Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Come funziona la “fabbrica” del phishing?
Prova a prendermi…
Evitare di essere rintracciati è una delle regole d’oro dei phisher. Se il sito viene individuato e chiuso, infatti, i truffatori corrono il rischio di gettare alle ortiche tutto il lavoro fatto per attirarvi le potenziali vittime. Tanto più che, per evitare di essere rintracciati, di solito le pagine di phishing vengono pubblicate su server Web compromessi e “bruciarne” uno significa buttare al vento uno strumento che per i phisher è preziosissimo.
Una delle campagne di phishing più insidiose comparse i tempi recenti ha sfruttato una pagina contraffatta di MediaWorld che attirava le vittime con una promozione shock: un iPhone 7 con il 50% di sconto.
I siti “bucati” vengono usati spesso anche per inviare le email di phishing, utilizzando un mailer PHP e sfruttando il fatto che, trattandosi di un sito legittimo che è stato compromesso, il suo indirizzo IP non risulterà nelle black list dei filtri anti-spam.
“I cyber-criminali dediti al phishing fanno di tutto per impedire che le loro pagine siano individuate e inserite nelle black list dei motori di ricerca” conferma Draghetti. “Per impedirlo usano numerosi espedienti, compresa la codifica in base64”.
La codifica in base64, che da qualche tempo è supportata dai browser, consente di inserire dati in maniera più “leggera” nei siti Web. Per esempio trasformando un’immagine in una stringa testuale in base64. Si tratta di una tecnica adottata da numerosi siti Web, che nel caso delle immagini consente di velocizzare i tempi di caricamento.
I phisher, però, usano base64 in un altro modo e, più precisamente, per alterare ciò che compare nella barra dell’indirizzo del browser. Per farlo inseriscono un commento al codice in base64 in modo che sul browser compaia qualcosa come “data:text/html,https://paypal.com” seguito da una serie di numeri e caratteri.
In realtà la prima parte (paypal.com) è semplicemente un commento inserito nell’URL in base64, come si nota dal prefisso “data:text/”. Ci sono buone probabilità, però, che la potenziale vittima non se ne accorga e che la presenza di un indirizzo reale renda il sito risulta più “credibile”. Non solo: in questo modo è anche più difficile da rintracciare e segnalare.
Altre tecniche prevedono l’uso dei cosiddetti “URL shortener”e altri stratagemmi che fanno in modo che l’indirizzo del sito venga modificato in modo da impedire che possa essere segnalato come phishing a siti specializzati come PhishTank o VirusTotal.
I siti specializzati come PhishTank e VirusTotal sono tra i peggiori nemici dei phisher. Evitare di essere “schedati” è la priorità numero uno dei truffatori.
A essere migliorati negli ultimi mesi, comunque, non sono soltanto gli strumenti tecnici usati per le truffe. “La creatività dei phisher è evidente anche nelle tecniche di cash-out” conferma Draghetti. “Accanto ai classici prelievi ai bancomat, vengono usate tecniche di riciclaggio più sofisticate che sfruttano i servizi su Internet”.
Una di queste è l’acquisto di prodotti su siti come eBay, o l’utilizzo di siti per il gioco d’azzardo online in cui i truffatori avviano delle partite con dei complici e “perdono” in una manciata tutti i soldi che vengono naturalmente addebitati sulle carte di credito delle vittime.
“Il giro di soldi collegato al phishing è impressionante” spiega Draghetti “ed è la prova che c’è ancora molto da fare per arginare questo fenomeno. Purtroppo gli accorgimenti tecnici possono soltanto limitarne la diffusione. Quello che serve è una maggiore consapevolezza da parte degli utenti, che purtroppo dimostrano di essere ancora terribilmente ingenui”.
Condividi l'articolo
Autenticazione a due fattori su LastPass. I pirati ringraziano
Il malware Athena della CIA sviluppato con un contractor privato
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
