Phishing, una truffa on-line sempre più pericolosa e sofisticata, impara a riconoscerla per non dover mai cadere nella trappola dei phisher truffatori.
Il phishing potremmo definirla l’arte di cercare di “fregarvi” i vostri dati d’accesso a un qualsiasi servizio, meglio se bancario, postale o di qualche carta di credito, così da svuotarvi il conto corrente, ma vanno bene anche social network, caselle di posta elettronica o giochi online. L’importante è rimediare dei contanti, se non ci si può arrivare direttamente vanno bene anche dati personali che possono essere rivenduti o utilizzati per scopi poco leciti.
Parliamoci chiaro, nessun ente, serio, vi chiederà mai di confermare la vostra login e password con una mail, quindi la destinazione di questi messaggi non può essere che quella del cestino della posta. Il problema è che alcuni messaggi di posta, e i siti a loro collegati, sono ormai fatti piuttosto bene e possono trarre in inganno l’utente poco esperto che si ritrova così con il conto corrente svuotato o l’account di Facebook perso per sempre.
I phisher, cioè i truffatori che vogliono rubarvi i vostri dati riservati, vi comunicano che la vostra banca deve aggiornare gli archivi dei clienti (quindi dovete reinserire i vostri dati personali, fanno leva sull’emergenza (qualcuno ha tentato di accedere al vostro conto corrente) e sul pericolo di blocchi al proprio conto corrente per la vostra “sicurezza”, cercano di mettere pressione al destinatario della mail, in modo da farlo cadere in trappola e da fargli inserire utenza e password in pagine Web fasulle che sono (spesso) un clone, quasi perfetto, del sito originale.
A volte le persone mi hanno chiesto come mai ricevevano questo tipo di messaggi su indirizzi email appena aperti e mai forniti a nessuno, è abbastanza semplice, i truffatori si limitano a mandare migliaia di email a tutti gli indirizzi possibili e, prima o poi, sperano di trovare qualcuno che utilizzi veramente quella banca, o carta di credito, e di riuscire a farlo abboccare alla truffa.
Update: In fondo all'articolo ho voluto aggiungere un caso molto recente (Luglio 2017) di phishing "molto esigente", ma anche, definiamolo, divertente per la quantità di dati che richiedeva e sperava di ottenere. Per il resto i consigli, e le indicazioni, fornite rimangono sempre validi.
Come riconoscere una mail di phishing
Ci sono molte mail che sono praticamente perfette, ma ci sono tanti altri messaggi con un linguaggio molto incerto, non indirizzati al vostro nome, ma al vostro indirizzo email o privi di destinatario, messaggi senza testo ma con una immagine cliccabile che vi rimanda al sito di phishing, per cercare di aggirare i controlli anti-phishing dei provider di posta. Tutti questi, e non solo, sono sintomi di una mail truffaldina.
Se proprio vi viene il dubbio che la mail possa essere autentica, non cliccate mai sul collegamento presente nella mail, ma andate nel sito reale del servizio che vi potrebbe aver inviato il messaggio e controllate l’eventuale veridicità delle informazioni ricevute solo da quell’indirizzo.
Non avete seguito nessuno di questi consigli e avete cliccato sul link presente nel messaggio di posta, ormai che siete entrati verificate di essere in un sito sicuro Https (quelli con il lucchetto) e controllate anche l’indirizzo Web del sito.
Gli indirizzi dei siti di Phishing sono somiglianti a quello vero contenendo l’indirizzo reale (per convincere l’utente inesperto), seguito da numerosi altri caratteri, utili per creare confusione e per nascondere il fatto che il dominio non sia un .it ma si trovi in qualche paese asiatico o dell’Est Europa.
Altro sintomo di mail phishing è la presenza di allegati, il più delle volte file Html che hanno la grafica del sito ufficiale del servizio, da compilare per inserire utenza e password. Non si possono neanche escludere altri tipi di allegati, molto più malevoli, utilizzati per infettare il vostro computer.
Anche il mittente della mail è importante, se mi scrivono le poste italiane e poi trovo un misterioso dsadsa@google.com, qualcosa non torna. Se si tratta di un indirizzo di un vostro amico, o cliente, ma il messaggio vi sembra sospetto, chiamatelo e verificate con lui, magari il suo computer è stato infettato da un virus e viene utilizzato per mandare mail pericolose.
Controllate l’oggetto della mail, “Inaugurazione dell’Apple Store” non ha molto a che vedere con il fatto di volermi bloccare il mio conto Apple (che, tra le altre cose, non ho nemmeno).
Altra categoria di mail Phishing sono quelle in cui il testo è stato sostituito da una immagine, così da aggirare i controlli dei vari gestori di posta, completamente cliccabile che rimanda al sito dei truffatori.
Altra prerogativa di questi siti di phishing è di avere vita molto breve, proprio per sfuggire ai controlli e non entrare in qualche blacklist, possono arrivare messaggi privi di immagini, o con l’indirizzo non più funzionante.
Tra le mail phishing da cestinare immediatamente sono quelle riguardanti servizi esteri dove difficilmente dovreste avere un conto aperto.
Per concludere gli esempi di mail phishing una piccola raccolta di esempi legati a CartaBcc, due indirizzate alla mia email, due al “Gentile cliente”, una al “Gentile titolare” e una al “Gentile”. Almeno i nostri “gentili” phisher sono educati, ma non sono in grado di fornire nessun riferimento diretto, e reale, alla mia persona o al mio conto corrente.
