Phishing e Spear Phishing: le tecniche di attacco.  

Casi pratici e come riconoscerli

Cosa è il Phishing?

La parola “Phishing” è un neologismo derivante dall’omofonia con “fishing”, letteralmente “pescare” ed è infatti questa la filosofia principale dell’attacco.

In pratica, si cerca di indurre la vittima, mediante una falsa comunicazione in posta elettronica (ma non solo, come vedremo in seguito), a scaricare un allegato malevolo oppure ad accedere ad un sito falso simile all’originale, ad esempio il sito di una banca, al fine di rivelare informazioni personali come username e password, numeri di carta di credito, dati bancari, ecc.

Quanto può essere pericoloso il Phishing.

È una tecnica veramente universale, utilizzata per qualsiasi tipo di attacco informatico e contro qualunque obbiettivo.

In altre parole: non pensiamo al Phishing come un attacco semplice ed elementare, che colpisce solo vittime disattente o di basso livello. Può colpire chiunque, con grande efficacia ed è per questo che viene impiegato in modo così diffuso, anche verso bersagli molto importanti.

L’email di Phishing di cui andremo a raccontare ora ha probabilmente cambiato il corso della storia.

Il caso Russiagate

Fonte: https://www.globalist.it/world/2018/04/16/russiagate-non-c-e-un-avvocato-in-america-disposto-a-difendere-trump-2022781.html

Siamo nel 2016 e la campagna per le elezioni presidenziali tra Hillary Clinton e Donald Trump sta entrando nel vivo.

Ma gli hacker russi decidono di “partecipare” anche loro alla campagna elettorale… in un modo non proprio convenzionale!

Era nota l’antipatia di Putin per Hillary Clinton, già dai tempi in cui questa era il segretario di stato del presidente Obama. Quindi, ormai la storia è conosciuta nei dettagli, Putin ha messo al lavoro i suoi bravissimi hacker di stato per condizionare l’esito delle elezioni. Il gruppo hacker russo Fancy Bear (conosciuto anche come APT28, Sofacy, Strontium), collegato ai servizi segreti russi militari del GRU, ha confezionato la trappola per la Clinton.

Avrebbero potuto utilizzate sofisticate tecniche di hacking per compiere l’azione. Ma non ce n’è stato bisogno: sono bastate alcune semplici email di Phishing accuratamente preparate!
In particolare, gli attaccanti hanno studiato le vittime da colpire (questa fase preparatoria è determinante per il successo dell’attacco, come vedremo) ed hanno individuato il loro principale  bersaglio: John Podesta, figura importante del DNC (Democratic National Committee).

A John Podesta viene inviata una mail (di Phishing, appunto) che sembra provenire da Google e che lo invita a cambiare la password del suo account Google (vedi figura).

Il messaggio di posta sembra essere una notifica di sicurezza di Google: ”Qualcuno ha la tua password”, dice l’oggetto della mail, che prosegue così: “Ciao John, qualcuno ha appena usato la tua password per cercare di entrare nel tuo account Google john.podesta@gmail.com”.

Il messaggio mostra anche data, indirizzo IP e luogo del tentato accesso: l’Ucraina.
E poi la trappola: ”Dovresti cambiare la tua password immediatamente”. Con l’invito a cliccare sul link sottostante, che risulta abbreviato col noto servizio per accorciare link Bitly, proprio per nascondere il vero link.

E John Podesta ha cliccato dove non avrebbe dovuto: si è così trovato sulla pagina del suo profilo Google (vedere figura), ma era un falso, creato ad arte dagli hacker russi. Ed in quella pagina ha digitato la sua vera password di Google, regalando su un piatto d’argento ai russi la chiave d’accesso di quasi 50.000 email del Comitato elettorale del partito democratico.

Queste email sono successivamente state pubblicate da Wikileaks (a cui i russi le hanno consegnate), nel pieno della campagna elettorale Clinton-Trump, rivelando al pubblico informazioni imbarazzanti che hanno sicuramente danneggiato Hillary Clinton. Che ha perso le elezioni presidenziali di novembre 2016.

