Legali.com

il sito degli avvocati italiani

Home > Diritto penale > La vulnerabilità dei dati personali (phishing e truffe)

La vulnerabilità dei dati personali (phishing e truffe)

mercoledì 18 aprile 2007, di Francesco Pagano

"Phishing": problema e minaccia in rapida crescita a causa dell’ingenuità degli utenti

Un recente studio condotto da studiosi della UC Berkeley e della Harvard University mostra che gli utenti continuano a subire truffe perpetrate con il phishing nonostante siano stati informati del crescente numero di attacchi. Il phishing funziona facilmente a causa dell’ingenuità degli utenti.

La relazione indica che i migliori siti di phishing sono riusciti ad ingannare il 90% dei partecipanti che hanno commesso errori nell’esecuzione delle verifiche nel 40% dei casi. Il 23% dei partecipanti non ha prestato la giusta attenzione alla barra dell’indirizzo, alla barra di stato o agli indicatori di sicurezza. 15 partecipanti su 22 hanno continuato senza esitazione anche dopo essere stati avvertiti che gli strumenti di sicurezza avrebbero potuto essere meno efficaci del previsto.

Esistono tre motivi principali per cui gli utenti vengono ingannati.

  1. Mancanza di conoscenza
    Molti utenti non conoscono le nozioni di base sull’impiego e sulle funzionalità dei sistemi operativi, delle applicazioni, della posta elettronica e dei siti Web. I siti di phishing sfruttano questa mancanza di conoscenza in diversi modi. Alcuni utenti, ad esempio, non conoscono il significato o la sintassi dei nomi di dominio e non riescono a distinguere gli indirizzi URL regolari da quelli ingannevoli. Altri attacchi falsificano l’intestazione dei messaggi di posta elettronica e in molti casi gli utenti non riescono neppure a capire gli indicatori di sicurezza che segnalano che lo standard SSL non è uno strumento di sicurezza appropriato.
  2. Inganno visivo:
    I "phisher" ricorrono all’inganno visivo contraffacendo il testo normale, le immagini e le finestre. Persino gli utenti più esperti possono essere tratti in inganno nei casi riportati di seguito:
    - testo visivamente ingannevole: gli utenti possono essere ingannati dalla sintassi di un nome di dominio negli attacchi in cui vengono sostituite delle lettere passando inosservate, ad esempio paypaI.com utilizza la "I" maiuscola, che appare in modo del tutto simile alla lettera "l" ("L" minuscola)
    - immagini che mascherano il testo sottostante
    - immagini che emulano finestre
    - finestre che mascherano le finestre sottostanti
    - aspetto ingannevole
  3. Scarsa attenzione:
    Anche gli utenti più esperti che riescono a rilevare l’inganno visivo descritto nei casi riportati sopra possono essere comunque tratti in inganno se non prestano la giusta attenzione agli indicatori di sicurezza.

Di seguito vengono riportati alcuni casi in cui tali indicatori possono essere ignorati.

- Mancanza di attenzione agli indicatori di sicurezza:
La sicurezza diventa spesso un obiettivo secondario. Quando gli utenti sono concentrati sulle loro attività principali, possono trascurare gli indicatori di sicurezza e i messaggi di avvertenza.

- Mancanza di attenzione in caso di assenza degli indicatori di sicurezza:
Gli utenti non si accorgono dell’assenza di un indicatore di sicurezza.

La relazione illustra chiaramente che anche nei casi in cui si prevede la presenza di "spoof", gli utenti vengono indotti facilmente a fornire le informazioni richieste dai phisher. Lo studio ha rivelato che il migliore sito di phishing è stato in grado di trarre in inganno il 90% dei partecipanti. Gli indicatori progettati per segnalare l’attendibilità non sono stati interpretati correttamente e solo il 23% dei partecipanti ha utilizzato il contenuto del sito Web per valutarne l’autenticità, senza esaminare le altre aree del browser.

