Pagina iniziale Navigazione Contenuto Contatti Sitemap
Per «phishing» si intende il furto di informazioni preziose, come i dati d’accesso di utenti Internet. Il termine è una parola inglese inventata sulla base di «password» e «fishing».

 

Ecco come vi potete proteggere dal phishing ...
memorandum: «Phishing» Informazione e prevenzione
  • Non utilizzate mai un collegamento ipertestuale ricevuto per
    e-mail o scansionato tramite codice QR per accedere a un istituto finanziario
  • Non compilate mai i moduli ricevuti via e-mail che chiedono di inserire i propri dati d’accesso
  • Durante le telefonate non comunicate mai informazioni riservate come le password
  • Inserite sempre manualmente l’indirizzo della pagina di accesso all’istituto finanziario
  • Verificate la connessione SSL
  • In caso di incertezze o dubbi rivolgetevi al vostro istituto finanziario

 

Test sul phishing

 

Per mezzo del phishing gli hacker cercano di impadronirsi in modo illecito delle password per accedere ai dati riservati di ignari utenti Internet. Può trattarsi per es. dei dati d’accesso per il sistema di e-banking o delle informazioni relative al proprio account su uno shop online. I malviventi sfruttano la buona fede delle vittime presentandosi per esempio come collaboratori di un istituto finanziario affidabile.

Gli attacchi di phishing rientrano nella categoria degli attacchi man-in-the-middle. In questo genere di attacchi la comunicazione viene deviata attraverso una stazione intermedia non autorizzata (= il malintenzionato, l’ «uomo nel mezzo») che intercetta ed eventualmente manipola lo scambio di dati. Nel caso del phishing i dati di accesso carpiti vengono utilizzati per effettuare accessi illeciti al server web reale dell’istituto finanziario.

L’immagine seguente schematizza il funzionamento di un attacco di phishing.

 

Il phishing come attacco man-in-the-middle

 

Oltre al classico phishing tramite e-mail ci sono diverse altre varianti (vishing e phishing QR), che descriviamo qui sotto.

 

Phishing classico

Procedure seguite dai malintenzionati

Nella forma classica di phishing gli hacker cercano di attirare le loro vittime su siti Internet contraffatti per mezzo di e-mail falsificate e spingerle così a inserire i propri dati d’accesso nelle loro pagine. In questo modo, i malintenzionati che gestiscono il sito Internet contraffatto possono entrare in possesso dei dati personali. Spesso i phisher lavorano a stretto contatto con gli spammer, dato che questi dispongono delle infrastrutture necessarie per inviare e-mail falsificate in grandi quantità.

L’immagine seguente mostra un’e-mail falsificata utilizzata nel 2005 per un attacco al fornitore di servizi a pagamento PayPal.

 

E-mail falsificata utilizzata nel 2005 per un attacco al fornitore di servizi a pagamento PayPal

 


Il testo dell’e-mail invita il destinatario a fare clic su un link per accedere a PayPal. Il link visualizzato corrisponde all’indirizzo vero della pagina di login di PayPal (il sito autentico). Se si fa clic sul link, tuttavia, ci si collega al sito Internet dell’hacker (sito contraffatto), riprodotto con un incredibile grado di somiglianza al sito originale. L’indirizzo del sito Internet contraffatto viene mostrato nel riquadro con lo sfondo azzurro. Microsoft Outlook mostra automaticamente questo indirizzo al passaggio del mouse sopra il link (quindi non serve fare clic).

Le tre immagini seguenti mostrano il sito Internet originale di PayPal, il sito contraffatto e le differenze tra le due pagine.

Sito reale:

Sito reale

Sito contraffatto:

Sito contraffatto

Differenze tra il sito reale e quello contraffatto:

Differenze tra il sito reale e quello contraffatto

Prevenzione

Con un comportamento consapevole durante la navigazione:

  • Non utilizzare mai un link ricevuto via e-mail per accedere al portale di un istituto finanziario. A maggior ragione, evitare di compilare moduli che sono stati inviati via e-mail e che richiedono l’inserimento dei propri dati d’accesso. Gli istituti finanziari non inviano mai e-mail di questo tipo!
  • Per essere sicuri di aprire la pagina di login di un istituto finanziario, digitare l’indirizzo manualmente nella barra degli indirizzi del browser.

Con una verifica della connessione SSL:

 

Varianti del phishing classico

Phishing con malware

Nel caso del phishing con malware la vittima non viene portata sul sito contraffatto dell’istituto finanziario per mezzo di un messaggio e-mail falsificato ma da malware (=software dannoso, per esempio sotto forma di un cavallo di Troia) che si è infiltrato nel PC dell’utente ignaro. Quando accede al sito Internet autentico, la vittima viene reindirizzata automaticamente e in modo del tutto inosservato sul sito contraffatto.

Prevenzione: occorre verificare sempre l’autenticità del sito Internet dell’istituto finanziario. Dato che oggigiorno tutti gli istituti finanziari si avvalgono di connessioni sicure basate sul protocollo SSL, bisogna verificare la correttezza della connessione SSL.

Fare clic qui per vedere come si verifica un certificato.

 

Pharming

Il pharming rientra nel gruppo degli attacchi man-in-the-middle, come il phishing classico e il phishing con malware. In questo caso il reindirizzamento verso il sito Internet contraffatto avviene però tramite la manipolazione del cosiddetto Domain Name System (DNS), un servizio Internet che svolge una funzione chiave quando si stabilisce una connessione con un server web. Il nome “pharming” deriva dal fatto che i malintenzionati che si avvalgono di questa tecnica dispongono di grandi “server farm” (ampi locali contenenti grandi quantità di computer adibiti a server) in cui sono memorizzate diverse pagine Internet contraffatte.

