Phishing

In ambito informatico il phishing è una attività truffaldina che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.

La prima menzione registrata del termine phishing è sul newsgroup di Usenet alt.online-service.america-online il 2 gennaio 1996,^[1] malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per hacker 2600.^[2] Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese),^[3] probabilmente influenzato da phreaking^[4]^[5] e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio leet, nel quale la lettera f è comunemente sostituita con ph.^[6] La popolare teoria che si tratti di un portmanteau di password harvesting^[7] è un esempio di pseudoetimologia.

Metodologia di attacco

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account ecc.).
l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Talora, l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro", a dare le coordinate bancarie del proprio conto on line per ricevere l'accredito di somme che vanno poi trasferite ad altri conti, trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. Solitamente, il trasferimento avviene con bonifici gratuiti, sempre via Internet, verso un altro conto on line.

Si tratta del denaro rubato con il phishing, per il quale il titolare del conto on line, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro in molti conti correnti e a fare girate in differenti Paesi, perché diviene più difficile risalire al suo conto e dati identificativi.

Se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di ogni Paese interessato.

Difesa

Una preoccupazione frequente degli utenti che subiscono il phishing è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. In realtà, normalmente il phisher non sa se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'e-mail che contiene il tentativo di phishing.

Nel caso del problema correlato noto come Pharming, invece, non esiste una vera e propria soluzione a posteriori ed è necessaria un'azione preventiva.

Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i dati della carta di credito, è quello di visualizzare l'icona (a forma di lucchetto in tutti i browser) che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL). La pagina di autenticazione è facilmente imitabile, copiando il relativo codice HTML, mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet.

Esistono programmi specifici come la barra anti-phishing di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un'e-mail (vedi sezione Collegamenti esterni). Questi programmi e i più comuni browser non si avvalgono di whitelist contenenti gli indirizzi logici e IP delle pagine di autenticazione di tutti gli istituti di credito, che sarebbe un filtro anti-phishing sicuramente utile.

Se l'utente non è titolare di un conto corrente on-line e riceve gli estratti conto periodici per posta ordinaria (non via e-mail), può impostare il filtro anti-spam sull'indirizzo dell'istituto di credito. In questo modo, le e-mail contenenti un indirizzo del mittente o un link nel testo alla banca, saranno inserite nella cartella dello spam, rendendo più facilmente identificabili quelle sospette.

Gli utenti di Internet Explorer possono utilizzare un filtro anti-phishing che utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi.

Mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di Internet e del web (in Italia, la Polizia Postale).

L'oscuramento di un sito di phishing non è un'operazione semplice, se questo è ospitato come sottodominio di un altro indirizzo web. In quel caso, è necessario l'oscuramento del dominio ospitante, poiché la "falsa" pagina di autenticazione non è presente nell'elenco ICANN, ma in locale sul server. Il sito oscurato può essere comunque velocemente associato ad un altro indirizzo web.

E' possibile associare ad una pagina di un sito di phishing un indirizzo simile, ma non identico a quello del sito "copiato". Due pagine web, infatti, non possono avere lo stesso indirizzo IP né lo stesso indirizzo logico, che è associato ad un solo indirizzo IP.

All'utente medio resta comunque difficile distinguere un sito di phishing da quello dell'istituto di credito preso di mira. La barra degli indirizzi può contenere un indirizzo del tipo "Nome della Banca.autethicationPage.php@indirizzo del dominio ospitante", l'indirizzo del dominio ospitante nel corrispondente indirizzo IP, il simbolo "@" nella codifica ASCII, o nell'equivalente binario o esadecimale, rendendo l'indirizzo della risorsa di "phishing" simile e poco più lungo di quello che è stato falsificato.

Note

^ "phish, v." OED Online, March 2006, Oxford University Press., in Oxford English Dictionary Online. URL consultato il 9 agosto 2006.
^ Ollmann, Gunter, The Phishing Guide: Understanding and Preventing Phishing Attacks, in Technical Info. URL consultato il 10 luglio 2006.
^ Spam Slayer: Do You Speak Spam?, in PCWorld.com. URL consultato il 16 agosto 2006.
^ "phishing, n." OED Online, March 2006, Oxford University Press., in Oxford English Dictionary Online. URL consultato il 9 agosto 2006.
^ Phishing, in Language Log, 22 settembre 2004. URL consultato il 9 agosto 2006.
^ Anthony Mitchell, A Leet Primer, TechNewsWorld, 12 luglio 2005.
^ Know your Enemy: Phishing, in The Honeynet Project & Research Alliance. URL consultato l'8 luglio 2006.

Voci correlate

Collegamenti esterni

Template:Dmoz

Anti-Phishing Italia
SicurezzaInformatica.it - Categoria Phishing e Truffe
(EN) Anti-Phishing Working Group
(EN) Netcraft
(EN) Anti-phishing Toolbars Free Anti-phishing Toolbars for Web Browsers.
(EN) , (DE) Delphish Free Anti-phishing-Tool for MS Outlook
(EN) Safe Browsing for Enterprise Users How Enterprises can make web browsing safer by using free software applications.

Portale Informatica: accedi alle voci di Wikipedia che trattano di Informatica

Template:Link AdQ

[1] "phish, v." OED Online, March 2006, Oxford University Press., in Oxford English Dictionary Online. URL consultato il 9 agosto 2006.

[2] Ollmann, Gunter, The Phishing Guide: Understanding and Preventing Phishing Attacks, in Technical Info. URL consultato il 10 luglio 2006.

[3] Spam Slayer: Do You Speak Spam?, in PCWorld.com. URL consultato il 16 agosto 2006.

[4] "phishing, n." OED Online, March 2006, Oxford University Press., in Oxford English Dictionary Online. URL consultato il 9 agosto 2006.

[5] Phishing, in Language Log, 22 settembre 2004. URL consultato il 9 agosto 2006.

[6] Anthony Mitchell, A Leet Primer, TechNewsWorld, 12 luglio 2005.

[7] Know your Enemy: Phishing, in The Honeynet Project & Research Alliance. URL consultato l'8 luglio 2006.

[1]

[2]

[3]

[4]

[5]

[6]

[7]