Difesa Cybersecurity Awareness Month #2: Phishing? Diffida dalle imitazioni!

0xbro

Super Moderatore
24 Febbraio 2017
4,464
179
3,757
1,825
Ultima modifica:
Come funziona il phishing? Come fanno i criminali informatici a impossessarsi dei nostri dati? Posso fare qualcosa per riconoscere gli inganni? Scoprilo in questo secondo articolo del Cybersecurity Awareness Month.​

AdobeStock_204077439-1000x500.jpg

Cybersecurity Awareness Month #2: Phishing? Diffida dalle imitazioni!​

Tempo di lettura stimato: 10 min






1    Introduzione

Eccoci tornati con il nostro appuntamento settimanale legato al Cybersecurity Awareness Month, il mese dedicato all'emancipazione delle tematiche di Cyber Security. Nello scorso numero (che puoi trovare qui) abbiamo parlato di come tenere al sicuro i nostri dati, come scegliere le nostre password e come verificare che le nostre credenziali non fossero finite in qualche lista pubblica online. Oggi analizzeremo invece il vettore d'attacco che da più di 10 anni è il tramite preferito dagli hacker di tutto il mondo: il Phishing (e tutte le sue varianti).​

2    Cos'è il Phishing

Citando Wikipedia, "Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale". Questa tecnica quindi si basa sul fatto che la vittima, ignara di queste tipologie di attacco o più semplicemente non molto attenta, fornisca i propri dati all'attaccante, sia direttamente (compilando delle pagine web simili all'originale), sia indirettamente (cliccando dei link contenenti del codice nocivo).

Il mezzo preferito per condurre questo tipo di attacco è da sempre l'email, ma negli ultimi anni molti altri mezzi sono stati utilizzati per questa tipologia di attacco, a partire dagli SMS (Smishing), passando per i Social Networks, i Bots, i finti siti di news, fino ad arrivare a messaggi privati in chat o Whatsapp o addirittura chiamate telefoniche (Vishing), sempre utilizzando una tecnica psicologica chiamata Social Engineering.​

3    Come difendersi da questa tipologia di attacchi

La risposta più ovvia la potete trovare nel titolo dell'articolo: diffida dalle imitazioni. La risposta meno ovvia e più tecnica la potete leggere nelle prossime righe.

Gli attacchi phishing, per quanto possano essere ben strutturati e diversificati tra di loro, fanno quasi sempre (99% dei casi) leva sugli stessi elementi:​
  • Sensazione di urgenza/allarme: anche se il mezzo cambia, non cambia l'approccio. L'utente, nella maggior parte degli attacchi, viene invaso da una sensazione di urgenza attraverso frasi che fanno presagire che a breve una condizione vantaggiosa finirà (come ad esempio uno sconto) o con messaggi allarmistici (per esempio il blocco del credito bancario dovuto a un'incongruenza dei dati o il blocco di un abbonamento, la scadenza di una password, ecc.).​
  • Mittente non comune / Falsificato: tutte le email di phishing arrivano SEMPRE (a meno che un server di posta lecito non sia stato hackerato) con un mittente fittizio / falsificato / spoofato. E' prassi comune fare affidamento su attacchi di tipo typosquatting per ingannare la vittima che una mail sia lecita anziché finta. Vengono usati domini email simili a quelli reali (es. "Iibero" (i maiuscola) e "libero" (L minuscola)), ispirati ad email esistenti ([email protected] diventa [email protected]bank.eu) o completamente falsificati ma il cui nome mittente risulta reale (es. Mail from: Intesa San Paolo <[email protected]>).​
  • Almeno un link / un allegato: è sempre presente almeno un link su cui viene richiesto di cliccare o è presente uno o più allegati sui quali viene richiesto di fare qualcosa (scaricare, guardare e rispondere alla mail, compilare dati mancanti, ecc.)​
  • Errori di battitura / traduzione: poiché spesso i messaggi sono mandati a migliaia di vittime, spesso questi vengono tradotti usando traduttori automatici, algoritmi particolari o altre forme di automatismi che, anche se accurati, non sono perfetti, e lasciano errori di battitura, traduzioni poco sensate, frasi sgrammaticate e talvolta addirittura elementi tecnici come variabili o placeholder.​
Conosciuti quindi gli elementi chiave, per difenderci basterà identificarli nelle mail o nei messaggi che ci arrivano, evitando di cliccare sui link o di aprire gli allegati, e quindi semplicemente segnalarli come phishing/spam e cestinarli.​

NB: Molti provider mail, come per esempio Gmail, hanno dei meccanismi interni per cui riconoscono le mail di Phishing e di Spam segnalandole all'utente o spostandole direttamente nella cartella spam. Fate quindi sempre molta attenzione anche ai messaggi che i vostri stessi strumenti vi forniscono.​
Per comprendere meglio i segnali d'allarme, analizziamo delle reali email di phishing:​