I siti fasulli
Questo è l’allegato scarica.html che abbiamo visto in una delle foto precedenti, la grafica ricorda quella del sito ufficiale delle Poste Italiane, anche tutti gli altri link presenti rimandano al sito originale, se però andiamo a salvare utenza e password scopriamo che non si tratta proprio del sito delle poste.
Altro sito fasullo, privo di Https e relativo lucchetto, inizia per poste.it ma è seguito da un imprecisato numero di caratteri.
Per fare un esempio, questo è l’indirizzo di uno dei tanti siti fasulli aperto in una campagna, piuttosto insistente, di phishing CartaBcc cartabcc.it.jxbihelo4xrwqsgjpseyu6gfmyoaz08i.x0qud207prtv0zfpr0dc6khiymixmgw0.fduj6ugkbz6aybqgak9vugdjsm75tt5z.wo9rje2kexlsorypcxbmtfwbis72m2r9.gqppvhp61hkiwzkj2xdwjfecbwetdztt.eeatuwksgtow5ynrsj2xetpayidb8nub.huahin-vikings.com/wpps/login.php
. Ogni tre o quattro giorni arrivava una mail nuova con indirizzi sempre diversi.
Anche se il link mostrato nella mail vi sembra autentico, una volta cliccato potrebbe rimandarvi verso qualche altro indirizzo, passateci sopra con il mouse così da provare a visualizzare un eventuale indirizzo nascosto.
Potete anche provare a controllare se l’indirizzo del sito è segnalato come sicuro, o pericoloso, ma se si tratta di un sito Web nuovo potrebbe essere ancora sconosciuto alla maggior parte dei servizi di analisi.
Mettendo a confronto un sito fasullo con quello originale, come vedete, la differenza è minima se non fate caso all’indirizzo presente nella barra.
Sito originale con Https e lucchetto per garantire un indirizzo sicuro.
Una mail che mi era arrivata di recente, mi rimandava a questo sito fake (non molto curato dai phisher), attivo da due giorni, dove si notavano una curiosa serie di nomi italiani.
Provando a navigare tra le varie cartelle del sito, cosa che non mi riesce quasi mai per quello ho definito il sito non molto curato, trovo un file di testo uzere.txt che conteneva moltissime utenze e password terribilmente credibili (non le ho provate per non incorrere in qualche guaio giudiziario). Questi phisher, in due giorni di “lavoro”, potevano così accedere a svariati account a causa dell’ingenuità di troppe persone.
Come detto, si preferisce puntare a servizi bancari, postali o di carte di credito, ma non si disdegna qualsiasi altra cosa che possa portare a dati e informazioni riservate.
Phishing "molto esigente" (Luglio 2017)
Per concludere un caso di phishing piuttosto recente e decisamente esigente in quanto a pretesa di dati da “rubare”. Si comincia con la solita mail indirizzata a un generico cliente PayPal e con delle motivazioni piuttosto confuse.
Clicchiamo sul link e si arriva in un sito Https, con il lucchetto verde, quindi all’apparenza più sicuro di molti altri siti che ho visto in passato. Eseguo l’accesso inserendo dei dati casuali.
E mi avvisa di una attività non autorizzata, sempre la stessa anche se accedevo più volte al sito con login diverse.
E parte la richiesta di dati, anche qui inserisco valori a caso. Tutto molto curato ed esigente, però un minimo di controllo su quello che inserivo lo potevano anche mettere.
Si procede ancora con altre informazioni richieste.
E dopo aver svuotato la carta Paypal, vuoi non provare a richiedere le credenziali per accedere al conto corrente della banca.
Per concludere vuole anche la fotocopia di un documento personale così da avere altri vostri dati personali.
Abbiamo finito e l’account di “Chuck Norris” è finalmente ripristinato. Peccato che il conto corrente in banca e il credito della carta Paypal siano stati svuotati visto la quantità di dati personali che gli sono stati forniti.
Conclusioni
Come evitare il phishing?
Prima o poi quasi tutte le persone hanno ricevuto un messaggio di questo tipo nella loro casella di posta, o in qualche social network, a cui partecipano. La prima difesa contro questi messaggi truffaldini parte proprio da noi non aprendoli, o non cliccando su nessun link presente al loro interno, non parliamo nemmeno di fornire dati riservati compilando qualche questionario nelle pagine fasulle o allegati ai messaggi di posta.
Come protezioni secondarie possiamo avere un buon antivirus, in grado di riconoscere e bloccare siti sospetti e malevoli, un browser aggiornato in grado di impedire l’accesso a siti pericolosi, se non vi basta ancora qualche estensione come BitDefender TrafficLight in grado di riconoscere ulteriori siti pericolosi. Se utilizzate un programma di posta elettronica potete provare ad aggiungervi un programma anti-spam per tenere lontani dal vostro computer molte mail potenzialmente pericolose.
Se pensate di aver inserito i vostri dati in qualche pagina fasulla, verificate subito il vostro account online e, se non lo hanno già fatto i truffatori (per chiudervi fuori dal vostro servizio) cambiate la password d’accesso e, in caso, sporgete denuncia all’autorità giudiziaria, e al fornitore del servizio interessato, per la possibile truffa subita.
Potete consultare anche questo studio, realizzato da Google, per saperne di più sul fenomeno phishing.
Se vi volete esercitare a riconoscere un messaggio phishing, potete giocare con i test McAfee, Sonicwall e OpenDNS.