La difesa dei sistemi informatici, per quanto poco o molto evoluta che possa essere, ha un fondamentale anello debole: l’elemento umano.
Questa debolezza non è dovuta ad una scarsa formazione tecnica, quanto ad una mancanza di tipo culturale. Ad esempio, aprire la propria mail personale e cliccare ingenuamente su un link malevolo potrebbe causare enormi danni sia a livello personale che a livello aziendale. Per questo motivo è necessario che ogni utente impari a riconoscere e ad anticipare le minacce più semplici, le quali sono allo stesso tempo anche le più diffuse e più pericolose, come ad esempio il phishing.
Due date ci siano di conforto a quanto stiamo postulando.
1996: America on Line, il primo Internet Service Provider degli Stati Uniti, offriva un periodo di prova gratuito della durata di un mese per la navigazione all’interno della rete Internet, dopo il quale si necessitava un abbonamento. Alcuni individui, non volendo pagare per la navigazione, trovarono un modo per cambiare la propria intestazione mail spacciandosi per amministratori di AoL. Fu così che centinaia di utenti paganti furono vittime della prima campagna di phishing della storia, mirata ad ottenere nome utente e password per poter navigare liberamente su internet (all’epoca ci si poteva connettere unicamente attraverso delle credenziali ed una linea telefonica).
2017: secondo Kaspersky Lab, il loro anti-phishing system è entrato in azione 246,231,645 volte, 91,273,748 in più rispetto al 2016. Più del 90% degli attacchi informatici oggi inizia con una mail di phishing.
Cos’è il phishing
Ma cos’è esattamente il phishing? Letteralmente è un neologismo dato dall’omofonia con “fishing”, letteralmente “pescare” ed è infatti questa la filosofia principale dell’attacco. Ad esempio, grazie ad una mail si cerca di portare la vittima, un utente ignaro, a rivelare informazioni personali come username e password, numeri di carta di credito, dati bancari, e così via. In questo caso chi attacca richiede con una scusa credibile delle informazioni alla vittima e solitamente simula l’indirizzo di provenienza e la grafica di un soggetto realmente esistente, ad esempio una banca, un gestore di un servizio o addirittura l’azienda per la quale la vittima lavora. Apparendo quindi come una missiva legittima e genuina, l’utente è incline a consegnare le informazioni richieste ai criminali.
Come si è evoluto il phishing nel tempo
Nel corso degli ultimi anni questa tecnica si è affinata in modo sostanziale, diventando sempre più elaborata, anche grazie a tecniche di ingegneria sociale. Riuscendo a raccogliere preventivamente delle informazioni sulle potenziali vittime aumenta di conseguenza la sofisticatezza dell’attacco, in quanto desta meno sospetto agli occhi del ricevente. Ad esempio, se un utente dovesse ricevere una mail dalla banca X ma è firmatario di un conto corrente presso la banca Y allora capirà che la mail non è destinata a lui e non fornirà le informazioni richieste. Con uno studio pregresso grazie soprattutto alle fonti aperte quali i social network (Facebook, Twitter, Linkedin, Instagram, etc) o i siti web delle aziende, un attaccante può carpire con precisione delle informazioni essenziali a rendere le proprie mail di phishing più credibili. Addirittura, in modo veramente ironico, alcune mail di phishing usano come scusa l’inserimento delle proprie credenziali a verifica del proprio account appunto per proteggersi da potenziali attacchi phishing. Quando questa precisione coinvolge una singola persona allora si parla di spearphishing, letteralmente la pesca con l’arpione, che sta ad indicare che viene “pescata” un’unica vittima, per distinguere dalla pesca “a rete” mirata a coinvolgere più vittime possibili.