La relazione indica che è assolutamente necessario che gli utenti acquisiscano una sempre maggiore consapevolezza e conoscenza degli attacchi di phishing e delle modalità ingannevoli delle pagine Web. Oltre agli strumenti di protezione che impediscono in modo efficace l’ingresso dei messaggi di phishing nella casella postale, queste sono alcune delle principali attività per coloro che si occupano di sicurezza su Internet.

"Vishing": una nuova tecnologia riporta in auge vecchie attività illecite

Introduzione

Uno degli strumenti più diffusi già utilizzati dai pirati informatici agli albori delle comunicazioni informatiche è il war-dialling. Il pirata informatico utilizza un programma mediante il quale il suo computer chiama (tramite modem) sequenze semi-casuali di numeri telefonici in una determinata area. Nel caso in cui un modem risponda, può supporre con un buon margine di sicurezza la presenza di un computer. L’elenco di risposte dei modem (computer) può diventare per il pirata informatico un’opportunità di conseguire i suoi obiettivi.

Poiché i modem sono ormai poco utilizzati, per ottenere gli stessi risultati si ricorre alla scansione delle porte. Utilizzando un computer l’intruso effettua la scansione di un intervallo IP alla ricerca di computer sui quali determinate porte risultano aperte. Quelli che forniscono una risposta positiva possono essere oggetto di nuovi tentativi di accesso il cui esito potrebbe essere il controllo della macchina. A quel punto il computer diventa utilizzabile per qualunque obiettivo: spamming, botnet e così via.

Funzionamento del vishing

1. Utilizzare un computer che chiama sequenze di numeri (la parte "V")
La fase iniziale prevede la configurazione del computer mediante la tecnologia voice over IP (VoIP) che consente di chiamare molti numeri telefonici in una determinata area.

A differenza delle buone, vecchie tecniche di war-dialling, la distanza in questo caso non costituisce un problema poiché il costo della telefonata è irrisorio; tuttavia, come si vedrà al punto 2 riportato di seguito, la lingua utilizzata nell’area potrebbe essere determinante ai fini del risultato positivo dello schema di vishing. .

2. Riprodurre di un messaggio pre-registrato (la parte "ishing")
Presumibilmente alcuni dei numeri chiamati risponderanno. La persona che ha messo in atto lo schema avrà già pre-registrato un testo di phishing, ad esempio un messaggio, in apparenza proveniente dal reparto antifrodi della società emittente della carta di credito, in cui viene richiesto di chiamare altro numero allo scopo di risolvere alcune questioni.

In genere il messaggio pre-registrato utilizza la stessa lingua dell’area in cui ha luogo il vishing. Un messaggio automatico in tedesco che si rivolge a francesi e che si dice inviato da un dipendente della banca non è esattamente un messaggio credibile e riuscirà a ingannare solo gli utenti più ingenui (il che ovviamente potrebbe essere l’obiettivo).

3. Ottenere le informazioni che contano

Se la truffa descritta al punto 2 è convincente, alcuni di coloro che hanno risposto alla chiamata automatica e ascoltato il messaggio richiameranno al numero indicato.

In questa fase l’autore del vishing può scegliere tra varie possibilità.

Può utilizzare le proprie capacità personali di social engineering e rispondere personalmente alla telefonata, cercando di indurre con l’inganno l’interlocutore a rivelare alcune informazioni personali, ad esempio il numero della carta di credito, il codice PIN, la data di nascita e così via.
In questa fase, il contatto telefonico personale ha la maggiore probabilità di successo; per contro, ha come svantaggio il fatto che l’autore del vishing può parlare a una sola persona per volta.
In alternativa l’autore del vishing può pre-registrare un altro messaggio raccontando una storia che sembri credibile e induca con l’inganno chi effettua la chiamata a fornire le proprie informazioni personali.
Può dire, ad esempio, che si è verificato un crollo del database del reparto carte di credito della banca e contemporaneamente alcuni numeri di carta di credito sono stati rubati. Poiché il database e le informazioni del cliente non sono disponibili chiede a chi effettua la telefonata di fornire il numero di carta di credito e il numero di telefono in modo che la banca possa richiamare nel caso in cui tali numeri rientrassero tra quelli che sono stati oggetto di furto.
Le tecniche di persuasione utilizzabili dall’autore del vishing hanno come limite solo la sua immaginazione. D’altra parte devono essere il più possibile generiche, affinché risultino efficaci per il maggior numero di persone.

