29 Gen 2020
tipologie di attacco phishing

Abbiamo parlato di Phishing (acronimo di ‘fishing’ la pesca) spiegando che si tratta di installazione di popup, banner ingannevoli o semplici link in mezzo ad altre pagine web o sui social oppure nell’ invio di mail che invitano l’utente ad azioni che sembrano opportune sul momento, ma che si rivelano invasive e distruttive per la tutela dei dati personali.

Quali tipologie di phishing esistono? Vediamole insieme.

Phishing sui motori di ricerca

vengono create pagine web dedicate a prodotti vetrina, poi indicizzate sui motori di ricerca. Gli utenti, facendo un ordine di acquisto, procedendo ad un’iscrizione o disponendo un trasferimento di denaro, forniranno le credenziali di accesso o altre informazioni riservate direttamente sui server del pirata informatico o phisher.

Deceptive phishing.

E’ probabilmente la form più diffusa di phishing. E’ un attacco si verificherà nella posta. Questo apparirà come proviene da una banca fidata. Chiederà i tuoi dati bancari e proverà a rubare i tuoi soldi.

Consiste nell’invio massivo e casuale, di messaggi di posta elettronica ad innumerevoli destinatari, in apparenza provenienti da un mittente conosciuto e affidabile all’utente. I messaggi circolanti in Italia, solitamente segnalano presunti problemi tecnici del mittente, aggiornamenti necessari, tentativi di accesso fraudolento, prevenzione contro rischi di possibili frodi.

Di fronte ad una pagina del tutto identica a quella di un istituto di credito completa di replica di marchi logo e impostazione grafica, oppure a quella di un ente, l’utente allarmato dalla gravosità e dall’ urgenza della situazione, sarà istintivamente predisposto a compilare il form. Purtroppo, nonostante la somiglianza che ogni volta si raffina sempre di più, ovviamente i link contenuti al suo interno saranno collegati a server illegittimi.

Phishing basato su Malware

Consiste nell’installazione di un software maligno (malware) sul computer dell’utente a sua insaputa: il programma, installato sfruttando le vulnerabilità (bug) del sistema di sicurezza, entra in esecuzione in background acquisendo i dati sensibili e le informazioni personali dell’utente, per poi inoltrarle automaticamente al phisher.

  • Può trattarsi di Session hijacking che consiste nel “rubare” i dati di profilazione che l’utente utilizza per accedere ai siti web durante la navigazione e che flagga come “salva per la prossima volta” allo scopo di non dover ricompilare la vota successiva (per es. i cookie c.d. “di sessione”).

  • web trojans si nascondono agli antivirus nel supporto ed infettano, corrompono o sovrascrivono file. Tra i più famosi ci sono quelli di tipo Cryptolocker, ovvero un trojan con le caratteristiche di un ransomware: cripta i dati dell’utente e chiede un riscatto per liberarli. Un altro trojan molto famoso è quello chiamato ZeroAccess. Questo malware è stato generato per rubare le informazioni personali degli utenti. Esistono moltissime versioni di questo trojan. Infine molto diffuso è anche il trojan Pandora, si tratta di un parassita generato per distruggere una macchina. Una volta infettato il computer, usando quasi sempre chat e app per la messaggistica, Pandora inizia a eliminare file e documenti, rallenta la connessione e elimina programmi fondamentali.

  • Attacchi di riconfigurazione del sisitema (system reconfiguration attacks) consistono nel modificare le impostazioni del computer client per scopi dannosi

  • keyloggers registrano i dati immessi dall’utente dalla tastiera o da mouse.

Umo nel mezzo (Man-in-the-middle phishing) il phisher si intermpone tra l’utente ed il sito legittimo, senza alterare nessuna operazione apparente, con la sola differenza che con il cosiddetto sniffer il pirata verrà a conoscenza delle informazioni che l’utente inserisce nel supproto.

DNS-Based phishing (pharming) è una tecnica più raffinata e consiste nel colpire più utenti per volta allo scopo di ottenere informazioni personali senza l’utilizzo di mail. Vengono infatti manipolati gli indirizzi DNS che l’utente utilizza per navigare sostituendo le pagine di navigazione con copie che l’utente inconsapevolmente compilerà come fa ogni giorno, ma questa volta inviando dati personali a malintenzionati.

Smishing (o sms phishing) si attua attraverso un sms che l’utente riceve da parte del suo istituto di credito con la richiesta di aggiornamento tramite compilazione di dati personali su siti clone.

Vishing (o VoIP phishing) si attua attraverso una mail che l’utente riceve da parte del suo istituto di credito e che invita a comporre un numero telefonico per risolvere la problematica fittizia. La vittima, una volta composto il numero, verrà messa in contatto con un falso centralinista che gli chiederà di fornire dati personali o altre informazioni riservate utili allo scopo. Questa metodologia fa leva sulla maggiore fiducia che l’essere umano tende a riporre in una persona che sembra essere autorizzata a richiedere tali informazioni.

Fast flux La tecnica di fluxing in generale prevede la protezione del dominio malevolo, associato al server corrotto, mediante una rapida rotazione degli indirizzi IP. Questi ultimi, di fatto, corrispondono a macchine compromesse (altri bot), in quel momento attive e raggiungibili, che agiscono da proxy verso la vera “mothership”, nascondendone il reale indirizzo IP. In questo modo lo stesso contenuto verrà acceduto mediante indirizzi differenti, rendendo sostanzialmente inefficaci eventuali contromisure basate su blacklist di IP.

Tabnabbing è la tecnica che sfrutta l’abitudine degli utenti ad aprire più schede (tab) all’interno del browser durante la normale navigazione, per consultarle poi singolarmente. La vittima, soprattutto se è trascorso un certo lasso di tempo, tornando sulla scheda precedentemente aperta penserà di aver selezionato un link non sicuro o di averlo fatto inavvertitamente, così da essere indotta ad inserire i dati richiesti che saranno inoltrati all’account del phisher, venendo successivamente reinderizzata al sito reale così da non accorgersi di nulla.

Post a comment