Informatica Tecnologia

Phishing, l’ingegneria sociale della truffa

Nel precedente articolo di tecnologia ed informatica “Ransomware, i tuoi dati presi in ostaggio” , abbiamo esaminato come avvengono le truffe attraverso la sottrazione dei dati con chiavi crittografiche. Oggi parleremo di phishing, il metodo più comune, utilizzato da chi ha intenzione di rubare i nostri dati, i nostri profili e/o le nostre informazioni personali.

Il lupo travestito da nonna

Per quanto un truffatore informatico possa essere abile, nella maggior parte dei casi, non si tratta di individui con conoscenze tecniche estremamente approfondite. Lo stereotipo su chi ci sottrae i dati, entra nei nostri profili, ci ruba informazioni personali e sensibili, è quello di persone estremamente abili ed intelligenti. Non è proprio così, la truffa si basa spesso sui nostri punti deboli, sulla mancanza di educazione ed istruzione, sulle disattenzioni o in alcuni casi sulla paura.
La parola chiave per prevenire le truffe è quindi formazione.
Un soggetto formato e consapevole ha meno possibilità di cadere in una trappola.

La trappola arriva spesso da un nome a noi noto, a cui diamo fiducia. Il nostro contatto potrebbe essere stato ottenuto da un altro indirizzo di posta che è già stato truffato. Vedere un nome a noi familiare che ci fa una richiesta seppur non usuale ci fa abbassare le difese.

Come nella favola di cappuccetto rosso, il lupo dopo aver inghiottito la nonna prende i suoi vestiti e si traveste cercando di ingannare cappuccetto rosso per avvicinarla ed avere l’occasione di mangiare anche lei.
Allo stesso modo il truffatore che fa uso del phishing, si traveste da figura fidata, richiedendo un’azione che dal vostro lato risulterà fatale.
I sistemi informatici odierni sono oggettivamente abbastanza sicuri. È più unico che raro il caso in cui un hacker possa fare breccia in una falla di sicurezza di produzione.
I problemi relativi alla sicurezza sono una realtà, tuttavia essendo costantemente connessi alla rete internet, abbiamo la possibilità di scaricare aggiornamenti di ogni tipo, che spesso vanno a rimediare ad eventuali errori di valutazione nello sviluppo.

Come riconoscerlo

Un tentativo di phishing ti arriva tra capo e collo in un momento in cui non hai le antenne alzate per evitare di cadere vittima del tranello. Può avvenire nei modi più disparati e faremo una classificazione dei metodi.
Ciò che conta è sviluppare un occhio critico, ricordare che alcuni enti o amici, non ci faranno mai determinati tipi di richieste, come cliccare su link o scaricare files, ma considerando la possibile eccezione è sempre bene chiedere conferma più volte di ciò che viene richiesto di fare dal nostro contatto prima di aprire qualsiasi cosa.

Spread phishing

La pesca con la fiocina non è come quando si buttano le reti a strascico e si tira su dal mocassino anni 80 al pesce grosso e pregiato, bensì è un tipo di truffa che prende di mira una specifica tipologia di persone, o addirittura una specifica persona.
A questo tipo di attacco è difficile resistere, perché l’attaccante è sicuramente in possesso di informazioni personali relative alla vittima scelta, questo può rendere più ingannevole il tipo di comunicazione o truffa.
Per fare un esempio pratico, se riceveste una mail dalla vostra banca con richiesta di cliccare su un link per il rinnovo della password, sarebbe già strano il fatto che venga richiesto di seguire un collegamento via mail da parte di un istituto bancario, ma se la mail iniziasse con “Ciao Stefano”, sembrerebbe meno sospetta.
L’attività svolta da truffatori in cerca di prede che possano fruttare un certo guadagno viene chiamata whaling, ovvero caccia alle balene.

