Con il phishing proprio come i pescatori lanciano esche per catturare pesci, i truffatori digitali lanciano “esche” digitali per catturare informazioni sensibili dalle loro vittime. Con l’avvento di internet e delle comunicazioni digitali, questa attività criminale ha trovato un terreno fertile per proliferare, affinando le sue tecniche e diventando una delle minacce informatiche più insidiose del nostro tempo.

Cosa è il phishing?

Si tratta di un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

Da dove deriva il termine?

Il termine phishing è una variante di fishing (“pescare”) probabilmente influenzato da phreaking, e allude all’uso di tecniche sempre più sofisticate per “pescare”, per l’appunto, dati finanziari e password di un utente.

Descrizione

Si tratta di un’attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi di fornitori di servizi legittimi.

Il truffatore chiede all’ignara vittima di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Attenzione ai social

Il rischio di essere vittima di phishing è ancora maggiore nei social media (Facebook, IG, X -ex Twitter-). Degli hacker potrebbero infatti creare un clone del sito e chiedere all’utente di inserire le sue informazioni personali. Infatti, di solito, gli hacker traggono vantaggio dal fatto che questi siti vengono utilizzati a casa, al lavoro e nei luoghi pubblici e soprattutto per scopi ludici. La fruizione die social media abbassa la soglia dell’attenzione e rende le persone maggiormente vulnerabili.

Quando e come nasce il phishing?

Una tecnica di phishing è stata descritta nel dettaglio in un trattato presentato nel 1987 all’International HP Users Group, Interex, mentre la prima menzione registrata del termine risale al 2 Gennaio 1980 è sul newsgroup di Usenet alt.online-service.america-online. Tuttavia, sembra che la parola possa essere apparsa precedentemente nell’edizione stampata della rivista per hacker “2600”.

Il phishing su AOL era strettamente connesso alla comunità warez che scambiava software senza licenza; AOHell, rilasciato all’inizio del 1995, era un programma con lo scopo di attaccare gli utenti di AOL fingendosi un rappresentante della compagnia AOL. Nel tardo 1995, il provider americano applicò misure per prevenire l’apertura di account ad insaputa dei titolari degli stessi usando carte di credito false, generate tramite algoritmo.

L’evoluzione: verso un crimine ancora più sofisticato

L’aver ottenuto gli account di AOL consentiva ai phishers l’utilizzo improprio delle carte di credito, ma, soprattutto, ha portato alla realizzazione di attacchi verso sistemi di pagamento. Il primo attacco diretto conosciuto contro un sistema di pagamento è stato ad E-Gold nel Giugno 2001, che è stato seguito da “post-9/11 id check”. Nel settembre 2003 c’è stato il primo attacco a una banca, ed è stato riportato da The Banker in un articolo scritto da Kris Sangani intitolato “Battle Against Identity Theft”.

Nel 2004 il phishing era riconosciuto come una parte completamente affermata dell’economia del crimine: emersero specializzazioni su scala globale per portare a termine le operazioni.

Nel 2011 una “campagna” di phishing cinese ha avuto come obiettivi gli account Gmail di alti ufficiali di governo e dell’esercito degli Stati Uniti e del Sud Korea, come anche di attivisti cinesi. E ancora, il servizio di condivisione file RapidShare ne è stato vittima per ottenere le credenziali di account premium, che non hanno vincoli di velocità e numero di download.

Questo solo per fare un esempio, ma l’elenco degli attacchi ad opera di cyber criminali è davvero molto lungo. Si è passati dal furto dei dati per ottenere accesso alle carte di credito degli utenti di Internet ad un vero e proprio terrorismo cibernetico ai danni delle istituzioni.

Come avviene un attacco di phishing?

Il processo standard delle metodologie di attacco può riassumersi così:

1.  il phisher spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto);
2. l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.) oppure un’offerta di denaro: in altri termini un messaggio congegnato in modo tale da attirare l’attenzione del destinatario;
3. l’e-mail nella maggior parte dei casi contiene un link che dovrebbe reindirizzare ad una pagina che contiene le istruzioni per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (fake login);
4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal criminale e quindi finiscono nelle sue mani;
5. ottenuto ciò che vuole, il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Talora, l’e-mail contiene l’invito a cogliere una nuova “opportunità di lavoro” e richiede di fornire le coordinate bancarie del proprio conto online per ricevere l’accredito di somme che vanno poi ri-trasferite all’estero tramite sistemi di trasferimento di denaro (Western Union o Money Gram), trattenendo una percentuale dell’importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il phishing, per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest’attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla sua identità e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una rogatoria e l’apertura di un procedimento presso la magistratura locale di ogni Paese interessato.

Quanti tipi di phishing esistono?

Phishing

Si tratta di un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ottenere informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

Spear phishing

In questo caso, gli attaccanti potrebbero cercare informazioni sull’obiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.

Clone phishing

È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata. Le parti modificate della mail sono volte a ingannare il ricevente. Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta, questa sì originale.

