Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Mag 22, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, Minacce, RSS 0
Quando si pensa al phishing, la prima cosa che viene in mente sono quelle email sgrammaticate che quotidianamente intasano le nostre caselle di posta. In realtà il “pianeta phishing” è qualcosa di molto più complesso ed evoluto, di cui quelle email rappresentano solo la proverbiale “punta dell’iceberg”.
L’occasione per approfondire il tema è arrivata all’inizio di maggio nel corso di HackinBo 2017, che nella seconda giornata ha proposto dei “Lab” tematici. Security Info ha scelto di partecipare al workshop tenuto da Andrea Draghetti, IT Security Consultant di D3Lab, dal titolo: “Phishing: one shot, many victims!”
Un viaggio particolarmente istruttivo, che ci ha permesso di accedere a informazioni “di prima mano” da parte di chi lavora tutti i giorni per contrastare un fenomeno che, nel nostro paese, ha dimensioni notevoli.
“Un buon indice per capire la diffusione del phishing è quello di guardare ai dati del numero di siti Internet dedicati a questo tipo di attività” spiega Andrea Draghetti. “Se nel mondo l’anno scorso ne sono stati registrati circa 1,5 milioni, in Italia questo dato è di circa 10.000 siti Internet unici. Non pochi”.
Al di là del dato numerico, il caso Italiano ha anche altre particolarità, legate agli obiettivi che i phisher prendono di mira con più frequenza. E non stupisce che in testa alla classifica ci sia Poste Italiane.
“PostePay è un obiettivo particolarmente appetitoso per i cyber-criminali” spiega Draghetti. “La carta consente infatti di spostare denaro in tempo reale, riducendo quindi il rischio che il titolare del conto possa accorgersi che qualcosa non va e la transazione venga bloccata”.
Ma come agiscono i cyber-criminali specializzati nel phishing? “Esattamente come succede negli altri settori del cyber-crimine, i phisher sono organizzati in gruppi in cui ci sono ruoli e compiti ben precisi” spiega Draghetti.
Il ruolo principale è quello del progettista, che studia l’attacco e mette appunto gli strumenti per portare a termine la truffa con successo. Per farlo, di solito vengono messi a punto dei veri “kit” che consentono di raccogliere i dati a cui i pirati puntano.
Prima di poter passare all’azione, però, i cyber-criminali hanno bisogno delle infrastrutture che gli permettono di mettere online i siti di phishing. E qui entra in gioco il cracker.
Il suo compito è quello di individuare (e violare) siti Internet vulnerabili o server che gli permettano di pubblicare online le pagine di phishing. A parte i casi in cui vengono utilizzate macchine affittate ad hoc (di solito in paesi non particolarmente “collaborativi” con le forze di polizia) i pirati preferiscono usare server compromessi in modo da poter coprire le loro tracce.
La palla passa poi allo spammer, che dovrà riuscire nel non facile compito di diffondere le email (o i messaggi) che condurranno le vittime al sito di phishing, aggirando i filtri antispam e sfruttando le tecniche di social engineering che gli permettano di far finire nella rete quante più vittime possibile.
Ultimo, ma non ultimo, arriva il responsabile del “cash out”, cioè il complice a cui è delegato il compito di monetizzare gli attacchi. “Il suo ruolo non è affatto secondario” puntualizza Draghetti. “Di tutto il gruppo è quello che rischia di più e, di solito, viene compensato con una percentuale pari al 20% di quanto riesce a incassare”.
In parallelo all’evoluzione che ha portato alla specializzazione nei compiti, inoltre, i ricercatori hanno assistito a un affinamento delle tecniche e degli strumenti usati dai phisher.
Una delle campagne più efficaci illustrate da Draghetti riguarda proprio PostePay, che in Italia viene bersagliata con particolare insistenza. “Il sistema adottato dai phisher per truffare gli utenti di PostePay che abbiamo individuato è uno dei più efficaci mai visti” spiega il ricercatore.
I pirati, in pratica, hanno trovato il modo di aggirare il sistema di autenticazione a due fattori introdotto da Poste Italiane e che sfrutta l’invio di un codice OTP tramite SMS.
“La tecnica prevede che il pirata si colleghi al sito originale di PostePay nello stesso momento in cui la vittima accede al sito di phishing” prosegue Draghetti.
“Quando l’utente inserisce le credenziali nel falso sito, il pirata fa lo stesso su quello originale. A questo punto avvia la procedura per spostare denaro dalla carta della vittima al suo conto e, contemporaneamente, visualizza sul sito di phishing la richiesta di inserimento del codice OTP”.
La vittima non sospetta nulla, visto che il codice arriva puntualmente sul suo telefono. Peccato che arrivi in risposta alla richiesta del truffatore. Quando il legittimo titolare della carta inserisce il codice nel sito di phishing, il cyber-criminale può utilizzarlo per portare a termine il trasferimento di denaro.
(Continua a pagina 2)
Apr 15, 2024 0
Apr 15, 2024 0
Apr 11, 2024 0
Apr 05, 2024 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...