(AICIS)  [Angelo Alabiso] 

Vademecum operativo per tutti: come non abboccare all’esca “phishing”

La parola “pshishing” è entrata ormai prepotentemente nel nostro dizionario, ma pur trovandosi sulla bocca di tutti, siamo ancora lontani dall’agire consapevolmente per annullare o limitare i suoi effetti. In un modo o nell’altro, con attacchi sempre più articolati e mirati, l’individuo tenderebbe a fidarsi anche di un “estraneo”, soprattutto se “l’attaccante” finge di impersonificarsi in un’autorità specifica. Come lo stesso Cialdini ha più volte sottolineato nel suo libro “Le armi della persuasione”, è difficile essere immuni al principio dell’autorità: siamo stati educati fin da bambini al rispetto di una figura principale e alle sue regole. Come un grande gigante di argilla, quello che ormai l’attaccante è in grado di fare, attraverso questa tipologia di attacco, è nascondersi dietro un’identità fittizia che possa essere in grado di ottenere consensi e approvazione dalle vittime, attraverso piani e parole mirate. Non per niente, come qualunque altro nemico che abbia ostacolato la sicurezza dei singoli cittadini, gli esperti non stanno trascurando l’importanza di studiarne costantemente la continua evoluzione: le tipologie di attacco, le tecniche di applicazione e le implicazioni ad esso associate. Purtroppo, sfruttando e-mail, messaggi, siti web e altri infimi stratagemmi, chiunque oggi può essere in grado di indurre la vittima a credere nella buona fede del messaggio mandato e, allo stesso tempo, indurla a cliccare un link oppure a scaricare un allegato dai contenuti malevoli. In questo senso si intuisce come dietro la parola “phishing” si celi una battaglia sempre aperta, caratterizzata da strumenti tecnologici e competenze sempre diverse. In poche parole, una delle regole principali da seguire dovrebbe essere la seguente: per quanto si pensi di conoscere bene un fenomeno, in realtà questo sapere non è mai abbastanza.

In linea con ciò, quello che si sta facendo è una continua campagna formativa, tesa ad aumentare la sensibilità di ognuno di noi verso quella che è l’evoluzione tecnologica e i suoi rischi. Difatti, quello a cui si sta andando incontro è un nemico sempre meno prevedibile, per certi versi meno esposto, con lo specifico obiettivo di ingannare il prossimo proprio attraverso le sue debolezze e vulnerabilità. L’essere umano, in questo senso, acquista un ruolo diverso rispetto al passato, per certi versi anomalo, se pensiamo al concetto di “mezzo intermediario o di veicolo digitale”, e non più fisico, usato per arrivare a un principale obiettivo ovvero la frode, di qualunque tipo, a costo quasi zero. In aggiunta, se solo volessimo capire bene il perché del suo utilizzo, non potremmo non menzionare altri vantaggi come il distacco proprio dai limiti temporali e spaziali appartenenti ad altri tipi di minacce passate: bastano pochi click per arrivare ad ingannare un gruppo molto grande di persone nello stesso momento. Di fronte a uno scenario di questo tipo, non tanto come in questo caso, sarà quindi necessario dotarsi dei giusti mezzi e delle specifiche competenze atte a riconoscere e fermare questo nemico sempre più presente e comune.

Innanzitutto, prima di affrontare temi più specifici e per certi versi tecnici, si delineano velocemente quali possono essere i primi campanelli d’allarme da valutare:

  • Il mittente: spesso l’indirizzo di posta dalla quale proviene il messaggio non coincide esattamente con quello originale dalla cui ci si aspetta una richiesta di un certo tipo. Alcune volte può variare una vocale o una consonante, in altri casi può essere completamente diverso. Che si tratti anche di un semplice punto in più, di un trattino o di un segno speciale, quello che è il “sender” può cambiare completamente. Rispetto a questa regola generica, purtroppo, non sono mancate volte in cui l’indirizzo coincidesse perfettamente con l’originale; in questo caso sarà necessario valutare eventuali segnalazioni provenienti dalla stessa casella postale (come messaggi sull’inaffidabilità o dei punti esclamativi vicino all’email ricevuta) o ad altri fattori più specifici descritti nei punti successivi.
  • La presenza di allegati o link: più di qualunque altra cosa, soprattutto se hanno delle diciture strane, debbono farci riflettere sul possibile scopo dell’attaccante, della loro utilità o natura. Come il caso precedente, essi possono ad esempio includere la denominazione dell’URL originale, magari integrata attraverso qualche parola o segno aggiuntivo (ad esempio <www.logine.bank.com>, invece di bank.com). Mai quanto in questo caso bisogna essere scrupolosi e dei veri e propri osservatori. Ovviamente, più si diventerà sensibili a questi concetti, più facile sarà contrastare questo fenomeno.

