Come riconoscere il tipo di attacco informatico quando si riceve una mail sospetta

Come riconoscere il tipo di attacco informatico quando si riceve una mail sospetta

Oggi vorremmo parlare di un argomento molto delicato e complesso, ma che cercheremo di spiegare nel modo più semplice e comprensibile per tutti affinchè nessuno possa cader vittima di queste truffe online. Vi sarà mai capitato di ricevere mail particolarmente sospette, dove vi viene informato di un accredito di soldi (o bitcoin) sul vostro conto, e che per ricevere tale accredito vi è necessario aprire un link che trovate nella mail? Ecco, se la avete ricevuto, avete avuto un potenziale attacco di Pishing.

Phishing

Tentativo di phishing attraverso spoofing

Ma cos’è il Pishing e come si riconosce? Andiamo per gradi. Innanzitutto il Pishing è una parola che deriva dal verbo inglese fishing (pescare) e dal termine phreaking (termine gergale dell’attività di manomissione dei servizi telefonici che si effettuava negli anni ’80 chiama phone freaking). Il pishing è un tipo di truffa o attacco informatico effettuata su internet per estorcere con l’inganno dati sensibili agli utenti, attraverso richieste esplicite o la creazione di pagine di login false (fake login). Molto spesso infatti queste mail contenenti attacchi di pishing richiedono di effettuare l’accesso presso un sistema bancario o un servizio di credito online (molto spesso una banca) e indirizzano ad una pagina che ha tutto l’aspetto di essere quella originale dell’istituto bancario, ma così non è. Si tratta infatti di pagine false (fake) che sono la copia di quelle originali ma con un reindirizzamento dei dati ad un server che è diverso, spesso utilizzato dall’hacker che invia l’attacco, col solo scopo di scoprire il nostro user e password. Col tempo però queste truffe sono state sempre più conosciute, anche dai meno esperti che hanno inziato ad evitare di accedere tramite mail ma utilizzavano la classica ricerca sui motori di ricerca o contattavano il loro istituto bancario per chiedere informazioni in merito alle mail ricevute. Negli ultimi anni infatti i sistemi di accesso bancario sono cambiati, spesso utilizzando token con codici generati ogni minuto oppure con l’ausilio degli smartphone collegando il conto ad una app ufficiale della banca. Dunque anche gli hacker hanno dovuto aggiornarsi e ingegnarsi per trovare nuovi escamotage per rubare dati sensibili, e sono nati nuovi tipi di pishing come il DNS-Based phishing e il DNS Spoofing.

DNS-Based phishing (pharming)

DNS Spoofing

Ad un nostro redattore pochi giorni fa è arrivata questa bizzarra email nello spam in cui veniva notificato un accredito nel bitcoin account (non posseduto, ndr) di 195.817,77€. La mail era un’unica immagine che rimandava ad uno shorturl (https://bit.ly/3lGoOLu#47097…). Decriptando lo shorturl attraverso il servizio online Unshorten.It! siamo risaliti ad un account creato su freeddns.org, un servizio che permette di assegnare al server o al PC della rete domestica un indirizzo permanente su Internet. I provider di servizi Internet infatti cambiano il nostro indirizzo IP quando navighiamo regolarmente, per evitare di essere rintracciabili sempre con lo stesso indirizzo, ma con il DNS dinamico è possibile mantenere il proprio nome di dominio puntato sull’indirizzo IP corrente del proprio server di casa o di altri dispositivi. Ed è qui che è entrato in gioco il DNS Spoofing, ossia la tecnica di manomissione del DNS per reindirizzare il dominio dell’utente (ossia il nostro computer connesso alla rete) su un dominio illegittimo. Succederà così che se cerchiamo l’indirizzo google.it potremmo effettivamente essere in quello che il DNS riconosce come google.it ma che in realtà contiene googlecracked.it (ad esempio), ossia una copia hackerata di Google. In questo modo se accediamo al link del nostro istituto di credito saremo convinti di entrare nel sito ufficiale della nostra banca ma in realtà staremo entrando in una copia creata ad arte per estorcerci i nostri dati sensibili. Il phishing dunque si è evoluto in quello che viene chiamato ora pharming. Nel pharming le richieste del sito Web di un utente vengono reindirizzate a siti web fasulli; gli aggressori (hacker) gestiscono server farm di grandi dimensioni per ospitare questi siti fraudolenti. Il termine del metodo di frode, pharming, deriva da tali farm (in inglese fattoria).

Come proteggersi dal phishing e dal pharming?

Per proteggersi da questi attacchi è sufficiente ignorare tutte le mail relative alla richiesta di accessi al proprio conto corrente o di informazioni che riguardano i nostri soldi. Ricordiamo che nessun istituto di credito informa i propri clienti delle proprie giacenze attraverso le mail in quanto tali dati sono sensibili e coperti da privacy. Inoltre il vostro istituto di credito non vi chiederà mai di accedere al vostro conto per nessuna ragione, dunque diffidate da qualsiasi richiesta simile, ma per sicurezza potete prima contattare il vostro istituto e magari segnalare questo tipo di mail. Per accedere in tutta sicurezza ai vostri siti vi consigliamo alcuni trucchi:

  • Controllare sempre le certificazioni dei siti sul browser: ogni browser ha un sistema di certificazione dei siti ufficiali, spesso registrati come “https://”. Se utilizzate Chrome ad esempio troverete l’icona di un lucchetto affianco al link del sito, ad indicare che il certificato di quel sito è originale e il sito è sicuro.
  • Evitare di aprire le mail che finiscono in spam: spesso i provider mail hanno dei sistemi di riconoscimento del pishing (ad esempio per indirizzi falsi o spoofing) dunque basta evitare di aprire le mail sospette finite nella cartella spam, ma quando vi arrivano mail sospette che non finiscono automaticamente in spam evitate di cliccare su link o reindirizzamenti;
  • Utilizzate il tasto destro per vedere l’origine dei link: quando vedete un link avete due elementi: il nome del link (ossia quello che vedete ad occhio nudo) e il vero indirizzo del link (nascosto sotto il testo). Basta cliccare con il tasto destro sul link e poi su Copia indirizzo del link. Potrete incollare poi il risultato sul browser (senza premere invio) per vedere il link originale nascosto.
  • Usare Proxy e DomainTools: Se siamo davvero curiosi di scoprire il contenuto originale del link pishing possiamo navigare in quel link in tutta sicurezza utilizzando un proxy gratuito online, come ad esempio Hidester.com, incollando il link e navigando in anonimo. Il sistema Proxy infatti utilizza IP e DNS diversi dal nostro per evitare di essere riconosciuti durante la navigazione, che avviene in incognito. Possiamo inoltre scoprire chi è il proprietario del dominio che sta effettuando l’attacco di pishing attraverso il sito Whois, che ci darà tutte le informazioni personali sul proprietario del dominio e sulla sua registrazione.
Se ti è piaciuto l'articolo condividilo