, dove fishing indica l’azione del pescare. Evidentemente, ciò allude all’arte di riuscire a far abboccare l’utente all’esca e dunque “pescare” le informazioni desiderate. La sostituzione della f iniziale con il ph sembra sia attribuibile a un vezzo espressivo della comunità online, anche se sono state avanzate ipotesi relative alla fusione di due parole come password harvesting (letteralmente “raccolta di password”).

Ci sono numerose tipologie diverse di phishing, ma il processo che sta dietro a ogni tentativo è pressappoco lo stesso e può essere riassunto nelle seguenti fasi:

1. Il phisher, ossia la persona malintenzionata, invia un’e-mail che replica in maniera più o meno perfetta la forma di quella di un servizio o un’istituzione noti al destinatario (può trattarsi della banca del destinatario, così come del suo account Amazon o del suo provider di posta elettronica);

2. Il messaggio contiene un problema da risolvere (come un addebito sul proprio conto o la scadenza del proprio account);

3. Il messaggio invita l’utente a risolvere subito il problema, rimandando a un sito internet fasullo che replica perfettamente l’originale;

4. Una volta giunto sul sito, all’utente viene chiesto di inserire i propri dati sensibili (nome utente, password, carta di credito e così via) al fine di risolvere il problema;

5. Questi dati vengono quindi utilizzati dal phisher per fare degli acquisti, trasferire del denaro o persino come base per ulteriori attacchi.

Questi inviti possono davvero assumere numerose forme, e non è sempre così facile riuscire a distinguere le comunicazioni ufficiali dalle copie truffaldine, anche per un occhio allenato e istruito.

Sebbene sia stato utilizzato il mail phishing come esempio per spiegarne il funzionamento, in realtà questa truffa online può assumere molteplici forme sia a seconda dell’obiettivo del phishing, che a seconda della modalità di sottrazione delle informazioni:

Come nell’esempio fatto in precedenza, questo tipo di phishing è indirizzato a specifiche persone o aziende e utilizza l’eventuale possesso di dati sensibili per rendere ancora più verosimile il contenuto indirizzato all’utente. Lo spear phishing è di gran lunga il più utilizzato su Internet, e ne ha notoriamente fatto le spese anche la campagna elettorale di Hillary Clinton nel 2016.

Il clone phishing consiste nello sfruttamento di una precedente e-mail “vera”, ricevuta dall’utente, per produrne una replica perfettamente uguale che tuttavia reindirizza a domini appartenenti al phisher. Ovviamente, affinché questa strategia possa essere utilizzata, l’account di posta elettronica deve già essere stato violato in precedenza.

Il whaling è un caso specifico di spear phishing, nel quale vengono presi di mira dei profili con una posizione di un certo livello economico e/o sociale (spesso consiglieri di qualche società). Il contenuto della mail viene adattato per il target di riferimento e spesso ha per oggetto istanze aziendali o reclami.

Alla luce di quanto detto finora, risulta evidente che il phisher tenti di creare un messaggio la cui forma, provenienza e contenuto siano sufficientemente credibili dall’utente perché questo decida di assecondarne la richiesta. Affinché questo sia possibile, vengono utilizzati vari stratagemmi dai phisher.

È molto comune l’utilizzo di sottodomini che facciano sembrare un sito come appartenente a una particolare istituzione. Ad esempio, l’indirizzo www.lamiabanca.accesso.com potrebbe far pensare che rimandi al sito di “lamiabanca”, quando in realtà sta rimandando alla fantomatica sezione “lamiabanca” del sito “accesso”, che sarà a quel punto facile accesso da parte del phisher.

Anche prestando attenzione alla presenza del corretto indirizzo di un sito web, non si è comunque del tutto al sicuro. In alcuni casi, infatti, è possibile far apparire, nella barra dell’indirizzo, un URL in cui in realtà non ci si trova in quel momento, rendendo molto più difficile il riconoscimento del tentativo di phishing da parte dell’utente.

