domenica 17 giugno 2007

L'arte della phesca

No, non è un errore di battitura ... lo strafalcione nel titolo non è casuale ma è ispirato da un particolare tipo di truffa informatica che, in lingua inglese, è chiamata “phishing”, con evidente assonanza con il participio presente del verbo to fish, in italiano pescare. La parola probabilmente deriva da phreaking, che è l'insieme di attività che permettono di usare il telefono senza pagare la chiamata, e allude all'uso di Internet (e quindi di una rete largamente basata su quella telefonica) per “pescare” password, numeri di carta di credito, codici di accesso e altre informazioni personali.
In cosa consiste questo tipo di truffa? Innanzitutto occorre dire che è basata sui principi dell'ingegneria sociale, e quindi il meccanismo d'azione parte da uno stimolo che tocca alcune molle sensibili della nostra psiche. Lo scopo di questa truffa è quello di “invitare” le vittime a fornire al truffatore informazioni personali e riservate, che possono essere usate per sottrarre denaro dal conto corrente bancario oppure per utilizzare fraudolentemente le carte di credito. Si tratta di un vero e proprio “furto di identità”, che può avere conseguenze anche gravi.

Come anticipato poche righe sopra, lenza e ami necessari per questo tipo di “pesca” sono forniti da Internet, perché la procedura d'attacco tipo fa uso di messaggi di posta elettronica e di siti web trappola.
Mi sembra già di sentire, nel sottofondo, un brusio di commenti: «Lo dicevo che usare la carta di credito su Internet è rischioso», «Ma chi può essere così fesso da dare i propri dati al primo venuto» e simili ... ebbene, vi invito a una riflessione ... quante volte, al ristorante, avete dato la carta di credito al cameriere perché provvedesse al saldo del conto? E questa non è una procedura rischiosa? Per qualche minuto perdete ogni tipo di contatto con la vostra carta di credito e, in quel lasso di tempo, può succedere di tutto. Siete poi disposti a fidarvi ciecamente sia del cameriere che del cassiere? Non mi sembra di udire risposte. Anche l'uso di Bancomat e Pos non è detto che sia sempre così sicuro e che dire delle banche? A volte si fanno clonare decine di tessere magnetiche e i malcapitati utenti si trovano addebitati in conto corrente quattrini mai spesi.
Almeno, se usate la carta di credito su Internet, questa resta sempre saldamente nelle vostre mani; certo, nell'uso della moneta elettronica in rete occorre adottare delle precauzioni, ma, sapendo come fare, e, soprattutto, usando una robusta dose di sano buonsenso, i rischi sono piuttosto limitati. Chiudiamo questa divagazione, che approfondiremo un'altra volta, e torniamo alla nostra truffa.
Come detto, Il meccanismo di attacco è abbastanza standardizzato e si sviluppa secondo alcune fasi:
1.la vittima riceve un messaggio di posta elettronica, che simula, in modo più o meno perfetto, la grafica di un'entità ben conosciuta (banca, compagnia di carte di credito, Posta, Internet Server Provider, negozi o aste on line);

(clic sull'immagine per ingrandirla)
2.il messaggio parla, di solito, di problemi verificatisi a carico del destinatario (addebito di cifre fuori misura, tentativi di accesso non autorizzato, usi illegali) o del mittente (necessità di aggiornare il database aziendale, falle di sicurezza scoperte nella struttura);
3.per risolvere i problemi, oppure per rinnovare l'iscrizione o per verificare i dati presenti nel database, l'e-mail indica l'indirizzo di un sito nel quale la vittima dovrà andare a inserire i dati richiesti. A volte la richiesta è molto perentoria ed è accompagnata da velate minacce di ritorsioni legali;
4.naturalmente all'indirizzo indicato non c'è il sito ufficiale dell'istituzione indicata come mittente, ma una sua copia, più o meno simile, posta su un server controllato dai truffatori. Altrettanto naturalmente i dati richiesti per accedere a questo sito, tra i quali, spesso, figurano il numero di carta di credito, la scadenza e il codice CVC2 (tre cifre che si trovano sul retro della carta), oppure password o, ancora, altri dati riservati di questo tipo, vanno a finire negli archivi del “pescatore”;
5.parte la stoccata: il truffatore utilizzerà i dati così ottenuti per effettuare acquisti, per movimentare somme di denaro o, infine, come testa di ponte per attaccare altre vittime.
Bella la mail di e-bay usata come esempio, vero? eppure a un occhio attento alcuni particolari non sfuggono e dicono che c'è qualcosa che non va: l'indirizzo, ad esempio ... se la mail è per noi, perché il destinatario risulta essere una lista di distribuzione?