Non solo mail, così i phisher ci traggono in inganno
Le mail di phishing non sono infatti l’unico strumento usato in questi attacchi. Per inserire le proprie credenziali – e non chiedere di mandarle via mail, cosa che potrebbe generare sospetti – all’interno di queste mail vi è un link ad un sito che assomiglia in tutto e per tutto al sito genuino del soggetto impersonato dall’attaccante. In questo caso il sito è registrato con un nome molto simile a quello originale, cambiandolo leggermente o cambiando il dominio. Ad esempio, www.nomesito.it potrebbe diventare www.nome-sito.it oppure www.nomesito.com. Oppure, i phisher possono creare domini usando caratteri ingannevoli, usare una “l” (L) al posto di una “i”, oppure usare caratteri di lingue specifiche, estremamente simili a quelli della lingua d’origine, ad esempio sostituendo una “c” con una “ć”. I siti usati dai phisher possono risultare come certificati grazie ai periodi di prova di 90 giorni delle autorità certificanti, oppure possono essere siti già certificati e bucati in un secondo momento: questo può essere molto pericoloso perché l’utente medio conosce la dicitura “https” come sinonimo di sicurezza e in questo caso verrebbe ingannato.
Il crimine va dove si trovano i soldi
Grazie a questi espedienti, la vittima sarà così indirizzata verso una pagina di accesso dove inserire i propri dati personali e, una volta fatto, saranno così proprietà degli attaccanti. Una volta in possesso di queste informazioni, i phisher le vendono a gruppi organizzati ed esperti in questo tipo di frode, i quali saranno capaci – ad esempio – di spostare somme di denaro dal conto della vittima verso altri conti correnti in modo da non lasciare traccia. L’esempio del conto bancario deriva dal fatto che il crimine, secondo le storiche parole di Willie Sutton, va dove si trovano i soldi. Non è un caso che siti come Ebay, PayPal, Amazon e, più recentemente, i wallet di criptovalute come Blockchain.info o CoinBase siano costantemente spoofate (emulate) dai criminali, anche perché vi è un’alta possibilità che un utente medio abbia un account su uno di questi servizi.
Banche, sistemi di pagamento e negozi coinvolti negli attacchi
Infatti, stando alle statistiche di Kaspersky riguardanti gli attacchi phishing, nel 2017 le banche sono state coinvolte per il 27% sul totale degli attacchi, i sistemi di pagamento online per il 15,87%, mentre i negozi online per il 10,95%. Ma anche le informazioni di account personali ad esempio possono essere utilizzate o vendute per creare botnet o per la distribuzione di malware. A tal proposito, un link in una mail di phishing potrebbe non reindirizzare necessariamente ad un sito per il furto di informazioni ma potrebbe contenere a sua volta uno spyware, un trojan, un keylogger, – usati a loro volta per ottenere ulteriori informazioni o per fini criminali – o come dimostrano i recenti casi di cronaca WannaCry e NotPetya, un ransomware, il quale blocca l’accesso ai contenuti della macchina sbloccabile unicamente attraverso il pagamento di una somma di denaro, dopo il quale si dovrebbe ottenere (il condizionale è d’obbligo) la chiave per decrittare il disco.
Curiosità, paura e fretta inducono a cadere nel tranello
Stando ad un report di PhishMe, le ragioni principali per le quali una vittima è indotta ad aprire deliberatamente una mail di phishing sono curiosità, paura, e fretta. Questi tre fattori ovviamente sono stimolati dal testo della mail, soprattutto gli ultimi due sono da considerarsi “normali” in un ambiente lavorativo. Tutti e tre questi sentimenti portano psicologicamente ad un’apertura immediata del contenuto della mail e il motivo è soprattutto uno: in media i siti illegittimi usati per le campagne di phishing hanno una durata di soli cinque giorni, per poi venire messi offline.
Mancanza di consapevolezza informatica di base
Il successo del phishing è quindi legato inesorabilmente alla mancanza di consapevolezza informatica di base. Un utente medio non riesce a riconoscere una mail non genuina a causa del fatto che non è a conoscenza dei meccanismi con i quali banche, servizi, siti commerciali, operano. Recentemente, molti di questi hanno aggiunto nelle loro mail ufficiali annunci che sottolineano come loro non chiedano mai direttamente nome utente e password via mail e di prestare attenzione all’indirizzo di provenienza della mail, indicando quello genuino e legittimo. Il problema è che queste mail, a differenza di quelle di phishing, rischiano di non catturare l’attenzione dell’utente, il quale è possibile che non legga o non tenga conto delle informazioni lette. Vi sono attualmente strumenti puramente tecnici, come i filtri anti-phishing, e in futuro si implementerà l’intelligenza artificiale, intesa come machine learning, per individuare automaticamente le mail fraudolente, come sta già avvenendo per le mail di spam.