Phishing_reale.png

Questa email che mi è stata inviata un po' di tempo fa su una casella abbandonata è l'esempio "scolastico" di un chiara email di phishing:​
  • Il mittente 'Poste Pay' (punto 0) non corrisponde all'email effettiva che ha mandato il messaggio (punto 1). Questo elemento già mi fa capire che la mail non è legittima, ma tante volte non è così semplice identificare il mittente.​
  • Nelle parti evidenziate (punto 2) mi viene detto che mi è stata sospesa l'utenza e che non potrò più usufruire del servizio fino a quando non aggiornerò i dati, facendo così leva sull'elemento dell'urgenza/allarme​
  • E' presente un bottone/link su cui cliccare (punto 3)​
  • Il sito su cui vengo reindirizzato (punto 4) non appartiene a poste pay ed ha una struttura "strana".​
Inoltre, per i più navigati e smanettoni, consiglio sempre di dare un'occhiata agli header dell'email (ogni provider email permette in modo differente di vederli, consiglio di documentarsi in base a quello che si usa). Spesso questi header permettono di identificare altre informazioni chiave per poter scoprire se la mail ricevuta sia legittima o no. Un esempio di header email lo potete vedere sotto:​
header.png

In questo caso possiamo notare che il return path (a chi verrà inviata la risposta) è appunto [email protected], dunque non Poste Pay, e che il sito è hostato su Aruba, all' IP 62.149.157.212.​

4    Pericoli e impatti di questi attacchi

Una delle domande che sorge sempre spontanea è: "Quali sono gli impatti di questi attacchi? Cosa succede se clicco per sbaglio su uno di quei link o apro un allegato?".

Gli impatti sono molteplici, dai più "blandi" ai più pericolosi. Può non succedere nulla (se ad esempio il sito a cui fa riferimento l'attacco non è più vulnerabile o non esiste più) così come può venir installato un malware sul vostro dispositivo o possono venir carpite le vostre credenziali o i vostri token di sessione.​

In poche parole, garantite a qualunque malintenzionato l'accesso ai vostri account.
Esaminiamo degli esempi possibili di attacco:

4.1    Sito di phishing

Uno degli attacchi più comuni consiste nel far inserire a una persona le proprie credenziali in una finta pagina rappresentante un sito realmente esistente.

PhishingLogin.png

Come si evince dall'immagine sopra, la pagina sembra essere effettivamente quella di login di libero, non fosse però che il sito è "veryevilsite.com", un sito appunto malevolo. L'utente, reindirizzato su questa pagina tramite una mail o un qualsiasi redirect, sollecitato magari da un messaggio di urgenza, viene ingannato e convinto a eseguire il login. OWNED! Nel momento in cui preme il tasto "Avanti" le sue credenziali saranno intercettate e salvate dall'attaccante, mentre l'utente verrà reindirizzato sul vero sito di Libero.​

Per proteggerci da questa tipologia di attacco quindi i controlli da fare sono:
  1. Verificare se la mail o il messaggio che ci è arrivato sia attendibile o meno
  2. In caso fossimo stati reindirizzati su una pagina, verificare che la pagina sia effettivamente quella originale​
  3. Nel caso avessimo ancora dubbi, passare sempre dal sito ufficiale e non dal link inviatoci (in questo caso dovrei andare su Libero cercandolo su Google o tramite i preferiti, NON tramite il link fornito nella mail o per messaggio)​

4.2    Attacco Cross Site Scripting

Un attacco meno comune ma comunque attuato è l'attacco XSS (Cross Site Scripting). Tramite questo tipo di attacco è possibile iniettare del codice all'interno di una pagina vulnerabile, facendolo così eseguire dalla vittima che clicca sul link. L'attacco sfrutta le medesime modalità di ogni attacco phishing, con la differenza che per essere eseguito occorre trovare un sito vulnerabile in modo che tramite il codice inserito nel link inviato alla vittima, una volta cliccato, venga eseguito inconsciamente dal malcapitato. Vediamone un esempio reale:​

Per mail mi arriva il seguente messaggio:

Hi 0xbro,
I found a hot photo about you here
Why did you post it?
Il link (che nel nostro caso è un sito di challange per studiare appunto le XSS) in verità è un sito vulnerabile a XSS, ma noi siamo ingannati dalla sensazione di urgenza causata dalla possibile presenza di una nostra foto hot online, e quindi clicchiamo per controllare. Appena approdiamo sul sito, il codice malevolo presente nel link (in questo caso il codice farà comparire solo un messaggio a schermo) verrà iniettato nella pagina e quindi eseguito sul nostro PC.​

XSS.png

Nella maggior parte dei casi l'utente non vedrà una box di testo come quella dell'esempio, ma eseguirà il codice di nascosto. Gli impatti sono svariati, dipende dal codice iniettato, ma spesso questi attacchi mirano a raccogliere i cookie e le sessioni per permettere agli attaccanti di autenticarsi come se fossero le vittime a farlo.​

