In
ambito informatico il phishing ("spillaggio" di dati sensibili),
è una attività illegale che sfrutta una tecnica di ingegneria sociale
ed è utilizzata per ottenere l'accesso a informazioni personali
o riservate con la finalità del furto di identità mediante l'utilizzo
delle comunicazioni elettroniche, soprattutto messaggi di posta
elettronica fasulli o messaggi istantanei, ma anche contatti telefonici.
Grazie a questi messaggi, l'utente è ingannato e portato a rivelare
dati personali, come numero di conto corrente, numero di carta di
credito, codici di identificazione, ecc.
La prima menzione registrata del termine phishing è sul newsgroup
di Usenet alt.online-service.america-online il 2 gennaio
1996, malgrado il termine possa essere apparso precedentemente nell'edizione
stampata della rivista per hacker 2600.
Il termine phishing è una variante di fishing (letteralmente
"pescare" in lingua inglese), probabilmente influenzato da phreaking
e allude all'uso di tecniche sempre più sofisticate per "pescare"
dati finanziari e password di un utente.
La parola può anche essere collegata al linguaggio leet,
nel quale la lettera f è comunemente sostituita con ph.
La popolare teoria che si tratti di un portmanteau di password
harvesting è un esempio di pseudoetimologia.
Il processo standard delle metodologie di attacco di spillaggio
può riassumersi nelle seguenti fasi:
1 - l'utente malintenzionato (phisher) spedisce al malcapitato ed
ignaro utente un messaggio email che simula, nella grafica e nel
contenuto, quello di una istituzione nota al destinatario (per esempio
la sua banca, il suo provider web, un sito di aste online a cui
è iscritto).
2- l'email contiene quasi sempre avvisi di particolari situazioni
o problemi verificatesi con il proprio conto corrente/account (ad
esempio un addebito enorme, la scadenza dell'account ecc.).
3 - l'email invita il destinatario a seguire un link, presente nel
messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione
con l'ente o la società di cui il messaggio simula la grafica e
l'impostazione.
4 - il link fornito, tuttavia, non porta in realtà al sito web ufficiale,
ma ad una copia fittizia apparentemente simile al sito ufficiale,
situata su un server controllato dal phisher, allo scopo di richiedere
ed ottenere dal destinatario dati personali particolari, normalmente
con la scusa di una conferma o la necessità di effettuare una autenticazione
al sistema; queste informazioni vengono memorizzate dal server gestito
dal phisher e quindi finiscono nelle mani del malintenzionato.
5 - il phisher utilizza questi dati per acquistare beni, trasferire
somme di denaro o solo come "ponte" per ulteriori attacchi.
Banche, istituzioni o internet provider non fanno mai richiesta
dei dati personali a mezzo di una e-mail. In caso di richiesta di
dati personali, numeri di conto, password o carta di credito, è
buona norma, prima di cancellare, è buona abitudine inoltrarne una
copia alle autorita competenti e avvisare la banca o gli altri interessati,
in modo che possano prendere ulteriori disposizioni contro il sito
falso e informare i propri utenti.
Per eventuali comunicazioni, i soggetti sopra citati possono utilizzare
un account istituzionale accessibile solo dal loro sito, ma non
la e-mail personale del cittadino.
Una preoccupazione frequente degli utenti che subiscono lo spillaggio
è capire come ha fatto il perpetratore a sapere che hanno un conto
presso la banca o servizio online indicato nel messaggio-esca. Normalmente,
il phisher non conosce se la sua vittima ha un account presso il
servizio preso di mira dalla sua azione: si limita ad inviare lo
stesso messaggio-esca a un numero molto elevato di indirizzi di
email, facendo spamming, nella speranza di raggiungere per caso
qualche utente che ha effettivamente un account presso il servizio
citato. Pertanto non è necessaria alcuna azione difensiva a parte
il riconoscimento e la cancellazione dell'email che contiene il
tentativo di spillaggio.
Nel caso del problema correlato noto come Pharming, invece, non
esiste una vera e propria soluzione a posteriori ed è necessaria
un'azione preventiva.
Un primo controllo per difendersi dai siti di spillaggio, è quello
di visualizzare l'icona, a forma di lucchetto in tutti i browser,
che segnala che sì è stabilita una connessione sicura (ad esempio
una connessione SSL). Tale connessione garantisce la riservatezza
dei dati, mentre la loro integrità e l'autenticazione della controparte
avvengono solo in presenza della firma digitale, che è opzionale
e non segnalata.