Formazione e cyber hygiene per una maggiore consapevolezza dei rischi
Non si può però fare affidamento unicamente su queste soluzioni, ed è quindi necessaria una formazione di tipo culturale per gli utenti, inteso nel termine più ampio possibile, ovvero tutti gli individui che utilizzano un computer. Dopo vent’anni dal primo attacco, e considerati i dati riportati nel primo paragrafo, ovvero che più del 90% degli attacchi informatici inizia con un attacco phishing, è ovvio che la cybersecurity sia un problema più culturale che tecnico. Con una formazione adeguata di base comprensiva di “cyber hygiene” si produrrebbe una consapevolezza dei rischi posti dalle minacce informatiche e della propria importanza all’interno di un sistema in quanto elemento potenzialmente fallace per la sicurezza. Quindi imparare a conoscere i rischi, capirli, imparare le best practices e rimanere in costante aggiornamento sono i passi fondamentali per mettere in sicurezza il proprio sistema o quello per il quale si lavora. In luce di ciò, imparare a riconoscere ed evitare i tentativi di phishing è dunque essenziale.
Qualche consiglio per evitare problemi
Nel caso in cui non si fosse totalmente sicuri della propria abilità nel riconoscere una mail fraudolenta si possono adottare delle misure di base:
- non aprire mai un link o un allegato immediatamente rimane un principio fondamentale;
- è utile controllare l’url del destinatario e soprattutto del link al sito fraudolento per vedere se corrisponde con quello ufficiale;
- controllare la dizione della mail, anche se la qualità e la sofisticatezza delle mail phishing di oggi è molto più elevata rispetto al passato;
- come accennato in precedenza, le mail phishing tendono a fare leva sulla fretta, quindi è necessario prestare attenzione ai testi che implorano urgenza, soprattutto se vengono nominati account bloccati;
- eseguire backup regolarmente e cambiare spesso la password dei propri account, e che sia sempre sicura, contenente ad esempio minuscole, maiuscole, numeri e segni grafici.
- In ultimo essere aggiornati è un passo altrettanto essenziale, dato che la difesa deve stare sempre al passo con l’attacco il quale tende ad essere sempre molto sofisticato.
Attenti a GDPR, mondiali di Russia e olimpiadi invernali
Ad esempio, nel breve periodo sarà necessario stare attenti a mail riguardanti il GDPR: molti servizi ai quali ci si era iscritti con un username e una password stanno attualmente mandando mail per chiedere conferma del trattamento dei propri dati. È possibile che un utente riveli il proprio username e password in questo processo, credendo il servizio legittimo, o che non ricordi di essere iscritto ad un servizio ma che comunque lo trovi interessante, e provi ad inserire username e password “abituali”. Altre mail che possono nascondere tentativi di phishing potrebbero riguardare i mondiali di calcio in Russia, oppure le olimpiadi invernali. Vista l’attenzione che stanno ricevendo recentemente è possibile che alcuni tentativi di phishing possano riguardare bitcoin o altre criptovalute, attirando così le vittime promettendo guadagni molto alti.
In attesa quindi dell’aiuto che verrà fornito dal machine learning, bisogna quindi puntare sull’aspetto culturale. Il phishing in questo caso è l’esempio più lampante, sia per longevità in quanto tecnica, che come entità del danno ma non bisogna dimenticare tutto il resto della cyber hygiene. Una formazione adeguata riuscirebbe a mitigare un’enorme percentuale dei danni che gli attacchi informatici causano ogni anno e trasformerebbe con successo il fattore umano dall’anello debole della catena della cybersecurity in un anello forte, rendendo la vita più difficile ai cybercriminali e ad altri attori con intenzioni malevole.
