Legali.com
il sito degli avvocati italiani

Sito per gli avvocati italiani, per tenersi aggiornati, sfruttare le nuove tecnologie, dialogare con i colleghi, sottoporre quesiti giuridici, fare ricerche in ambito legale.
I giuristi che vogliono inviare articoli o notizie, si possono registrare online inserendo i propri dati dal link "Connettersi", posto in fondo alla pagina a sinistra. Clicca qui per vedere il video con le istruzioni per la pubblicazione degli articoli.

La vulnerabilit dei dati personali (phishing e truffe)
Articolo pubblicato online il 18 aprile 2007

di Francesco Pagano
Stampare logo imprimer

"Phishing": problema e minaccia in rapida crescita a causa dell’ingenuit degli utenti

Un recente studio condotto da studiosi della UC Berkeley e della Harvard University mostra che gli utenti continuano a subire truffe perpetrate con il phishing nonostante siano stati informati del crescente numero di attacchi. Il phishing funziona facilmente a causa dell’ingenuit degli utenti.

La relazione indica che i migliori siti di phishing sono riusciti ad ingannare il 90% dei partecipanti che hanno commesso errori nell’esecuzione delle verifiche nel 40% dei casi. Il 23% dei partecipanti non ha prestato la giusta attenzione alla barra dell’indirizzo, alla barra di stato o agli indicatori di sicurezza. 15 partecipanti su 22 hanno continuato senza esitazione anche dopo essere stati avvertiti che gli strumenti di sicurezza avrebbero potuto essere meno efficaci del previsto.

Esistono tre motivi principali per cui gli utenti vengono ingannati.

  1. Mancanza di conoscenza Molti utenti non conoscono le nozioni di base sull’impiego e sulle funzionalit dei sistemi operativi, delle applicazioni, della posta elettronica e dei siti Web. I siti di phishing sfruttano questa mancanza di conoscenza in diversi modi. Alcuni utenti, ad esempio, non conoscono il significato o la sintassi dei nomi di dominio e non riescono a distinguere gli indirizzi URL regolari da quelli ingannevoli. Altri attacchi falsificano l’intestazione dei messaggi di posta elettronica e in molti casi gli utenti non riescono neppure a capire gli indicatori di sicurezza che segnalano che lo standard SSL non uno strumento di sicurezza appropriato.
  2. Inganno visivo: I "phisher" ricorrono all’inganno visivo contraffacendo il testo normale, le immagini e le finestre. Persino gli utenti pi esperti possono essere tratti in inganno nei casi riportati di seguito:
    - testo visivamente ingannevole: gli utenti possono essere ingannati dalla sintassi di un nome di dominio negli attacchi in cui vengono sostituite delle lettere passando inosservate, ad esempio paypaI.com utilizza la "I" maiuscola, che appare in modo del tutto simile alla lettera "l" ("L" minuscola)
    - immagini che mascherano il testo sottostante
    - immagini che emulano finestre
    - finestre che mascherano le finestre sottostanti
    - aspetto ingannevole
  3. Scarsa attenzione: Anche gli utenti pi esperti che riescono a rilevare l’inganno visivo descritto nei casi riportati sopra possono essere comunque tratti in inganno se non prestano la giusta attenzione agli indicatori di sicurezza.

Di seguito vengono riportati alcuni casi in cui tali indicatori possono essere ignorati.

- Mancanza di attenzione agli indicatori di sicurezza:
La sicurezza diventa spesso un obiettivo secondario. Quando gli utenti sono concentrati sulle loro attivit principali, possono trascurare gli indicatori di sicurezza e i messaggi di avvertenza.

- Mancanza di attenzione in caso di assenza degli indicatori di sicurezza:
Gli utenti non si accorgono dell’assenza di un indicatore di sicurezza.

La relazione illustra chiaramente che anche nei casi in cui si prevede la presenza di "spoof", gli utenti vengono indotti facilmente a fornire le informazioni richieste dai phisher. Lo studio ha rivelato che il migliore sito di phishing stato in grado di trarre in inganno il 90% dei partecipanti. Gli indicatori progettati per segnalare l’attendibilit non sono stati interpretati correttamente e solo il 23% dei partecipanti ha utilizzato il contenuto del sito Web per valutarne l’autenticit, senza esaminare le altre aree del browser.

La relazione indica che assolutamente necessario che gli utenti acquisiscano una sempre maggiore consapevolezza e conoscenza degli attacchi di phishing e delle modalit ingannevoli delle pagine Web. Oltre agli strumenti di protezione che impediscono in modo efficace l’ingresso dei messaggi di phishing nella casella postale, queste sono alcune delle principali attivit per coloro che si occupano di sicurezza su Internet.

"Vishing": una nuova tecnologia riporta in auge vecchie attivit illecite

Introduzione

Uno degli strumenti pi diffusi gi utilizzati dai pirati informatici agli albori delle comunicazioni informatiche il war-dialling. Il pirata informatico utilizza un programma mediante il quale il suo computer chiama (tramite modem) sequenze semi-casuali di numeri telefonici in una determinata area. Nel caso in cui un modem risponda, pu supporre con un buon margine di sicurezza la presenza di un computer. L’elenco di risposte dei modem (computer) pu diventare per il pirata informatico un’opportunit di conseguire i suoi obiettivi.

Poich i modem sono ormai poco utilizzati, per ottenere gli stessi risultati si ricorre alla scansione delle porte. Utilizzando un computer l’intruso effettua la scansione di un intervallo IP alla ricerca di computer sui quali determinate porte risultano aperte. Quelli che forniscono una risposta positiva possono essere oggetto di nuovi tentativi di accesso il cui esito potrebbe essere il controllo della macchina. A quel punto il computer diventa utilizzabile per qualunque obiettivo: spamming, botnet e cos via.

Funzionamento del vishing

1. Utilizzare un computer che chiama sequenze di numeri (la parte "V")
La fase iniziale prevede la configurazione del computer mediante la tecnologia voice over IP (VoIP) che consente di chiamare molti numeri telefonici in una determinata area.

A differenza delle buone, vecchie tecniche di war-dialling, la distanza in questo caso non costituisce un problema poich il costo della telefonata irrisorio; tuttavia, come si vedr al punto 2 riportato di seguito, la lingua utilizzata nell’area potrebbe essere determinante ai fini del risultato positivo dello schema di vishing. .

2. Riprodurre di un messaggio pre-registrato (la parte "ishing")
Presumibilmente alcuni dei numeri chiamati risponderanno. La persona che ha messo in atto lo schema avr gi pre-registrato un testo di phishing, ad esempio un messaggio, in apparenza proveniente dal reparto antifrodi della societ emittente della carta di credito, in cui viene richiesto di chiamare altro numero allo scopo di risolvere alcune questioni.

In genere il messaggio pre-registrato utilizza la stessa lingua dell’area in cui ha luogo il vishing. Un messaggio automatico in tedesco che si rivolge a francesi e che si dice inviato da un dipendente della banca non esattamente un messaggio credibile e riuscir a ingannare solo gli utenti pi ingenui (il che ovviamente potrebbe essere l’obiettivo).

3. Ottenere le informazioni che contano

Se la truffa descritta al punto 2 convincente, alcuni di coloro che hanno risposto alla chiamata automatica e ascoltato il messaggio richiameranno al numero indicato.

In questa fase l’autore del vishing pu scegliere tra varie possibilit.

Pu utilizzare le proprie capacit personali di social engineering e rispondere personalmente alla telefonata, cercando di indurre con l’inganno l’interlocutore a rivelare alcune informazioni personali, ad esempio il numero della carta di credito, il codice PIN, la data di nascita e cos via.
In questa fase, il contatto telefonico personale ha la maggiore probabilit di successo; per contro, ha come svantaggio il fatto che l’autore del vishing pu parlare a una sola persona per volta.
In alternativa l’autore del vishing pu pre-registrare un altro messaggio raccontando una storia che sembri credibile e induca con l’inganno chi effettua la chiamata a fornire le proprie informazioni personali.
Pu dire, ad esempio, che si verificato un crollo del database del reparto carte di credito della banca e contemporaneamente alcuni numeri di carta di credito sono stati rubati. Poich il database e le informazioni del cliente non sono disponibili chiede a chi effettua la telefonata di fornire il numero di carta di credito e il numero di telefono in modo che la banca possa richiamare nel caso in cui tali numeri rientrassero tra quelli che sono stati oggetto di furto.
Le tecniche di persuasione utilizzabili dall’autore del vishing hanno come limite solo la sua immaginazione. D’altra parte devono essere il pi possibile generiche, affinch risultino efficaci per il maggior numero di persone.

