Errori che dipendono generalmente dalla distrazione, qualche volta dalla scarsa competenza, più spesso la colpa è di risposte veloci alle urgenze. I criminali lo sanno e perciò usano il fattore umano come leva per conseguire i loro scopi
di Alessio Nisi
– Hacker, attacco informatico
AGI – Il 95% delle violazioni informatiche con furto di dati (i cosiddetti databreach) dipende dall’errore fatto da qualcuno. A volte dipende dalla distrazione, qualche volta dalla scarsa competenza, più spesso la colpa è di risposte veloci alle urgenze. I criminali lo sanno e perciò usano il fattore umano come leva per conseguire i loro scopi.
È quanto emerge da uno studio di IBM, ripreso da Yoroi, società di cybersecurity, per inquadrare e mettere in guardia gli utenti dal phishing, quelle violazioni informatiche che iniziano proprio “hackerando gli umani”, come ha sottolineato la compagnia fondata e guidata da Marco Ramilli. Una truffa molto diffusa. Secondo Yoroi, solo in Italia si assiste ogni settimana a circa 20 campagne di phishing.
La persuasione
Le tecniche usate per il phishing sono diverse, ma la principale è basata sull’ingegneria sociale. La social engineering si fonda sulla persuasione e può essere sintetizzata “come la capacità di indurre qualcuno a fare qualcosa che non farebbe di propria spontanea iniziativa”: rispondere a un’email fraudolenta che ci induce a compiere un’azione a nostro discapito, fornire le credenziali di accesso alla nostra email, al social network preferito o al profilo che usiamo per gli acquisti online e le transazioni bancarie.
Le scuse inventate dai furfanti sono molte: “Il tuo conto è bloccato, se vuoi operare, reinserisci le credenziali. Vai al sito xxxx” oppure “Approfitta oggi dello sconto, per ogni acquisto potrai partecipare all’estrazione di un nuovo iPhone”.
Così “pescano” i nostri dati
Al cuore dei furti di credenziali e della sostituzione di identità c’è spesso un’email di phishing, che serve appunto a “pescare” i nostri dati. “Combattere il phishing è cruciale per proteggere le nostre attività digitali e online.
Si può fare con la formazione e l’educazione all’uso critico della Rete e con strumenti di rilevamento automatico”, ma siccome i furfanti digitali diventano sempre più bravi ad aggirare le nostre difese, una possibilità è quella di fermare i criminali andando alla fonte.
L’evoluzione delle tecniche di phishing
Gli attacchi di phishing possono essere diversi poiché i malintenzionati diventano sempre più sofisticati e creativi nelle loro tecniche. I tipi di phishing più comuni sono lo spear phishing, cioè il phishing mirato a certe categorie di bersagli, il clone phishing, basato sulla costruzione di siti ad hoc, il vishing e lo Smsihing, le telefonate e i messaggi fraudolenti, le violazione delle email aziendali note come truffe BEC, Business email compromise.
Una recente tecnica è nota come Multi-Factor Authentication (MFA) Fatigue. “Il criminale in questo caso esegue uno script in cui tenta di accedere più volte a servizi altrui con le credenziali rubate”, inviando così un’ondata di richieste all’utente fino a che per sbaglio la vittima arrivi ad accettare la richiesta fraudolenta.
I phishing kit
Il phishing è dunque una tattica fraudolenta che, sfruttando la fiducia di chi riceve un messaggio e-mail, cerca di rubare dati sensibili come le credenziali di accesso a un servizio online, i numeri del conto corrente o le informazioni relative alle carte di credito. Questi messaggi e il loro invio tramite e-mail sono pensati per arrivare a quante più vittime possibili e quindi la procedura per comporli, inviarli e raccoglierne i frutti è basata sui grandi numeri.
Per questo i criminali utilizzano sempre più spesso procedure automatizzate: i kit di phishing. Dal punto di vista dell’attaccante la creazione di una buona copia del sito legittimo costa poi lavoro; perciò, i phishing kit sono molto utilizzati nell’underground criminale.
Strumenti pronti all’uso. I phishing kit sono strumenti “pronti all’uso” distribuiti sul darkweb e in grado di fornire a cybercriminali (anche inesperti) la capacità di creare siti adatti al phishing. La società di cybersecurity Yoroi insieme all’Università di Bologna e a quella di Modena-Reggio Emilia hanno intercettato e classificato più di 2 mila di questi kit truffaldini.
Come funziona. Un tipico messaggio di phishing può presentarsi in questo modo: “Gentile cliente, ti aspettiamo nel nuovo negozio di via San Martino 12F a Milano. Per te sconto di 30€ per ogni 150€ di spesa, valido fino al 5/10/2022. Non perdere l’occasione. Info privacy bit.ly/dT57?N0ud”. Una volta cliccato sul link si viene rediretti su un sito web dove immettere credenziali che verranno usate dai criminali per truffe successive.