Altri esempi più facilmente riconoscibili di phishing includono link che sembrano rimandare a indirizzi innocui, come un Google Docs o una testata di informazione, che invece non si rivelano tali. Oppure, i phisher possono posizionare dei pop-up sul sito della banca dell’utente in modo che questi inserisca il suo account e la password, pensando che sia la banca a richiederli. Questo può essere fatto anche tramite una contraffazione della voce di una persona, magari sfruttando quella dell’impiegato della propria banca per inviare un messaggio vocale che richiede la verifica di alcuni dati.

Una volta delineate la pericolosità e la capillarità di questa minaccia, viene spontaneo domandarsi se sia possibile eliminare il phishing o quantomeno proteggersi in qualche modo. Sembrerà banale ma, come in molti altri casi, l’arma più potente a disposizione è la formazione.

È possibile imparare e allenarsi a riconoscere i tentativi di phishing prestando maggiore attenzione ai propri movimenti online e instaurando dei comportamenti virtuosi volti a limitare le probabilità di cadere in trappola. Molte aziende fanno delle vere e proprie simulazioni per mettere alla prova i propri dipendenti. Ad esempio, quando si riceve una e-mail che richiede la verifica di alcuni dati sensibili, sarebbe opportuno contattare la società mittente del messaggio per avere un riscontro sull’effettiva veridicità del messaggio ricevuto.

Oltre alla sensibilizzazione e alla formazione dell’utente, è possibile adottare alcune misure di stampo tecnico capaci di segnalare un tentativo di phishing e salvaguardare l’utente prima che sia troppo tardi:

• Filtro e-mail – Utilizzare degli appositi filtri di spam nella propria casella elettronica consente di identificare immediatamente un buon numero di messaggi potenzialmente dannosi e di rimuoverli in automatico dalla posta in arrivo.
• Avvisi del browser – Tutti i browser più utilizzati oggi hanno integrata una funzione che consente loro di confrontare le pagine visitate in tempo reale con delle liste contenenti tutti i siti Internet segnalati come potenzialmente pericolosi. Utilizzando una VPN, inoltre, è possibile attivare un’apposita funzionalità che permette di visualizzare direttamente nel browser anche gli avvisi di sicurezza inviati dalla VPN stessa. NordVPN offre questa funzionalità grazie a Threat Protection, che oltre a permettere di riconoscere i siti malevoli, permette anche di bloccare i cookie di tracciamento e di eliminare il malware prima che possa essere installato.
• Login visivo – Molti siti istituzionali si proteggono dal phishing facendo scegliere all’utente un’immagine, che solo lui può conoscere, che sarà necessariamente presente ogni volta che questi tenterà di effettuare l’accesso. In questo modo, laddove dovesse cadere nel tranello di un phisher, l’utente potrebbe notare la mancanza dell’immagine di login e capire che non si tratta di un accesso autentico.
• Autenticazione in due passaggi – Ormai diffusasi dovunque, questa modalità per accedere alla propria area personale richiede che venga svolto un passaggio aggiuntivo, oltre all’inserimento del nome utente e della password. Spesso questo passaggio aggiuntivo prende la forma di un messaggio inviato al numero di telefono associato all’account (non visibile ad alcun phisher) o della creazione, tramite smartphone, di una cosiddetta One-Time Password (OTP). Questa OTP èuna password temporanea, comunicata direttamente sul cellulare dell’utente, che rimane valida solamente per 60 secondi.
• Controllo e segnalazione – Esistono inoltre svariate compagnie che offrono servizi per monitorare, analizzare ed eventualmente chiudere i siti responsabili del phishing. I singoli utenti possono invece segnalare il phishing a gruppi di volontari o professionisti del settore, così come a Google. Tutto questo aumenta il feedback e consente di contrastare più efficacemente i tentativi dei phisher.