4. Commettere la frode e/o ottenere altre informazioni
Le informazioni raccolte seguendo i tre punti riportati sopra possono poi essere utilizzate dall’autore del vishing per commettere la frode. Nell’esempio riportato sopra la frode si riferisce alla carta di credito ma potrebbe riguardare qualunque aspetto.

In questa fase l’autore del vishing pu anche utilizzare le informazioni raccolte per ottenere altre informazioni e, nel caso estremo, per quanto remoto, riuscire anche ad impossessarsi dell’identit dell’altra persona.

Si tratta di un fenomeno destinato presumibilmente a ripetersi ogni volta che vengono adottati nuovi canali. Indipendentemente dai supporti e dalle tecniche utilizzate dalla persona fraudolenta, il consiglio generale di

utilizzare lo scetticismo intelligente in qualunque situazione in cui viene chiesto di rivelare informazioni personali

"Spear Phishing": variante specializzata contro obiettivi mirati

Recentemente ha fatto la sua apparizione una variante specializzata di phishing, nota come "spear phishing" (pesca con la fiocina).

I tentativi di phising "abituale" sono generalmente rivolti a individui scelti in modo pi o meno casuale, con l’intento di indurli a compiere azioni specifiche che andrebbero in qualche modo a compromettere i propri dati personali. Lo spear phishing invece non ha come obiettivo individui a caso.
Spear phishing - attacchi mirati contro un’organizzazione: si potrebbe registrare, ad esempio, un tentativo di phishing da parte di un’organizzazione contro un concorrente (solitamente a scopo di spionaggio industriale) oppure da parte di un’agenzia di intelligence nei confronti di un’azienda sospetta, o ancora da parte di criminali nei confronti delle istituzioni per l’ordine pubblico.

Gran parte degli utenti sono stati informati in pi occasioni sui rischi legati a tentativi di phishing con false richieste da parte di banche e altre istituzioni di rivelare i propri nomi utente, le proprie password e cos via. Presumibilmente sono ormai pochi coloro che credono ancora che una banca possa richiedere di confermare, tramite e-mail, il proprio nome utente, password o i dati di una carta di credito.
Benvenuti allo spear phishing: l’artefice ti questo tipo di minaccia in grado di forgiare un messaggio e-mail in modo estremamente convincente, ad esempio facendo credere che sia stato inviato da un capo reparto IT. Il messaggio pu essere ulteriormente personalizzato in modo tale da rendere ovvio che riferito unicamente all’organizzazione specifica in questione. In una situazione di attacco di phishing, sono le abilit di social engineering dell’artefice a determinare le probabilit di successo del tentativo. Nel caso di un attacco di spear phishing, tuttavia, le probabilit di successo sono molto pi elevate.

Chi lancia l’attacco di spear phishing dispone di diversi strumenti da mettere in funzione quando una delle vittime delle organizzazioni prese di mira viene "trafitta dalla fiocina". Pu installare, ad esempio, delle backdoor sui computer compromessi e guadagnare accesso al computer o rete per ottenere informazioni riservate. Pu inoltre installare dei keylogger per ottenere le sequenze di tasti digitate per comporre nomi utente e password. Chi lancia l’attacco pu inoltre installare virus che inviino tutti i file di un particolare tipo ai quali il computer della vittima ha accesso. E cos via...

A differenza del tentativo di phishing generico, pi comune, l’attacco di spear phishing molto pi difficile da ostacolare. Vi sono almeno due motivi per questo:

- gli attacchi sono diretti a piccoli numeri di individui, ed quindi pi difficile per gli addetti alla sicurezza venirne a conoscenza e fornire protezione e avvisi;
- dal momento che gli attacchi hanno come obiettivo il personale di un’organizzazione specifica, le tecniche di social engineering possono essere molto specifiche e personalizzate per i dipendenti di tale organizzazione.

(a cura di Norman)


freccia Sul web : Alias srl


Sito realizzato con SPIP
con il modello ESCAL-V3
Versione: 3.79.33