Vishing

La V di Vishing è per intendere “Vocal Phishing“. Questo è per far capire che il tentativo di estorsione di dati può avvenire anche telefonicamente, non è necessario che vengano utilizzati complessi strumenti informatici.
In questo caso il truffatore potrebbe presentarsi come il rappresentante di un’azienda o un ente di vostra fiducia, richiedendo dati personali, codici o chiedendo di installare dei malware, spacciandoli per aggiornamenti o altro di attendibile.

Potresti essere contattato dai truffatori per ottenere maggiori permessi di accesso ai tuoi dati, per farlo potrebbero cercare di intimorirti o prenderti in giro. Non cedere mai i tuoi codici e blocca qualsiasi estraneo dovesse contattarti.

Nel caso del ransomware che abbiamo trattato nell’articolo citato in alto, l’esecuzione di un software malevolo può bloccare il vostro computer, rendendolo inutilizzabile e fornendo un numero di assistenza su una schermata bloccante. Chiamando quel numero risponderà il truffatore spacciandosi per una non meglio identificata assistenza tecnica e col vostro aiuto prenderà il controllo remoto del pc.

SMS, messaggistica istantanea e e-mail

Il più classico dei metodi è quello della mail con un link dove il vostro istituto di credito vi chiede di rinnovare il contratto o la vostra iscrizione. Questo tipo di phishing esiste anche in versione SMS, chiamato smishing. Stessa cosa per Whatsapp, Telegram, messenger di Facebook e qualsiasi altra app di messaggistica istantanea.
Generalmente riceviamo una mail con un’etichetta di fiducia, che proviene da nomi che conosciamo, magari da amici che sono già stati truffati a cui è stata rubata la mailing list.
Chiaramente se siete nella mailing list di chi è già stato truffato, è molto facile che, chi se ne appropria, usi quella lista per contattarvi perché sa che voi conoscete quel nominativo e darete fiducia.
Un tipo di attacco comune negli scorsi anni era il sextortion. Si riceveva una mail da se stessi (chiaramente con un’etichetta come appena spiegato), dove il truffatore sosteneva di avere la password d’accesso della vostra casella e del vostro computer e di aver registrato un video compromettente, che verrà distribuito se non verrà pagata una somma.
Non è nemmeno improbabile venire contattati direttamente dal truffatore per essere intimoriti o per ottenere codici e permessi, perché oggi in molti profili sono collegati al numero di cellulare che, per confermare l’identità della persona, inviano il codice due fattori (2FA), direttamente al cellulare dell’utente via SMS.
Non dobbiamo cedere e fornire nel modo più assoluto alcuna informazione o permesso aggiuntivo, bloccate qualsiasi contatto estraneo e cambiate immediatamente tutte le password dopo aver disconnesso qualsiasi dispositivo collegato ai vostri profili.

Motori di ricerca

È possibile che malintenzionati in cerca di dati da rubare possano creare dei siti web farlocchi ma con interfaccia grafica identica a quella di uno più noto. Potreste fare una ricerca su Google per accedere alla vostra casella o al vostro conto corrente e senza rendervene conto, venire dirottati su un clone del sito che state cercando e non rendendovi conto di dove siete commettere l’errore di inserire le vostre credenziali di accesso.
Questa metodica è anche detta “avvelenamento SEO“.
Questo può capitare, in maniera più ovvia, se siete alla ricerca di software pirata da scaricare su siti poco affidabili, che al posto di files torrent o altri files che dovrebbero essere relativi al programma ricercato, potrebbero somministrarvi un malware.

Riconoscerli ed evitarli

Le regole per evitare di essere truffati col phishing sono poche ma importanti. Purtroppo non esiste un antivirus, antimalware, antispam che possa prevenire del tutto un attacco di questo tipo, l’unico modo certo per prevenirlo è essere preparati. Nessuno potrà rubare i nostri dati o prendere possesso dei nostri supporti se non saremo noi a darne l’occasione.