Questa email di Phishing, assieme ad altre azioni contro il partito democratico condotte dagli hacker russi, è passata alla storia con il nome di Russiagate. I fatti sono ormai noti grazie al rapporto del procuratore Robert Muller che ha indagato su questa vicenda (il rapporto Muller può essere scaricato da questo link).

Possiamo quindi affermare che le elezioni presidenziali americane del 2016 sono state condizionate, forse in modo decisivo, da una banale email di Phishing.

Come si manifesta il Phishing

Il Phishing può essere realizzato in molte modalità, tra le quali l’email rimane ancora la più diffusa: ogni giorno nel mondo vengono inviate oltre 300 miliardi di email e la maggioranza di queste sono spam (soprattutto) ed anche Phishing.

Ma l’email non è la sola modalità: abbiamo il “WHALING” dall’inglese whale (balena), per indicare un Phishing nel quale si punta a far abboccare un pesce grande, appunto una balena, cioè una figura apicale di un azienda (un C-Level). Questa modalità è molto utilizzata per esempio negli attacchi definiti CEO Fraud, cioè la Business Email Compromise (BEC) (Leggi qui).

Ma il Phishing può essere veicolato anche attraverso l’invio di messaggi su dispositivi mobili, oggi sempre più usati. In questo caso si definisce SMISHING: “SMS Phishing”.
Abbiamo anche il VISHING: “Phishing vocale”. La parola è una crasi tra Voice e Phishing ed indica una truffa condotta attraverso il telefono.

Infine, si sta diffondendo un’altra forma di Phishing, meno conosciuta e più subdola, il QRishing: “QR Codes + Phishing”. Un QRcode può contenere un link, se lo inquadriamo saremo indirizzati attraverso quel link ad una pagina web contenente malware.
L’uso del QRcode è abbastanza recente: si usa perché può riuscire a superare le difese antispam (che potrebbero bloccare un link all’interno di un’email) e rende difficile per la vittima rendersi conto su quale link verrà indirizzato.

Le varianti di Phishing qui elencate hanno un fattore in comune: sfruttano il punto di debolezza maggiormente aggredibile: il fattore umano. In pratica utilizzano il Social Engineering (in italiano “ingegneria sociale”).

Il social engineering fa leva proprio sulle “vulnerabilità” umane, che sono le più difficili da patchare: il panico, l’ignoranza, la curiosità, il desiderio, l’autorità, ecc. E sfruttando queste debolezze riescono ad ottenere risultati in modo molto facile e poco costoso per l’attaccante.

È noto che oltre l’80% di tutti i cyber attacchi sono veicolati attraverso un Phishing. (Leggi qui)

Negli ultimi anni sono diventate più sofisticate le strategie per superare i filtri antispam e antivirus e soprattutto, sono molto più curate le email, che spesso risultano perfettamente identiche a messaggi leciti che l’utente si aspetta di ricevere.
Oggi le organizzazioni cybercriminali sono diventate vere e proprie aziende, ove si ricorre anche a psicologi per confezionare messaggi sempre più credibili ed ingannevoli.
Non solo: i cybercriminali sono molto abili a cogliere “le tendenze del mercato”: nel 2020 alla comparsa del Covid-19, sono state create immediatamente massicce campagne di Phishing che sfruttavano temi e parole chiave come Coronavirus, Covid-19. Nel solo mese di aprile 2020, Google ha bloccato 18 milioni di email al giorno legate al coronavirus.

Il livello di verosimiglianza dei messaggi che vengono inviati è così elevato che sta diventando sempre più difficile per l’utente medio riconoscere un’email di Phishing da una legittima.
L’obbiettivo del Phishing è in genere di due tipi:

»  veicolare malware attraverso allegati di posta o link, finalizzati ad entrare nei sistemi informatici della vittima e prendere il controllo del computer dell’utente vittima, appunto attraverso l’uso di un malware;
»  rubare le credenziali di accesso per poi “svuotare” un conto bancario o accedere ad un sistema informatico.

Il vettore di compromissione dell’utente può essere, a seconda delle situazioni:

»  un link sul quale si cerca di far cliccare l’utente inconsapevole o distratto (come nel caso di John Podesta),
»  un file allegato che l’utente non rileva come sospetto e viene pertanto scaricato ed eseguito.

È opportuno fare chiarezza su un aspetto sul quale c’è ancora molta confusione: il Phishing ha effetto solo se si aprono gli allegati o si clicca sui link. Limitarsi alla lettura del testo dell’e-mail non crea danni.

Phishing e Spear Phishing

Le tecniche con cui questo attacco si sviluppa possono essere suddivise in due famiglie: Phishing e Spear Phishing.
La prima, il Phishing è paragonabile ad una “pesca a strascico”: gli hacker inviano, con sistemi automatici, migliaia di e-mail tutte uguali, sapendo che una percentuale di queste e-mail raggiungerà lo scopo e verrà aperta.

È un attacco di tipo opportunistico e non mirato: all’attaccante non interessa colpire un obbiettivo in particolare, gli basta che qualche pesce cada nella rete.

Per farci abboccare si usano soprattutto e-mail apparentemente normali, ma in realtà truffaldine. E-mail che sono costruite, più o meno accuratamente, per sembrare reali, come quelle che ci potrebbe inviare uno spedizioniere per comunicarci l’invio di un pacco, o come quelle che ci inviano i fornitori di servizi telefonici o di energia con le fatture allegate.

Come fanno gli hacker a trovare gli indirizzi e-mail?

Ci provano… o perlomeno questo è un metodo molto diffuso, ma non l’unico.
Infatti la tecnica più usata è quella del Dictionary attack. Si basa semplicemente sull’indovinare gli indirizzi. In pratica, l’attaccante cerca di comporre indirizzi che potrebbero effettivamente esistere. Per la parte a destra della chiocciola (@) usa nomi di dominio validi e per la parte a sinistra genera stringhe in base a qualche logica, per lo più nomi di persone.

Per questo motivo l’indirizzo nome.cognome@dominio.it è uno dei più soggetti a questo tipo di attacco.
In alternativa, usano le Address list. Si tratta di acquisire liste di indirizzi da soggetti che li raccolgono per poi rivenderli.
Infine, le possono recuperare usano uno Spambot, che è un particolare tipo di web-crawler in grado di raccogliere gli indirizzi e-mail dai siti web, dai newsgroup, dai post dei gruppi di discussione e dalle conversazioni delle chat-room.<
Si basano sullo stesso principio del funzionamento dei crawler (detti anche web crawler, spider o robot), che sono software che analizzano i contenuti di una rete o di un database in modo automatizzato, in genere per conto di un motore di ricerca.
A differenza di questi ultimi, cercano nelle pagine web tutti gli indirizzi email presenti.

La seconda modalità, lo SPEAR PHISHING è invece un attacco mirato (“Spear” significa fiocina, quindi il pescatore vuole prendere proprio “quel” pesce).
L’oggetto dell’attacco viene accuratamente selezionato e studiato.
Oggi è molto facile raccogliere informazioni su una persona, attraverso i social ed il web, anche a causa delle tante informazioni che noi stessi pubblichiamo nella rete e nei social, inconsapevoli che tutto questo potrà essere usato contro di noi (Leggi anche).

Acquisita una dettagliata conoscenza delle vittime, gli attaccanti invieranno email preparate con cura per catturare l’attenzione delle vittime ed indurle in errore.
In questo caso vengono scritte non con sistemi automatici, ma da persone che faranno in modo di rendersi credibili verso la vittima, citando particolari o nomi che siano veri. Talvolta l’indirizzo e-mail del mittente potrebbe essere stato falsificato con una tecnica nota come “spoofing”.
Quindi l’e-mail sembrerà arrivare da una persona nota e della quale ci fidiamo (un collega, un superiore, un familiare o un amico) e risulterà molto più subdola. E, molto probabilmente, non sarà neppure stata bloccata dall’antispam, proprio perché costruita con più cura.

Oggi le email di spear Phishing rappresentano il vettore d’attacco più diffuso, per qualsiasi tipo di attacco, e soprattutto più temibile: indipendentemente dalle finalità dell’attacco la modalità di intrusione sarà molto probabilmente un’email di spear Phishing, come è accaduto con John Podesta ed anche in famosi attacchi IoT (come BlackEnergy) di cui abbiamo parlato in questo articolo.

Riconoscere il Phishing

Abbiamo spiegato che il Phishing viene “armato” attraverso due vettori:

»  un link malevolo
»  un file allegato

Vediamo come riconoscere questi attacchi nei due differenti casi e come difendersi.

Attenzione ai link: il Typosquatting

Il numero di email contenenti almeno un link oscilla tra il 10% e il 20% (fonte LibraEsva).

I link malevoli presenti nelle email (o anche in un messaggio, come nel caso dello Smishing) puntano a siti di Phishing, che possono essere:

»  siti legittimi che sono stati compromessi,

»  oppure siti costruiti appositamente per una campagna di Phishing.

È opportuno sfatare un’errata credenza popolare che può esporci ad attacchi di Phishing: NON è vero che i siti in HTTPS (quelli che presentano il lucchetto) siano più sicuri!Al contrario, proprio perché ritenuti più sicuri, sono sempre più utilizzati per questi attacchi.Ce lo conferma il Rapporto Clusit 2021: nel Phishing finanziario il 91,2% delle URL di Phishing usano il protocollo HTTPS (vedi figura)

Una tecnica per ingannarci con falsi link è il Typosquatting o attacco omografico: è un link ingannevole che sfrutta la somiglianza visiva di caratteri differenti.

Typo è una parola inglese che può essere tradotta come errore di battitura, refuso. Il typosquatting consiste nella registrazione di domini-civetta, il cui nome varia di una lettera (o al massimo due) rispetto al nome di un sito web conosciuto.

I caratteri, ossia le lettere e i numeri, che si assomigliano, sono chiamati omografi (o in inglese “Homoglyph”).
Si tratta di trucchi in realtà banali, ma che spesso riescono ad ingannare l’utente appena un po’ distratto.
Non cadere in questi inganni è in realtà piuttosto semplice: basterebbe digitare direttamente il sito che sappiamo essere corretto, invece che seguire il link che ci viene “offerto” nell’email. Se John Podesta avesse cercato il corretto link a Google, invece di cliccare su quello esposto nella mail, forse Hillary Clinton non avrebbe perso le elezioni…

Nella tabella sottostante riportiamo alcuni esempi di link falsificati con la tecnica del typosquatting.

Nei casi più complicati, nei quali ci risulta difficile capire se siamo di fronte ad un URL legittimo o falso, ci vengono in aiuti alcuni servizi offerti nel web. Uno dei più pratici ed affidabili è VirusTotal, un servizio di proprietà di Google che esegue l’analisi gratuita di files e/o URL per scovarne virus o malwares all’interno.
In questo link è possibile inserire (mediante un copia-incolla) il link che abbiamo ricevuto e del quale non siamo sicuri.

VirusTotal offre lo stesso servizio anche per l’analisi di file (per esempio allegati sospetti) in questo link

Quindi basta un poco di attenzione e qualche secondo di pazienza (che purtroppo molto spesso ci manca…) per difendersi da questi attacchi.

Gli allegati più pericolosi

L’altra arma utilizzata nel Phishing sono i file allegati. Questi sono un po’ meno impiegati rispetto ai link, perché più facilmente intercettabili dai servizi antispam. Vengono comunque usati in modo subdolo e, come vedremo, riescono spesso ad ingannare sia i sistemi di protezione (antispam ed antivirus) che le difese umane.

Per farlo vengono utilizzati i tipi di file con i quali abbiamo più familiarità e che maggiormente usiamo.
Potrebbe risultare una sorpresa per qualcuno scoprire che gli allegati malevoli più frequenti non sono file .exe o .scr, che qualsiasi antispam è in grado di bloccare. I più usati, come si vede nell’infografica sotto riportata (fonte TrendMicro) sono i file Office (Excel e Word) assieme ai .pdf.
Queste tre famiglie totalizzano oltre il 75% degli allegati malevoli.

Quindi i file Excel e Word possono essere un malware? Ovviamente non lo possono essere, ma riescono a fungere da “dropper”, cioè l’agente che avvia la catena di infezione.
Circa il 13÷20% degli allegati in format word (doc e docx) ed Excel (xlsx e xls) sono dropper malevoli, perché vengono “armati” con macro (realizzate in VBA, Visual Basic for Applications) al loro interno.

All’apertura del file ci verrà chiesto di abilitare la macro: se lo facciamo questa verrà avviata, eseguendo script o link per collegarsi ai server di Command & Control (C&C) degli attaccanti, da dove scaricherà sul sistema infettato il vero e proprio malware.
Per questo è estremamente importante disabilitare l’uso delle macro nei file Office. Ma questa misura, che qualsiasi azienda dovrebbe adottare non è sufficiente: sarà importante anche formare gli utenti a conoscere questi rischi e quindi a non attivare macro su file Office che non siano di provenienza assolutamente sicura.
Anche i file .pdf possono contenere script malevoli al loro interno, sebbene meno potenti per sviluppare un attacco informatico.

Negli ultimi anni abbiamo rilevato un utilizzo sempre crescente degli allegati word ed excel per veicolare malware. Per rendere l’attacco più

efficace e meglio mascherato molto spesso il file word/excel viene incapsulato all’interno di un file .zip protetto da password (vedere figura).

Ma quello che dovrebbe insospettire un utente appena attento è il fatto che la password per aprire il file .zip è esposta nel corpo dell’email, in un modo che la rende assolutamente pubblica e quindi inutile.
Perché allora un file .zip protetto da password? Semplicemente per renderlo inaccessibile ai controlli antispam ed antivirus.

Se procediamo all’inserimento della password ed all’apertura del file zip, troveremo al suo interno un file word (o excel) per il quale ci verrà chiesto di “abilitare macro”. Se la macro di un file Office non viene eseguita, il malware non sarà in grado di infettare il dispositivo. Quindi facciamo sempre attenzione, prima di cliccare e concedere queste autorizzazioni!


In questa fase, che prelude all’attacco, i sistemi di protezione che FlashStart fornisce risulteranno estremamente utili: se la macro viene abilitata e si attiva, lancerà, come detto, uno script per scaricare il malware dai server di Command&Control (C&C) degli attaccanti.
Qui le difese di FlashStart sono in grado di riconoscere il link “sospetto” a cui la macchina violata sta cercando di collegarsi e di bloccare il collegamento… e quindi il download del malware.


L’autore

Giorgio Sbaraglia (https://www.giorgiosbaraglia.it), ingegnere, svolge attività di consulenza e formazione per la sicurezza informatica e per la privacy.

Tiene corsi su questi temi per molte importanti società italiane di formazione, tra le quali la 24Ore Business School. (maggiori informazioni qui)
È membro del Comitato Scientifico CLUSIT (Associazione Italiana per la Sicurezza Informatica) e certificato “Innovation Manager” da RINA.
Ricopre incarichi di DPO (Data Protection Officer) presso aziende e Ordini Professionali.

È autore dei libri:
» GDPR kit di sopravvivenza” (Editore goWare),
» Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (Editore goWare),
» iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” (Editore goWare).

Collabora con CYBERSECURITY360 testata specialistica del gruppo Digital360 per la Cybersecurity.
Scrive anche per ICT Security Magazine,  per Agenda Digitale e per la rivista CLASS.


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

> Per maggiori informazioni clicca qui
> Per una prova gratuita clicca qui
> Per richiedere i prezzi clicca qui