Per proteggerci da questa tipologia di attacco invece bisogna:
  • Non cliccare mai su nessun link senza aver verificato verso dove porta
  • Far attenzione alle mail e cercare di capire se sia phishing o no
  • Controllare sempre i link e verificare verso dove sono diretti e se contengono caratteri strani
La maggior parte degli antivirus che dispone di una componente di protezione web presenta dei meccanismi di difesa per questa tipologia di attacchi, ma non bisogna comunque far affidamento solamente su di loro. Per verificare se un link è malevolo o legittimo si possono utilizzare macchine virtuali o servizi di sandboxing come Browserling o Any.run, in modo che in caso si approdasse su un sito malevolo o vulnerabile a XSS, questo venga eseguito sulla macchina sandbox e non direttamente sul vostro PC. Attenzione però a non navigare su siti contenenti i vostri dati personali, poichè potrebbero venir resi pubblici (in base alle politiche dei fornitori del servizio. Any.run, per esempio, pubblica ogni ricerca fatta con la versione FREE del prodotto).​

Di seguito potete vedere any.run aprire il contenuto di una mail di phishing:
anyrun.png

4.3    Clickjacking / Cross Site Request Forgery

Oltre ai casi visti sopra, è possibile anche che un malintenzionato, sempre tramite links e redirects, cerchi di farvi accedere a dei siti contenenti del codice JavaScript malevolo o dei "layer invisibili" su cui, una volta cliccato, venga eseguita un'altra azione non desiderata. Questa tipologia di attacco, detta appunto clickjacking spesso viene eseguita sfruttando il fatto che alcuni siti permettano di venir inglobati all'interno di altri. Facendo credere alla vittima di star cliccando su una componente che crede appartenere a un sito legittimo, in verità clicca su un "layer invisibile" che esegue delle azioni arbitrarie definite dall'attaccante, sia sul proprio asset che su un altro sito dove l'utente è autenticato (Cross Site Request Forgery).​

Vediamo un esempio di sito inglobato in un altro:

clickjacking.png

Nell'esempio sopra, vediamo che la pagina di login del sito X (di cui non faremo nomi) è contenuta dentro il sito veryevilsite.com (che per questo esempio è il mio pc). Un utente, ingannato a credere che in verità il sito che ingloba il form di login sia un sito legittimo, immette le proprie credenziali e clicca su "Login", convinto di star cliccando sul bottone del form. In verità, però, in trasparenza sopra il bottone c'è un altro bottone invisibile, che l'utente cliccherà, azionando così l'esecuzione del codice voluto dall'attaccante.

Per prevenire di cadere in queste trappole valgono le stesse regole delle pagine di phishing: verificare il sito su cui si sta navigando (tramite browserling & co), non immettere dati personali e non cliccare bottoni o elementi "dubbi" (i bottoni per visualizzare i video in streaming che aprono mille pubblicità sono un esempio).​

5    Stare sempre attenti!

Come detto nell'introduzione gli attacchi Phishing sono tra gli attacchi più utilizzati e diffusi in tutto il mondo. Sebbene sembrino così banali e innocui, non lo sono, e anzi fanno ogni giorni migliaia di vittime. Basta un niente per cliccare dove non si doveva: mentre si scorre la posta la mattina ancora addormentati, gli ultimi minuti prima di staccare da lavoro, per curiosità, etc.. Questi attacchi inoltre si aggrappano ad ogni novità e opportunità, sono come dei parassiti che attendono ogni volta un qualcosa di nuovo a cui attaccarsi. Durante questo periodo di crisi dovuto al COVID-19, gli attacchi incentrati su questa tematica sono stati talmente tanti da non poterli nemmeno stimare. Email, siti malevoli, allegati finti, di tutto e di più. Ultimamente ho letto che sono in atto nuovi attacchi phishing basati sui form di google, mentre in passatto sono stati diffusi gli attacchi basati sul re-inoltro di vecchie mail, in modo che agli occhi di una vittima sembrasse una discussione legittima.

Insomma, poichè il phishing è una tipologia di attacco così tanto diffusa e così tanto vasta, state sempre attenti e diffidate da ciò che non vi convince al 100%. Potremmo restare delle ore a parlare dei vari attacchi, delle varie misure e contro-misure e dei vari tecnicismi, ma l'elemento fondamentale e più importante per sventare ogni attacco è usare la testa. I malintenzionati sono sempre dietro l'angolo intenti ad aspettare chi sarà il prossimo malcapitato a cadere nella loro trappola. Quei malcapitati, però, non dovete essere voi! Prestate sempre più attenzione che potete! Diffidate dalle imitazioni. Scegliete la sicurezza.


Made with ❤ for Inforge