E poi, cosa sono quegli strani punti interrogativi al posto delle lettere accentate? sono un'errata codifica del carattere usato ... vediamolo:

Per quale motivo EBay International AG, apparentemente un'azienda tedesca, dovrebbe usare come codifica dei caratteri Cirillico (Windows-1251) e non Unicode (UTF-8) o una codifica Occidentale? Forse perché l'ignoto mittente è in un paese dove non si usa l'alfabeto latino?
Vediamo adesso un esempio concreto: con frequenza giornaliera ricevo numerose e-mail, spesso dal contenuto piuttosto sgrammaticato, nelle quali un istituto bancario o Poste Italiane mi comunicano che le mie carte di credito e i miei bancomat sarebbero stati bloccati fino a che non avessi provveduto ad aggiornare i miei dati sul server.
Per agevolarmi nell'adempiere alla richiesta, sul messaggio di posta elettronica è presente un collegamento al sedicente sito della banca (o delle Poste) dove dovrei inserire i miei dati per convalidarli.
Amante del rischio e dell'avventura in più occasioni ho cliccato sul collegamento indicato: vi racconto l'esito di una di queste esplorazioni. Allora, dopo un clic, incurante dei messaggi di avviso (sempre più disperati) dei miei sistemi di protezione, mi sono ritrovato sul sito del truffatore ... che dire ... la mail era piuttosto scadente, sia da un punto di vista grafico che del contenuto, pieno di errori ed evidenti sgrammaticature, ma il sito trappola era di ben altro livello. Grafica ben curata, loghi e aspetto generale quasi perfetti ... a prima vista poteva veramente sembrare una pagina di acquisizione dati dell'istituto bancario ... ma il “pescatore” aveva fatto i conti senza l'oste. Grazie ad un programmino installato nel mio programma per navigare in Internet, infatti, sono riuscito a vedere che la pagina nella quale mi trovavo aveva un risk rating molto alto (10/10) e che il sito di uno dei più popolari istituti bancari italiani era, apparentemente, ospitato da un server iraniano (in altri casi russo).

(clic sull'immagine per ingrandirla)
Mi sembra inutile specificare che la banca era una vittima della truffa tanto quanto me, e che ne era completamente estranea ...
Andiamo avanti: sempre animato da sete di conoscenza, ho inserito dei dati, ovviamente fasulli, per vedere cosa sarebbe successo: terminato l'inserimento, ho cliccato sul tasto “Prosegui” e mi sono ritrovato sulla home page, questa volta autentica, della banca. Il sito trappola, una volta eseguito il suo lavoro, mi reindirizzava su quello ufficiale.
In questo caso è stato abbastanza facile scoprire la truffa: la mail sgrammaticata, alcuni piccoli indizi nel sito trappola, l'uso di uno strumento di segnalazione come la barra di Netcraft, un poco di esperienza ... ma in altri casi? C'è da segnalare che il phishing sta diventando sempre più evoluto, i messaggi sgrammaticati sono quasi un ricordo e la qualità grafica dei siti e delle mail trappola è veramente molto alta.
Un esempio di phishing molto ben congegnato, è dettagliatamente descritto nel sito di Paolo Attivissimo (Attenti alle false comunicazioni di Poste.it, sono un phishing evoluto): in questo caso si tratta di una e-mail apparentemente proveniente da Poste Italiane.
Il linguaggio è corretto, burocratico, con riferimenti a norme di legge e non c'è nessun collegamento a siti trappola: infatti si chiede di rispondere con un messaggio di posta elettronica contenente i dati di accesso ai servizi di Posteonline. L'intero messaggio è un piccolo capolavoro di ingegneria sociale, studiato fin nei minimi dettagli per costringere l'utente ad abbassare la guardia.
Poste Italiane è uno dei bersagli preferiti dei truffatori: è del dicembre 2006 una mail nella quale si invitano gli utenti a usufruire dei nuovi servizi on line, previa registrazione dei dati della carta postepay in un sito trappola, questa volta situato in Russia.
Esempi come questi se ne possono fare a decine e credo che tutti noi abbiamo ricevuto almeno una e-mail contenente un tentativo di truffa di questo tipo: in certi casi l'abbiamo accolta con una scrollata di spalle, perché proveniva apparentemente da un'istituzione con la quale non abbiamo nessun tipo di rapporto, altre volte, invece, sembrava inviata dalla nostra banca o dal nostro fornitore di servizi Internet. Sono attacchi indiscriminati, mandati a milioni di indirizzi di posta elettronica, e quindi non dobbiamo stare ad arrovellarci sui modi con i quali i truffatori sono venuti a conoscenza che siamo clienti della Banca X, o che abbiamo partecipato a un'asta on line o acquistato beni sul sito di commercio elettronico Y.
Come ci possiamo difendere da queste truffe? Anche in questo caso occorre usare il buon senso: nessuna istituzione seria userebbe mai un sistema così rischioso di farsi inviare dei dati riservati; quindi, a priori, non fidiamoci MAI di messaggi di questo tipo e, a maggior ragione, non clicchiamo MAI sui link presenti in queste e-mail. Ricordiamo che tutte le transazioni più delicate, nelle quali è necessario usare dati riservati, sono eseguite su siti protetti, identificati da un lucchetto posto sulla barra di stato. Nell'indirizzo di questi siti appare, di solito, il protocollo https anziché il più comune http: ad esempio https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp è l'indirizzo della vera pagina di accesso ai servizi di BancoPostaonline.
Un altro utile accorgimento è quello di installare sul nostro browser la barra di Netcraft, scaricabile gratuitamente all'indirizzo http://toolbar.netcraft.com/ nelle versioni per Internet Explorer e Mozilla Firefox: questa piccola estensione ci racconta vita, morte e miracoli del sito nel quale ci troviamo e, soprattutto, ci mostra se è più o meno sicuro, anche se, in questo caso, è possibile avere dei falsi positivi, ossia segnalazioni di livelli di rischio elevati semplicemente perché il sito non ha una “storia”.

Adattamento di un articolo pubblicato sul numero di gennaio 2007 della rivista “Porto e Diporto” della AM editori Srl - Napoli

Nessun commento: