Attacchi di phishing e social engineering

Il phishing è considerato uno dei crimini informatici più diffusi in ambito bancario, in considerazione della facilità con cui esso può essere attuato: infatti, il phishing consiste nell’invio da parte dei cyber criminali di messaggi di posta elettronica “apparentemente”

58 _{CERT nazionale Italia, “DoubleLocker: nuovo ransomware per Android cifra i dati e blocca il dispositivo”,}

Ottobre 2017.

59 _{CERT nazionale Italia, “LokiBot: il primo trojan bancario per Android con capacità di ransomware”,}

62

provenienti da un istituto bancario o altri enti, nei quali viene formulata ai clienti una richiesta di inserimento dei propri dati personali per i più svariati motivi, per poi impossessarsi di tali dati e truffare così gli utenti. Questa tipologia di attacco informatico consente agli hacker di aggirare le difficoltà che emergono quando essi decidono di violare direttamente i sistemi informatici e di sicurezza degli istituti di credito, andando a colpire invece i singoli clienti. Infatti, l’attacco ai clienti è considerato più semplice da realizzare, in quanto i cyber criminali ritengono che nella maggior parte dei casi essi non dispongono delle competenze idonee a riconoscere se l’e-mail ricevuta è in realtà una truffa o se questa proviene realmente dalla banca. Il contenuto dei messaggi riguarda spesso la segnalazione di problemi tecnici presenti sul server della banca, di sospetti tentativi di accesso al proprio conto corrente o di procedure di aggiornamento dei server. Il messaggio indica come soluzione del problema l’inserimento delle proprie credenziali di accesso degli utenti, semplicemente cliccando su un link che conduce ad una pagina web: per aumentare l’efficacia dell’azione malevola condotta tramite il phishing, il messaggio viene scritto con tono intimidatorio, al fine di allarmare il cliente e porlo in condizione di accettare la richiesta di inserimento dei propri dati personali.

Tipicamente, le fasi di un attacco di phishing sono sei e possono essere suddivise nel seguente modo60_:

1) Planning → questa è la fase di pianificazione, nella quale l’hacker prende decisioni sui destinatari dell’attacco, sulle modalità con cui verrà realizzato e sugli obiettivi della frode;

2) Setup → in questa fase il criminale passa alla creazione degli strumenti necessari per compiere l’attacco e alla raccolta del maggior numero di informazioni sulle vittime potenziali;

3) Attack → in questa fase l’attaccante inizia a prendere contatti con le vittime potenziali, cercando di instaurare con esse un rapporto di fiducia, allo scopo di ottenere la possibilità di prendere possesso dei loro dati personali;

4) Collection → in questo step l’hacker ruba le credenziali agli utenti tramite vari mezzi, come le e-mail o gli smartphone;

5) Fraud → questa è la fase in cui l’hacker può mettere in pratica le proprie azioni fraudolente, utilizzando le credenziali degli utenti a scopo di riciclaggio di

60 _{Cajani F., Costabile G., Mazzaraco G., “Phishing e furto d’identità digitale. Indagini informatiche e}

63

denaro, per rubare l’identità dell’utente malcapitato o per accedere al conto della vittima e rubarne così il denaro;

6) Post attack → si tratta dell’ultima fase nella quale, dopo il momento clou dell’attacco, il criminale cerca di passare inosservato coprendo ogni traccia delle sue azioni, controlla se l’attacco è andato a buon fine e se ha soddisfatto le sue aspettative e, sulla base del risultato ottenuto, comincia l’attività di planning dell’attacco successivo.

Nel seguente box sono contenuti degli esempi di e-mail di phishing riportati sul sito web della banca Fideuram allo scopo di far capire quali sono le caratteristiche principali di questa fattispecie di attacco informatico61.

“Una nuova gamma completa di servizi online è adesso disponibile! Per poter

usufruire dei nuovi servizi online di Banca Fideuram occorre prima diventare UTENTE VERIFICATO. Accedi ai servizi online di Banca Fideuram e diventa cliente verificato. Cordiali saluti”.

“Gentile cliente di Banca Fideuram, il servizio tecnico di Banca Fideuram sta

eseguendo un aggiornamento del software al fine di migliorare la qualità dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del cliente. A questo scopo, La preghiamo di cliccare sul link che Lei troverà alla fine del messaggio http://bancafideuram.it/fideuram/servizi/=starthtml. Ci scusiamo per ogni eventuale disturbo e la ringraziamo per la collaborazione”.