Infatti, una connessione SSL potrebbe essere stabilita con certificati
non veritieri, tramite una coppia di chiave pubblica e privata valide,
note a chi vuole fare phishing, ma che non sono quelle effettive
del sito. Il browser piuttosto che l'utente interessato dovrebbero
collegarsi al sito di una certification authority per controllare:
la banca dati mostra le chiavi pubbliche e un'identificativo del
possessore, come l'indirizzo IP o l'indirizzo del sito.
Alcuni siti hanno una barra antiphishing specifica che controlla
l'autenticità di ogni pagina scaricata dal sito, ad esempio tramite
la firma digitale.
La pagina di login di un sito è facilmente imitabile. Nei browser
esiste una opzione per visualizzare il codice HTML delle pagine
Internet, che si può copiare e incollare altrove, per ottenere un
sito identico. La e-mail truffaldina conterrà un link che punta
non al sito originario, ma alla sua imitazione. I dati inseriti
nei campi liberi della form sono memorizzati in un database o in
un file di testo collegato al sito.
Un'altra tecnica di spillaggio consiste nell'inserimento di applicativi
di keylogging. In questo caso,
i link possono rimandare al sito originale, non necessariamente
a un'imitazione, e lo spillaggio dei dati avviene al momento del
loro inserimento da tastiera. Queste righe di codice possono essere
eseguite con l'apertura di alcuni link, ovvero con la lettura della
stessa
e-mail, se il programma di posta o l'Internet Service Provider non
adottano protezioni sufficienti.
Esistono, inoltre, programmi specifici come la barra anti-spillaggio
di Netcraft e anche liste nere (blacklist), che consentono di avvisare
l'utente quando visita un sito probabilmente non autentico.
Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi
anche attraverso il programma gratuito Delphish,
un toolbar inserito nel MS Outlook / MS Outlook Express con il quale
si può trovare i link sospetti in un'email (vedi sezione Collegamenti
esterni). Questi programmi e i più comuni browser non si avvalgono
di whitelist contenenti gli indirizzi logici e IP delle pagine di
autenticazione di tutti gli istituti di credito, che sarebbe un
filtro anti-spillaggio sicuramente utile.
Se l'utente non è titolare di un conto corrente online e riceve
gli estratti conto periodici per posta ordinaria (non via email),
può impostare il filtro anti-spam, inserendo l'indirizzo dell'istituto
di credito. In questo modo, le email contenenti un indirizzo del
mittente o un link nel testo alla banca, saranno inserite nella
cartella dello spam, rendendo più facilmente identificabili quelle
sospette.
Gli utenti di Internet Explorer possono utilizzare un filtro anti-spillaggio
che utilizza una blacklist, e confronta gli indirizzi di una pagina
web sospetta con quelli presenti in una banca dati mondiale e centralizzata,
gestita da Microsoft e alimentata dalle segnalazioni anonime degli
utenti stessi.
Analoga protezione è presente in Mozilla Firefox (a partire dalla
versione 2), che propone all'utente di scegliere tra la verifica
dei siti sulla base di una blacklist e l'utilizzo del servizio anti-spillaggio
offerto da Google.
Mancano invece banche dati di questo tipo condivise dai vari produttori
di browser, pubbliche o istituite presso autorità che hanno la competenza
sulle tematiche di Internet e del web (in Italia, la Polizia Postale).
L'oscuramento di un sito di spillaggio non è un'operazione semplice,
se questo è ospitato come sottodominio di un altro indirizzo web.
In quel caso, è necessario l'oscuramento del dominio ospitante,
poiché la "falsa" pagina di autenticazione non è presente nell'elenco
ICANN, ma in locale sul server. Il sito oscurato può essere comunque
velocemente associato ad un altro indirizzo web.
È possibile associare ad una pagina di un "sito esca" un indirizzo
simile, ma non identico a quello del sito "copiato".
Due pagine web, infatti, non possono avere lo stesso indirizzo IP
né lo stesso indirizzo logico, che è associato ad un solo indirizzo
IP.
All'utente medio resta comunque difficile distinguere un sito di
phishing da quello dell'istituto di credito preso di mira.
La barra degli indirizzi può contenere un indirizzo del tipo "Nome
della Banca.autethicationPage.php@indirizzo del dominio ospitante",
l'indirizzo del dominio ospitante nel corrispondente indirizzo IP,
il simbolo "@" nella codifica ASCII, o nell'equivalente binario
o esadecimale, rendendo l'indirizzo della risorsa di "phishing"
simile e poco più lungo di quello che è stato falsificato. |