Social engineering: il Phishing

Ebbene si, l’elemento umano è il maggior punto di debolezza dei sistemi informatici. Soprattutto in questi momenti in cui eventi come la diffusione del coronavirus riportano alla ribalta minacce come il malware ¹ Emotet.

Le tecniche di cyber attacco sfruttano spesso proprio questa vulnerabilità dettata dalla curiosità, dalla distrazione e dalla buona fede degli umani attaccati. Le tecniche che sfruttano il fattore umano, dette tecniche di social engineering, sono il phishing, il whaling ² e lo spear phishing ³.

Attraverso una tecnica di fishing (pesca) i cyber criminali cercano di indurre la vittima, attraverso comunicazioni per lo più a mezzo posta elettronica, a seguire le proprie istruzioni per collegarsi ad un sito internet clone dell’originale al fine di rilevare informazioni riservate quali ad esempio username, password, dati bancari e di carte di credito, per infettare il computer della vittima attraverso l’uso di malware o per indurre all’effettuazione di pagamenti indebiti.

Per individuare gli indirizzi email da attaccare viene comunemente utilizzata la tecnica del Dictionary Attack che consiste essenzialmente nel combinare domini e nomi e… provare. In fondo nome.cognome@dominio.com non è una combinazione così desueta! In alternativa alla generazione con il metodo del Dictionary Attack, i cyber criminali (ma a volte non solo questi) possono ricorrere ad Address List acquistate sul mercato o a Spambot cioè a programmi che, come gli spider di Google, analizzano i contenuti del web, ma sono finalizzati a raccogliere gli indirizzi email da siti web, da newsgroup, da post dei  gruppi di discussione e dalle conversazioni delle chat-room.

La vittima, una volta raggiunta dall’email comunque individuata con uno dei metodi di cui sopra, viene invitata a cliccare su un link o su un file allegato alla email che l’utente non riesce ad individuare come sospetto e che pertanto viene scaricato ed eseguito. Secondo il “Rapporto CLUSIT 2019 sulla sicurezza ICT in Italia”, il livello di verosimiglianza dei messaggi che vengono inviati è così elevato che sta diventando sempre più difficile per l’utente medio notare la differenza tra le mail mandate in una campagna di phishing e le email inviate legittimamente dai comuni servizi on-line.

Il “Rapporto CLUSIT 2019 sulla sicurezza ICT in Italia” evidenzia come nel primo semestre del 2019 la tecnica di attacco che mostra la crescita maggiore rispetto al 2014 è “Phishing / Social Engineering” (+104,8%), a dimostrazione di quanto sia fondamentale ed urgente investire sul fattore umano. Ad oggi la somma delle tecniche di attacco più banali (SQLi, DDoS, Vulnerabilità note, Account cracking, Phishing e Malware “semplice”) rappresentano ben il 63% del totale. Le segnalazioni di pagine di phishing ospitate su server italiani compromessi e pervenute al CERT Nazionale sono notevolmente cresciute nel corso degli anni, passando dalle circa 400 del 2015 alle 3.700 del 2018.

I contesti aziendali principalmente colpiti dalle email di phishing sono nel 2018 quelli relativi al settore dei pagamenti, in netta crescita rispetto all’anno precedente con il 36,7% delle email di phishing individuate (+20% circa), seguito da quello bancario con il 25,6% al pari dei livelli dell’anno precedente. Il movente per le violazioni di questi tipi di account rimane sicuramente il ritorno finanziario immediato. Seguono i servizi online, in particolare quelli di webmail, con l’11,3% e in leggera diminuzione rispetto all’anno precedente (7% circa), e poi i servizi di storage su cloud, al 9,9% di email di phishing, e social network, allo stesso livello dell’anno sorso con il 5,3%. Il totale degli altri contesti colpiti dal phishing ammonta all’11,31% e include un incremento rilevante di attacchi contro aziende in settori critici a livello nazionale, in particolare quello energetico.

¹ Abbreviazione di malicious software, ossia software dannoso. Nel mondo della sicurezza informatica, indica un qualsiasi programma utilizzato per disturbare le operazioni svolte da un utente di un computer. Il termine venne coniato nel 1990 da Yisrael Radai.
² Con whaling, dall’inglese whale (balena) si indica un phishing nel quale si punta a far abboccare una figura importante, un pesce grande appunto. Con tale tecnica si individua come vittima una figura di spicco in un’organizzazione per indurlo a condividere informazioni riservate o a pagare somme in favore dell’attaccante.
³ Con lo spear phishing (pesca con la fiocina), al contrario del phishing generico, il cyber criminale individua accuratamente il destinatario dell’attacco e lo studia attraverso le informazioni web ed i social.

Bibliografia:

• Cybersecurity kit di sopravvivenza, Giorgio Sbaraglia
• Rapporto CLUSIT 2019
• Public collection: Phishing campaigns affecting Italian organisations XForce Exchange, Agosto 2018
• Public collection: Phishing Campaign uses Hijacked Emails to Deliver URSNIF by Replying to Ongoing Threads XForce Exchange, Ottobre 2018
• New Reverse Proxy Tool Can Bypass Two-Factor Authentication and Automate Phishing Attacks SecurityIntelligence.com, Gennaio 2019
• CERT Nazionale italiano, Il malware “AVE_MARIA” diffuso in campagna di phishing ai danni di un’azienda italiana, https://www.certnazionale.it/ news/2019/01/14/il-malware-ave_maria-diffuso-in-campagna-di-phishing-ai-danni-di-unazienda-italiana/
• CERT-PA, Phishing: Finta notifica da parte di DHL, https://www .cert-pa .it/notizie/phishing-finta-notifica-da-parte-di-dhl/