Whaling

Si tratta di un attacco verso figure di spicco di aziende o enti.

Viene mascherata una mail/ pagina web con lo scopo di ottenere delle credenziali di un manager. Il contenuto è creato su misura per l’obiettivo, è spesso scritto come un subpoena legale, un problema amministrativo o una lamentela di un cliente.

Manipolazione dei link

La maggior parte dei metodi di phishing usa degli exploit tecnici per far apparire i link nelle mail come quelli autentici. Altri trucchetti diffusi sono utilizzare URL scritte male, oppure usando sottodomini ad esempio http://www.tuabanca.it.esempio.com/, che può sembrare a prima vista un sito legittimo, ma in realtà sta puntando a un sottodominio di un altro sito (gestito dal criminale). Un’altra metodologia è registrare un dominio lavorando su lettere visivamente simili, ad esempio “a” ed “e” oppure, utilizzando lo stesso dominio, cambiano il suffisso da “.it” a “.com”. In questo caso l’autore del delitto punta alla distrazione e alla leggerezza con cui l’incauto internauta legge la mail senza soffermarsi sulle minime variazioni.

Un altro metodo usato dai truffatori è quello di inserire la @ dopo l’indirizzo reale, seguita da quello fraudolento, camuffando il secondo con un formato differente (ad esempio: IP); in questo modo l’utente truffato viene indirizzato all’indirizzo fraudolento, essendo il testo che precede la chiocciola ignorata dal browser.

Aggiramento dei filtri

I phisher hanno iniziato, col tempo, a mascherare il testo inserendolo in immagini, in questo modo i filtri anti-phishing hanno più difficoltà nell’identificazione delle minacce.

Contraffazione di un sito web

Un attaccante può anche usare vulnerabilità in un sito fidato e inserire i suoi script malevoli. Questi tipi di attacco, conosciuti come cross-site scripting sono particolarmente problematici perché tutto sembra legittimo, compresi i certificati di sicurezza. Un attacco di questo tipo è stato utilizzato nel 2006 contro PayPal.

Phishing telefonico: il vishing

Questa tipologia di truffa online qualche volta utilizza un finto numero di chiamante, in modo da dare l’apparenza di un’organizzazione fidata. In alcuni casi il phisher cerca di ottenere in maniera fraudolenta tramite WhatsApp, non dati finanziari o codici pin, ma copie di documenti d’identità che utilizzerà poi per successive truffe.

Phishing tramite SMS

Si chiama SMishing di cui ne esistono tre varianti di questa truffa:

1. messaggi sms che fingono di riguardare una spedizione di un pacco;
2. messaggi sms che dicono che ci siano stati dei problemi con i loro account bancari;
3. messaggi sms agli utenti, che contengono Malware

Come difendersi dal phishing?

La prima linea di difesa è istruire le persone a riconoscere gli attacchi e ad affrontarli.

L’Anti-Phishing Working Group, ha suggerito che le tecniche di phishing convenzionali potrebbero diventare obsolete in futuro, a favore di quelle di social engineering

Anche i browser di più comune utilizzo (Google, Edge, Firefox) ha adottato delle contromisure, come estensioni o barre degli strumenti, e come parte delle procedure di login (ad esempio il doppio fattore dio sicurezza, i captcha, oppure anche il riconoscimento facciale. Certamente è utile leggere con attenzione sia la mail ricevuta sia il mittente che il corpo del messaggio. L’attaccante provvederà ad inviare un testo dove le emozioni vengono solleticate, non a caso, infatti, la maggior parte dei messaggi fraudolenti riguarda l’accreditamento di somme oppure un grave ammanco nel conto corrente, e si tenderà ad essere precipitosi nel voler riparare il problema descritto. Per questo motivo la contromisura migliore è di non dar seguito alla mail ma aprire una nuova pagina nel browser e contattare direttamente il sito dall’url di cui si è a conoscenza o cercare direttamente dal motore di ricerca.

Casi giudiziari e prime condanne penali

Nel 2007 con sentenza del Tribunale di Milano si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing. Tale sentenza è stata confermata in Cassazione nel 2011.

Nel 2008, sempre il Tribunale di Milano, ha per la prima volta in Italia emesso una sentenza di condanna per riciclaggio di soggetti che, quali financial manager, si erano prestati alla attività di incasso e ritrasferimento di somme di denaro provento dei reati di phishing a danno dei correntisti italiani.

Queste due sentenze hanno dunque indicato quali norme possono essere applicate a questo nuovo fenomeno criminale, dal momento che all’epoca in Italia il phishing non era ancora specificatamente regolamentato, a differenza di altre legislazioni che possiedono norme penali incriminatrici ad hoc.

Solo con la modifica dell’art. 640ter c.p. (L. 119/2013) si è avuto un primo intervento normativo idoneo a ricomprendere anche tale particolare fattispecie di furto di identità.