Chi ci contatta? Quando una persona, conosciuta o sconosciuta ci contatta tramite i supporti informatici dobbiamo chiederci il perché, soprattutto se la richiesta è insolita. Non è possibile che qualcuno guadagni l’accesso al nostro dispositivo se prima non è stato eseguito o scritto qualcosa, per cui un eventuale hacking è preceduto sempre da una richiesta. Se la persona che ci contatta non è solita scriverci e ci scrive per farci una richiesta, è bene essere diffidenti.
Se un nostro caro amico ci richiede via e-mail di visitare un sito in un italiano stentato o in inglese e la cosa ci insospettisce, è buona norma guardare accanto al nome, il vero indirizzo del mittente, in modo da controllare se la  mail è realmente quella del nostro amico o se stanno solo utilizzando un nome a noi familiare per ingannarci.

Un esempio da una cartella SPAM. Una mail da DHL con logo di poste italiane suggerisce di cliccare su un link per monitorare lo stato di una spedizione. Poggiandosi sul link è possibile visualizzare l’anteprima testuale del collegamento, in questo modo si può verificare che il collegamento non sarebbe al sito di DHL e nemmeno a quello di poste italiane.

Che tipo di richiesta? La richiesta che ci viene fatta generalmente è quella di cliccare su un link. Il  collegamento in questione poi ci condurrà generalmente a scaricare un file, a compilare dei campi o a concedere autorizzazioni sul nostro dispositivo. Se si è fatto l’errore di cliccare su un link malevolo potrebbe non essere troppo tardi.
Se dal click sul collegamento hai scaricato un file non avviarlo, cancellalo. Nel caso in cui si fosse aperto un sito che ti risulta fidato, dovrai controllare che il dominio del sito sia corretto e che non vengano utilizzate lettere simili per creare un inganno ottico.
Per essere più chiari, se ti si apre Google da un collegamento ottenuto da qualcuno, dovrai controllare che il dominio che stai visitando, sia effettivamente http://www.google.it e che non ci siano altri domini.
Un dominio è di proprietà di una determinata azienda. Quello che abbiamo appena scritto, relativamente a Google, è un dominio, qualora il dominio visitato fosse http://google.frode.it, dovremmo stare molto attenti perché il dominio sarebbe di proprietà dell’azienda che ha comprato frode.it e non più di Google.

Files e permessi o campi da compilare? Se avete scaricato un file da un link potenzialmente malevolo, di solito si tratta di piccole applicazioni (Files .EXE) o apps Android o iOS (Files .APK o .IPA), delle app con permessi sui vostri dati potrebbero essere installate ed in ascolto in background. In questo caso potrebbe essere una buona idea scollegare il supporto da internet e cambiare tutte le vostre password.

Conclusioni

Nell’informatica, così come nella vita in generale, è bene essere preparati a qualsiasi tipo di imprevisto.
Ci sarà sempre chi è pronto ad approfittare di ogni nostra debolezza e/o distrazione, l’importante è non avere paura, e cercare di imparare sempre qualcosa di nuovo.
Per proteggerci non è necessario essere esperti, è importante imparare a sviluppare un occhio critico che ci aiuti a porci dei delle domande a dubbi che possiamo sfatare con la conoscenza. La diffidenza e la paura non ci permettono di vivere a pieno l’esperienza nemmeno nell’utilizzo dei supporti informatici, la formazione è la chiave di tutto.

Avatar photo
Daniele Contino è un sistemista reti e servizi informatici con esperienza ventennale nell'assistenza tecnica informatica. Ha lavorato sia in ambiti corporate multinazionali che come imprenditore, ricoprendo ruoli che spaziano dall'informatica, all'amministrazione, alla vendita e al commerciale. È autore, webmaster e fondatore di Superchio.it nato dalla passione per la lettura, soprattutto di saggi, e la scrittura, ma anche per la condivisione delle proprie passioni con gli altri. Missione principale del magazine è infatti quella di condividere le proprie conoscenze e tentare di divulgare le proprie competenze.