Nelle righe successive, si daranno dei consigli su come fare delle valutazioni prima di scaricarli o cliccarci dentro.

  • Senso di urgenza: giocando sui caratteri dell’impulsività e dell’automatismo dell’essere umano, quello che si cerca di ottenere con questo “senso di urgenza” è una reazione priva di spirito critico e di consapevolezza gestuale, attraverso la quale ingannare la vittima. Spesso le e-mail o i messaggi che si ricevono sono sempre gli stessi: account possibilmente hackerati, finte transazioni economiche avvenute o credenziali scadute. In questo caso, vige una regola più o meno generica: solitamente procedimenti del genere richiedono doppie autenticazioni o la presenza fisica dell’interessato con un responsabile d’ufficio. Di converso allo stato d’ansia, non sono mancate strategie più articolate tese a giocare sul lato opposto, ossia la gioia suscitata alla vittima dovuta a una vincita improvvisa o un pacco Amazon inaspettato in arrivo. Sono ormai tantissime le campagne promosse dai principali leader di settore su questo tipo di messaggi. Nel caso in cui invece doveste ricevere delle telefonate sospette, non avendo moltissimi elementi da analizzare in quel momento, cercate di chiedere il più possibile informazioni che solo l’utente reale può conoscere e, qualora non foste pienamente convinti, riservatevi la possibilità di cercare il numero telefonico su internet o di chiamare una persona di fiducia per chiedere conferma. Seppur con un nome diverso, il “Vishing” ingloba tutte le chiamate di pshishing che possono essere usate per ottenere delle informazioni sensibili.
  • Errori grammaticali, ortografici o scritture stilisticamente diverse: non è usuale che il messaggio si presenti “Sgrammaticato” ossia pieno di errori grammaticali. Stesso discorso vale per tutti quegli errori ortografici che possono presentarsi dentro il testo: lettere maiuscole, minuscole, segni speciali fuori posto o impropri. Infine, e non per questo meno importante, a fronte di scritture sospette, di notevole importanza possono risultare le cosiddette “analisi sullo stile di scrittura”: se si conosce bene il destinatario, soprattutto se è abituale oramai lo scambio di e-mail, è probabile che si riconosca anche abbastanza intuitivamente il suo stile di scrittura. 

Una volta compreso bene come potrebbe presentarsi un’e-mail di phishing, è necessario passare al secondo step: come analizzare tutta una serie di fattori determinanti per mezzo del ragionamento abduttivo e di tools specifici. Iniziando proprio da quest’ultimi, la vasta rete di internet ci offre sicuramente tutta una serie di funzionalità gratuite, che possono risultare davvero utili a tutti, attraverso i seguenti link:

  • https://mxtoolbox.com/SuperTool.aspx : con le sue tante funzioni, quello che si può fare all’interno di questo sito è davvero sorprendente: analisi dei domini, degli header, check su black-list e molto altro. Se di primo acchito, soprattutto per le persone meno esperte, ciò può risultare ostico, in realtà è più semplice di quello che sembri. Volendo partire proprio dagli header (importanti per chi vuole capire se l’email è malevola), essi rappresentano le cosiddette “intestazioni del messaggio” e contengono tutta una serie di informazioni relative alla vita dell’email stessa: momento di invio, accettazione del server, mittente ed ecc… Nel caso li si volessero analizzare basterà andare su mxtoolbox, sulla voce “Analyze Headers”, e incollare il testo delle intestazioni di messaggio generate dall’email che ci interessa; sarà lo stesso sito a segnalare eventuali anomalie o black list associate. Per trovarle basterà innanzitutto sapere che tipo di casella di posta si sta usando e poi, per chi non lo sapesse già, cercare su internet il modo specifico per poterli visualizzare. Nel caso si usasse Outlook, per esempio, sarà necessario aprire l’e-mail, fare click su “File, poi su “Proprietà”, e andare sulla casella “intestazioni Internet”. Oppure, da browser, nel caso si usasse Gmail, una volta aperta l’e-mail di interesse basterà cliccare su “Altro” (vicino alla freccia del rispondi) e andare su “Mostra originale”.
  • https://www.virustotal.com/gui/ : analizza file e URL sospetti per rilevare malware di qualsiasi tipo. Nel caso in cui, per esempio, ci si dovesse trovare nella situazione di avere un allegato all’interno dell’e-mail sospetta, la cosa assolutamente da non fare è aprirlo, ma piuttosto salvarlo (cliccandoci sopra con il tasto destro del mouse e muovendosi sulla riga “Salva con nome”) in una cartella ovunque sul computer per poi analizzarlo proprio attraverso “virus total”. Nell’apposita sezione “File” e, successivamente, in quella “Choose file” è possibile caricare l’allegato salvato per analizzarlo.
  • https://app.any.run/ :  è un servizio online gratuito dove è possibile comprendere il funzionamento di eseguibili sospetti, documenti word, file pdf o email possibilmente infette. In poche parole, rappresenta una macchina virtuale attraverso la quale testare qualsiasi tipo di elemento sospetto. Nel nostro caso, dopo aver salvato l’e-mail in una cartella qualunque, è possibile caricarla sul sito attraverso la casella “+ New Task” e, successivamente, quella “Choose a file”. Il resto del lavoro lo farà il servizio online. 
  • https://sitecheck.sucuri.net/: buon sito per controllare la pericolosità di un URL (Uniform Resource Locator). Con la sua interfaccia semplice e intuitiva sarà infatti possibile rilevare malware noti, virus, possibili black list associate, codici dannosi e tanto altro.
  • https://haveibeenpwned.com/ : sito attraverso il quale è possibile capire se la propria casella di posta, o quella di altri utenti, è stata oggetto di un incidente di “Data Breach”.
  • https://www.abuseipdb.com/: importante strumento dove è possibile non solo rendere noti degli IP malevoli, ma vedere anche se gli stessi siano già stati inseriti in una black list o segnalati da altri utenti. Attraverso una vera e propria comunità internazionale, quella che offre “abuseipdb” è anche una percentuale di pericolosità tarata anche sulle segnalazioni ricevute.
  • Come analizzare dei Link su un’e-mail? Basta passare il cursore del mouse sopra (non cliccandoci) per poter vedere l’indirizzo “reale” di destinazione. Come già accennato precedentemente, spesso i siti web fasulli, variano di poco rispetto a quelli originali. Inoltre, un’altra cosa che dovrebbe farci insospettire è proprio la dicitura iniziale qualora dovesse cominciare con http (l’acronimo di HyperText Transfer Protocol) invece di https (HyperText Transfer Protocol Secure). In sintesi, è possibile affermare che un sito web con “HTTPS” garantisce un livello di sicurezza maggiore rispetto al primo, proprio grazie alla criptazione dei dati. Infine, è possibile incollare la dicitura del sito su “virus total” o “sitecheck” per capirne la natura.

Una volta analizzata bene e compresa nella sua interezza, una e-mail di phishing prima di essere cancellata dovrebbe essere spostata nella cartella “spam” della vostra casella postale. Inoltre, si consiglia di bloccare il mittente (basta cliccare sopra l’e-mail, andare su posta indesiderata e scorrere sulla sezione “Blocca utente”). Solo in questo modo sarà possibile stroncare sul nascere altri attacchi provenienti dallo stesso sender. Infine, per dare un taglio drastico alla diffusione di messaggi fraudolenti anche in futuro, sarebbe utile segnalare la stessa attraverso dei specifici portali web presenti sulla rete (come per esempio: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=it) nonché contattare direttamente l’azienda o la persona reale oggetto della truffa. Non è un caso che gran parte delle grandi aziende a noi conosciute abbiano messo a disposizione, anche agli utenti esterni, diverse possibilità di segnalazione o contatto mediante piattaforme web.

Come abbiamo visto, nonostante il notevole livello tecnico con cui questi messaggi si mascherano da e-mail regolari, esistono diverse accortezze per aiutarci a smascherare un messaggio di phishing. L’educazione è un tassello fondamentale per tutelare i propri interessi o quelli di un’azienda. Gli stessi dirigenti di alto livello sono esposti ad attacchi continui e sempre più articolati. Per questo motivo sarebbe davvero utile avvalersi di professionisti a supporto dei dipendenti nonché simulare questo tipo di minaccia attraverso metodi sempre più meno evidenti.  

 © Angelo Alabiso, Criminologo

AICIS