4. Commettere la frode e/o ottenere altre informazioni
Le informazioni raccolte seguendo i tre punti riportati sopra possono poi essere utilizzate dall’autore del vishing per commettere la frode. Nell’esempio riportato sopra la frode si riferisce alla carta di credito ma potrebbe riguardare qualunque aspetto.

In questa fase l’autore del vishing può anche utilizzare le informazioni raccolte per ottenere altre informazioni e, nel caso estremo, per quanto remoto, riuscire anche ad impossessarsi dell’identità dell’altra persona.

Si tratta di un fenomeno destinato presumibilmente a ripetersi ogni volta che vengono adottati nuovi canali. Indipendentemente dai supporti e dalle tecniche utilizzate dalla persona fraudolenta, il consiglio generale è di

utilizzare lo scetticismo intelligente in qualunque situazione in cui viene chiesto di rivelare informazioni personali

"Spear Phishing": variante specializzata contro obiettivi mirati

Recentemente ha fatto la sua apparizione una variante specializzata di phishing, nota come "spear phishing" (pesca con la fiocina).

I tentativi di phising "abituale" sono generalmente rivolti a individui scelti in modo più o meno casuale, con l’intento di indurli a compiere azioni specifiche che andrebbero in qualche modo a compromettere i propri dati personali. Lo spear phishing invece non ha come obiettivo individui a caso.
Spear phishing - attacchi mirati contro un’organizzazione: si potrebbe registrare, ad esempio, un tentativo di phishing da parte di un’organizzazione contro un concorrente (solitamente a scopo di spionaggio industriale) oppure da parte di un’agenzia di intelligence nei confronti di un’azienda sospetta, o ancora da parte di criminali nei confronti delle istituzioni per l’ordine pubblico.

Gran parte degli utenti sono stati informati in più occasioni sui rischi legati a tentativi di phishing con false richieste da parte di banche e altre istituzioni di rivelare i propri nomi utente, le proprie password e così via. Presumibilmente sono ormai pochi coloro che credono ancora che una banca possa richiedere di confermare, tramite e-mail, il proprio nome utente, password o i dati di una carta di credito.
Benvenuti allo spear phishing: l’artefice ti questo tipo di minaccia è in grado di forgiare un messaggio e-mail in modo estremamente convincente, ad esempio facendo credere che sia stato inviato da un capo reparto IT. Il messaggio può essere ulteriormente personalizzato in modo tale da rendere ovvio che è riferito unicamente all’organizzazione specifica in questione. In una situazione di attacco di phishing, sono le abilità di social engineering dell’artefice a determinare le probabilità di successo del tentativo. Nel caso di un attacco di spear phishing, tuttavia, le probabilità di successo sono molto più elevate.

Chi lancia l’attacco di spear phishing dispone di diversi strumenti da mettere in funzione quando una delle vittime delle organizzazioni prese di mira viene "trafitta dalla fiocina". Può installare, ad esempio, delle backdoor sui computer compromessi e guadagnare accesso al computer o rete per ottenere informazioni riservate. Può inoltre installare dei keylogger per ottenere le sequenze di tasti digitate per comporre nomi utente e password. Chi lancia l’attacco può inoltre installare virus che inviino tutti i file di un particolare tipo ai quali il computer della vittima ha accesso. E così via...

A differenza del tentativo di phishing generico, più comune, l’attacco di spear phishing è molto più difficile da ostacolare. Vi sono almeno due motivi per questo:

- gli attacchi sono diretti a piccoli numeri di individui, ed è quindi più difficile per gli addetti alla sicurezza venirne a conoscenza e fornire protezione e avvisi;
- dal momento che gli attacchi hanno come obiettivo il personale di un’organizzazione specifica, le tecniche di social engineering possono essere molto specifiche e personalizzate per i dipendenti di tale organizzazione.

(a cura di Norman)


Vedi on line : Alias srl