mercoledì 10 maggio 2017

Dai leak politici al furto di carte di credito: cresce il phishing, anche in Italia

lastampa.it
carola frediani

Gli utenti italiani di Poste, PayPal e Apple tra i più bersagliati, mentre nel nostro Paese aumentano i siti dei truffatori. Le ultime novità sui trucchi e le tecniche usate



Dal 2012 in poi i siti di phishing a danno di italiani - ovvero quei siti finti che impersonano un’azienda o un ente allo scopo di rubare dati e credenziali agli utenti online - sono aumentati sempre, tranne una breve flessione nel 2015, per risalire l’anno scorso a quota 9601. A essere più colpiti sono stati i clienti di Poste italiane, PayPal, CartaSì, Apple. Ma non mancano quelli di Alitalia, Tim, Hera. Operatori telefonici, utility dell’energia, servizi di webmail, siti di shopping come MediaWorld. Pochi scampano alla pesca a strascico dei truffatori, secondo i dati e gli esempi diffusi da Andrea Draghetti - ricercatore dell’azienda specializzata nel contrasto al phishing D3lab - durante Hackinbo, partecipatissima conferenza che lo scorso weekend a Bologna ha raccolto un’ampia fetta della comunità italiana di sicurezza informatica. 



Alla base di molti leak
Stiamo parlando del phishing, la pratica di inviare una email ingannatrice - che sembra arrivare da un ente, un’azienda o un servizio web - con lo scopo di far rivelare al destinatario le proprie credenziali per poi violare mail, profili social, rubare dati di carte di credito o altri tipi di informazioni riservate. 
Per alcuni italiani il termine evoca infezioni alle vie urinarie - dice un sondaggio del sito Today - più che una truffa. Eppure di questo si tratta, poiché utilizza soprattutto le leve dell’ingegneria sociale, oltre che alcuni strumenti tecnologici. Per questo motivo, per alcuni puristi, il phishing non sarebbe propriamente hacking. Eppure resta alla base di moltissime fughe di dati, anche illustri, come le email di John Podesta, il presidente della campagna di Hillary Clinton.

E probabilmente (ma mancano ancora i dettagli e le conferme) anche dietro alla violazione delle caselle di posta di alcuni membri della campagna di Emmanuel Macron (i cosiddetti MacronLeaks, che però si sono sgonfiati in fretta). Come segnalato da un report TrendMicro, nel marzo 2017 hacker riconducibili al gruppo Apt28 registravano il dominio Onedrive-en-marche[.]fr, che puntava a fare attività di phishing ai danni dello staff del candidato presidenziale.

Del resto, il 43 per cento di attacchi che hanno violato dati riservati avrebbero impiegato in qualche modo del phishing, dice un recente report del colosso tlc americano Verizon. Con un tasso di successo del 7,3 per cento. Sembra poco, ma diventa tanto se pensato all’interno di campagne massicce e coordinate.

Una tecnica in crescita
“Dai a un uomo uno zero-day (un attacco che sfrutta una vulnerabilità ancora sconosciuta, ndr) e avrà un accesso per un giorno. Insegnagli a fare phishing e avrà un accesso per tutta la vita”, recita un tweet di The Grugq, noto venditore di attacchi informatici.
E infatti il fenomeno è in crescita a livello globale dal 2012, salvo rallentare tra 2015 e 2016, dicono i dati di un gruppo di lavoro internazionale, l’Anti-Phishing Working Group. Attestandosi pur sempre oltre 1 milione e 200mila siti di phishing. In Italia, come abbiamo visto, stessa crescita, breve rallentamento tra 2014 e 2015, e ripartenza.



Esempi di truffe
I clienti di Poste sono i più bersagliati, anche via sms, non solo email (pratica, quella del phishing via sms, che ha un suo nome ancora più ostico: “smishing”). Si chiede con una scusa di confermare le proprie credenziali, ma il link porta a un sito clone, su un dominio simile a quello originale ma con qualche lettera diversa, con uno scarto che a volte è quasi impercettibile. “Ad esempio in un caso il dominio era p0stepay.eu, con lo zero al posto della o: se lo vedi in maiuscolo su uno smartphone non ti accorgi quasi della differenza”, prosegue Draghetti. In un caso i truffatori, dopo aver rubato i soldi agli utenti, li usavano per acquistare voucher Inps e poi riscuotevano i buoni riversandoli su Inps card. Stiamo parlando di un’indagine che lo scorso marzo ha portato alla denuncia di ben 55 persone, tra Lazio e Campania.