Nel primo esempio il cliente viene invitato in modo ingannevole ad inserire le credenziali di accesso per poter essere considerato un “utente verificato”, quindi per accertare la propria posizione di cliente di banca Fideuram, per poter utilizzare nuovi servizi di online banking; nel secondo caso viene invece segnalato all’utente un intervento di aggiornamento del software e, affinché questo avvenga, viene chiesto all’utente di autenticarsi cliccando su un link. In entrambi i casi si può notare come sia evidente la provenienza sospetta dell’e-mail, in quanto le banche non richiedono mai la conferma dei propri dati di accesso tramite messaggi di posta elettronica.

64

Il phishing fa parte della categoria più ampia del “social engineering”, che consiste nello sfruttamento della buona fede, della disponibilità e dell’insicurezza degli individui per acquisirne le informazioni personali. Le tecniche di social engineering mirano agli utenti per mettere in atto i propri piani criminali, in quanto con esse gli hacker cercano di manipolare le vittime, sfruttando le loro debolezze dal punto di vista psicologico. In un attacco di social engineering non sono richieste chissà quali competenze informatiche per colpire, anzi è importante disporre di adeguate competenze relazionali e sociali al fine di catturare informazioni sugli utenti da manipolare. Il malintenzionato deve inoltre essere capace di fingere, di calarsi completamente nel “personaggio”, e di saper rispondere ad ogni eventuale domanda scomoda della vittima. Un’altra caratteristica del social engineer è la persuasione, la capacità di ottenere la fiducia dell’utente, requisito indispensabile per raccogliere le informazioni utili a sferrare l’attacco vero e proprio. Il social engineer deve poi mostrare un’adeguata proprietà di linguaggio, dato che le sue armi sono legate alla componente umana e tutto si gioca sul piano psicologico.

Vediamo adesso quali sono le fasi di un attacco di social engineering62:

1) Raccolta delle informazioni → la prima fase consiste nello studio della vittima attraverso la raccolta di tutte le informazioni utili. Questo step è di natura osservativa, in quanto permette al frodatore di ottenere informazioni sui contatti della vittima, quali e-mail e numero di telefono, ma anche sui suoi interessi personali, abitudini e attività lavorativa. La fase di raccolta è importante, poiché tramite essa è possibile instaurare un primo contatto con la potenziale vittima, definendo le modalità e gli obiettivi dell’attacco. Sulla base delle informazioni raccolte, il social engineer si costruisce una falsa identità, cercando di rappresentare delle autorità: in questo modo, egli può mascherare la propria reale identità e compiere azioni a danno delle vittime.

2) Sviluppo di una relazione con la vittima → la fase successiva consiste nel costruire una relazione stabile con la vittima, in modo da ottenere la sua fiducia e, cosa più importante, la sua collaborazione in merito alla fornitura dei dati personali. 3) Manipolazione della vittima → in questa fase il social engineer utilizza le

informazioni raccolte e la relazione costruita con la vittima per manipolarla: tale manipolazione avviene dicendo una bugia credibile alla vittima, ossia facendole credere che esiste un problema tecnico o di sicurezza al conto corrente o

65

all’account di posta elettronica che può essere risolto fornendo le proprie credenziali di accesso. Tramite queste menzogne, la vittima viene così invitata a fornire dati personali come user ID o password oppure a cliccare su determinati collegamenti.

4) Esecuzione → in quest’ultima fase il social engineer ha raggiunto il proprio obiettivo, cioè la rivelazione dei dati personali da parte della vittima. La difficoltà di questo step è quella di passare inosservato, di non dare alcun segnale circa le azioni criminali compiute a danno dell’utente. Egli non deve tradire alcuna emozione nel momento in cui l’utente scopre di essere stato truffato, così da non essere scoperto.

Oltre al phishing esistono altre tecniche di social engineering, come ad esempio il vishing, che è simile al phishing, ma si distingue per il mezzo utilizzato per truffare l’utente: in questo caso infatti la frode avviene per via telefonica. In particolare, il vishing si concretizza nel momento in cui la vittima riceve una telefonata da un falso operatore del contact center di una banca. Il vishing ha due peculiarità63: la prima è data dall’utilizzo dei canali VoIP, che consentono di far apparire sullo schermo del telefono dell’utente il numero effettivo della propria banca. La seconda consiste nell’utilizzo di tecniche di social engineering per ottenere dati personali della vittima: in particolare, il malintenzionato simula una situazione che si può effettivamente verificare, come ad esempio la banca che contatta il cliente per comunicargli problemi sul conto corrente o sulla carta di credito, oppure un tentativo di accesso ai servizi di home banking. In realtà si tratta di una chiamata automatica nella quale si invitano gli utenti a chiamare il numero indicato nella registrazione per risolvere il problema: questo numero appartiene al truffatore, e una volta chiamato, la vittima inserisce i propri dati che vengono immediatamente acquisiti dal visher per farne un uso illecito.