Secondo l’accusa, il gruppo - accusato di associazione a delinquere finalizzata alla frode informatica e al riciclaggio - sarebbe entrato nei conti correnti (o avrebbe acquisito i dati delle carte di credito ricaricabili) di circa duecento persone in tutta Italia sottraendo 280mila euro, e avrebbe poi riciclato i soldi nei buoni emessi dall’Inps, intestandoli a prestanome o aziende inconsapevoli. Poi li riscattavano in ricevitoria o attraverso le Inps card. Un caso che mostra come non manchino autori di phishing italiani. “Anche se noi abbiamo rilevato tanta attività di origine araba a livello internazionale; e rumena sul nostro Paese”, commenta Draghetti. Almeno a giudicare dai commenti lasciati nel codice delle pagine di phishing. 

In pole position tra i più presi di mira ci sono anche gli utenti Apple. L’obiettivo, in molti casi, sono però i dati della carta. “I siti che li bersagliano crescono dal 2015: in genere viene inviata una mail in cui si dice che il tuo ID Apple è stato sospeso per problemi di pagamento e si chiede di aggiornare i dati della carta di credito”, commenta Draghetti. L’utente crede di inserirli sul sito dell’azienda di Cupertino, invece li sta cedendo ai truffatori.

Finti rimborsi
Tra i siti emergenti anche quelli che colpiscono i clienti di Alitalia. In questo caso l’esca è un finto rimborso. “Nei primi mesi del 2017 abbiamo visto 25 siti diversi che ospitavano kit di phishing ai danni degli utenti della compagnia aerea”, spiega Draghetti. “Nel 2016 ti proponevano un falso rimborso di 80 euro se compilavi un questionario (copiato da uno vero) e poi mettevi i dati della tua carta di credito. Ora, nelle ultime mail, ti offrono un rimborso di 100 euro circa, poi ti invitano a cliccare su un link e chiedono i tuoi dati”. 

Ora che Alitalia è particolarmente in difficoltà i tentativi di truffa potrebbero aumentare. Perché chi fa phishing e truffe online ha spesso un comportamento opportunistico, cercando di inserirsi in momenti di crisi di un’azienda. Ne è un esempio il blackout di Whatsapp di una settimana fa. In concomitanza con le ore in cui il servizio di messaggistica non era disponibile, c’è chi si è visto arrivare una mail in cui gli veniva chiesto di pagare un abbonamento a Whatsapp (facendo credere all’utente ignaro che il mancato accesso fosse dovuto a un cambio di policy dell’azienda o alla necessità di rinnovare un servizio inesistente, e non a un problema tecnico).

Una mail di questo tipo è arrivata a Simone Margaritelli, che per sfortuna del phisher di turno è un ricercatore di sicurezza informatica di fama internazionale. Certo, mail del genere circolano a bassa intensità in continuazione. Ma è probabile che abbiano dei picchi in alcuni momenti considerati più favorevoli. “La coincidenza col disservizio di Whatsapp è notevole”, commenta Margaritelli.


(La mail ricevuta: notare gli errori ortografici, altro segnale di allerta in questi casi – fonte: @evilsocket)

Phishing as a service
Come evidenziato in precedenti reportage su La Stampa, nel cybercrimine si stanno diffondendo modelli di business basati sulla rivendita di servizi ad altri. Anche nel phishing comincia a esserci questa modalità. I siti che affittano strumenti e kit di questo tipo stanno comodamente sul web in chiaro e tendono a essere specializzati. Ad esempio, uno di questi, segnalato da Draghetti e visitato da La Stampa, si occupa solo di phishing su profili di social media, Facebook in particolare. Ti iscrivi, configuri il pannello, invii le email-esca ai destinatari con il link fornito dal servizio di phishing. E sempre sul portale gestisci la raccolta di credenziali dalle tue vittime.

«Quello è un caso interessante perché i truffatori usano una applicazione Facebook per rubare i dati. Una tecnica particolarmente insidiosa, perché gli utenti sono rinviati al sito del social network», commenta Draghetti. Per altro, proprio su Facebook non mancano gruppi (chiusi ma anche aperti, come ha avuto modo di vedere La Stampa) dove truffatori e phisher di Paesi diversi si scambiano informazioni e favori. Alla luce del sole, anche se nell’oscurità di un linguaggio tecnico scarnificato e storpiato, che risulta incomprensibile ai non addetti ai lavori. 


(La richiesta di lettere finte da mandare a utenti PayPal da parte di un utente in un gruppo Facebook)

I consigli per gli utenti sono sempre gli stessi: fare attenzione alle mail che chiedono di reinserire le nostre credenziali; controllare bene gli indirizzi del mittente e l’url del sito; massima attenzione alle offerte imperdibili via sms. Ma anche alle inserzioni a pagamento sui motori di ricerca.