Un altro fenomeno sempre più frequente è lo smishing, ossia il phishing in versione mobile. Il termine “smishing” deriva dall’unione delle parole SMS e phishing ed è dunque una nuova tipologia di frode informatica che viene diffusa e applicata tramite gli SMS. In dettaglio, sullo smartphone della vittima arrivano degli SMS che segnalano con tono minaccioso la presenza di problemi legati all’accesso al proprio conto corrente e, per risolvere tale problema, invitano il destinatario a cliccare su un link e inserire le proprie

66

credenziali: una volta fatta quest’operazione, esse vengono immediatamente catturate dai criminali e utilizzate per i propri scopi fraudolenti64_.

Un’altra tecnica di social engineering è il pharming, che può essere considerata un’evoluzione del phishing. L’obiettivo è sempre lo stesso, ossia quello di dirottare l’utente e indurlo a cliccare su un sito fasullo creato apposta per sottrarre dati sensibili della vittima, come credenziali, numero di conto corrente, numero di carta di credito, per poi metterli a disposizione dell’hacker per poter operare sul suo conto corrente o sulla sua carta di credito. La differenza rispetto al phishing è che in questo caso ad essere attaccati non sono solo i clienti, ma anche i server DNS: infatti, ogni volta che l’utente digita l’indirizzo del sito web del proprio istituto di credito, egli viene indirizzato in realtà verso un altro sito “fasullo” creato appositamente dai malintenzionati, che a prima vista appare identico a quello originale della banca.

Possiamo dunque dire che tutte le tecniche di social engineering fin qui esposte hanno in comune il fatto di essere compiute dagli hacker nei casi in cui questi ultimi non posseggano le competenze informatiche o le dotazioni tecnologiche necessarie a colpire le proprie vittime. In tali circostanze, infatti, non è necessario disporre di know-how a livello informatico, ma è sufficiente la dotazione di capacità di persuasione nei confronti degli utenti della banca ed elevate capacità di linguaggio e relazionali. Questi hacker “non tecnologici” fanno leva sulla componente psicologica della truffa, in quanto agiscono osservando e studiando i comportamenti e le abitudini delle vittime, per poi carpirne le informazioni utili per sferrare l’attacco.

Questi criminali cercano dapprima di conquistare la fiducia del cliente della banca, fingendosi ad esempio un dipendente dell’istituto, e una volta ottenuta la fiducia, sfruttano le debolezze e le paure della vittima per compiere azioni a proprio vantaggio.

Secondo un’analisi condotta da Kapersky Lab, nel 2016 la quota di attacchi di phishing finanziario è aumentata del 13,14% rispetto al 2015, rappresentando il 47,48% di tutti gli attacchi di phishing globali65. Il report mostra come il phishing finanziario sia una delle attività criminali più diffuse a livello globale. Nel 2016, tramite le tecnologie anti- phishing di Kapersky, sono stati individuati circa 155 milioni di tentativi da parte degli utenti di visitare diversi tipi di pagine di phishing. Tra questi, il 47,48% erano tentativi di visitare pagine di phishing finanziario, che avevano lo scopo di ottenere informazioni

64 _{Il Sole 24 Ore, “Cos’è e come funziona lo smishing”, Novembre 2012.} 65 _{Kapersky Lab, “Financial Cyberthreats in 2016”, Febbraio 2017.}

67

rilevanti come IBAN, conti correnti, codici fiscali, username e password usate per accedere all’online banking. Tra tutti i tipi di phishing finanziario, quello bancario ha subìto una crescita notevole (25,76%); segue la categoria dei sistemi di pagamento e dell’e-shop, che fanno registrare un aumento rispettivamente di 3,75 e 1,09 punti percentuali rispetto al 2105.

Questi dati dimostrano come il fenomeno del phishing, sebbene non sia una novità in campo finanziario, riesce ancora a guadagnarsi un ruolo di primo piano nella lotta al cyber crime, essendo considerata una minaccia diffusa e in progressivo sviluppo, attraverso il miglioramento e l’evoluzione delle tecniche messe in atto per raggirare gli utenti. Proprio per questo l’ABI ha pubblicato un decalogo che contiene delle regole da seguire per proteggersi dal phishing e da altre forme di social engineering, come ad esempio diffidare delle e-mail che richiedono l’inserimento di dati riservati, non cliccare su link presenti in e-mail sospette, prestare attenzione ai toni intimidatori presenti nelle e-mail, effettuare aggiornamenti frequenti, controllare che la pagina web su cui vengono inseriti i dati riservati sia protetta66.