Prevenzione: occorre verificare sempre l’autenticità del sito Internet dell’istituto finanziario. Dato che oggigiorno tutti gli istituti finanziari si avvalgono di connessioni sicure basate sul protocollo SSL, bisogna verificare la correttezza della connessione SSL.

Fare clic qui per vedere come si verifica un certificato.

Spear-phishing

Lo spear-phishing rappresenta un tentativo di truffa personalizzato perpetrato via e-mail. Diversamente dal phishing classico, con il quale si inviano grandi quantità di e-mail a un numero enorme e indiscriminato di destinatari, lo spear-phishing seleziona i destinatari in modo mirato e invia messaggi personalizzati. Solitamente, quindi, gli attacchi sono diretti a una specifica persona od organizzazione allo scopo, tra l’altro, di ottenere accesso non autorizzato a dati riservati. Il mittente si spaccia per una persona affidabile, spesso un conoscente, collaboratore o partner commerciale del destinatario. Il contenuto delle e-mail ha un aspetto credibile e autentico e quindi spesso non viene riconosciuto dai filtri antispam.

Procedure seguite dai malintenzionati

Ecco come si svolge un tipico attacco di spear-phishing:

  • L’hacker effettua una ricerca su Internet e sul sito Internet di un’azienda per trovare i recapiti dei singoli collaboratori.
  • Su social network come Facebook e forum specialistici, studia i profili online dei collaboratori che ora conosce per nome al fine di raccogliere informazioni personali sulle loro attività e i loro contatti e quindi trovare i necessari spunti per sferrare un attacco su misura.
  • Utilizzando le informazioni a disposizione, scrive un messaggio personalizzato e dall’aspetto autentico a uno dei collaboratori menzionati nella pagina dei contatti. In questo messaggio, per esempio, si firma come l’amministratore di rete, il responsabile delle Risorse umane o un partner commerciale e formula una richiesta che appare plausibile o piazza un’esca allettante. Per esempio, il destinatario dell’e-mail viene invitato a seguire un link che porta a una pagina speciale per effettuare il login con nome utente e password oppure ad aprire un allegato Office o PDF.
  • È sufficiente che un solo collaboratore cada nella trappola dello spear-phishing affinché in futuro l’hacker possa utilizzarne l’identità o infettarne il computer per accedere ai dati personali e aziendali, e da lì compromettere e spiare l’attività dei computer degli altri collaboratori.

Prevenzione

  • La migliore forma di protezione consiste sempre nel sapere come riconoscere un attacco di spear-phishing tipico. Quando un collaboratore o superiore richiede di trasmettere informazioni riservate, un partner commerciale formula una richiesta insolita o si ricevono link che portano su URL sconosciuti occorre agire con estrema cautela. Lo stesso vale per gli allegati apparentemente interessanti, con nomi espliciti come «salari_2018.xls» o «Comunicatostampa_Riduzionedellorganico.pdf».
  • In caso di incertezza quando si riceve un messaggio di posta elettronica, è consigliabile contattare il mittente usando un canale diverso, per es. il telefono. Se si tratta del proprio istituto finanziario, occorre contattarlo usando esclusivamente i numeri di telefono ufficiali, riportati per es. sugli estratti conto.
  • Chi è presente sui social network dovrebbe evitare di pubblicare troppe informazioni. Un livello di attenzione particolare è richiesto dai post che si pubblicano su account accessibili al pubblico come Facebook, Twitter o Instagram. Ulteriori informazioni al riguardo sono disponibili qui.
  • Utilizzare sempre un programma antivirus aggiornato e assicurarsi di installare il più presto possibile gli aggiornamenti per il sistema operativo, il browser, i programmi e le applicazioni.

Vishing (Voice-Phishing o Phone-Phishing)

Il vishing è la variante orale o telefonica del phishing. Il termine «vishing» sta a significare «Voice-Phishing» o «Phishing via VoIP» e indica una raccolta sistematica di dati tramite telefono. Come nel phishing classico gli utenti vengono indotti mediante storie ben congegnate a condividere informazioni riservate quali i dati d’accesso al sistema di e-banking. Al telefono i malintenzionati possono sia gettare le basi per carpire i dati sia raccogliere i dati stessi. Il vishing rappresenta quindi un tipico attacco della categoria del social engineering.

Procedure seguite dai malintenzionati

Per ora si conoscono queste procedure che vengono seguite dai malintenzionati:

  • I malintenzionati compongono dei numeri di telefono in modo automatizzato. Se una vittima accetta la chiamata, viene riprodotto un messaggio vocale con il quale le viene fatto pensare che la telefonata provenga da un istituto affidabile, ad esempio un istituto finanziario. Durante la telefonata le vittime vengono invitate a comunicare informazioni come i numeri di conto, i PIN e i TAN.
    Con questa procedura i truffatori sfruttano, tra gli altri, i costi ridotti della telefonia via Internet.
  • Oltre alle telefonate automatizzate con messaggi registrati esiste anche la variante personale, nella quale i destinatari vengono chiamati direttamente dai malintenzionati. Come con la chiamata automatizzata, viene fatto pensare alla vittima che la telefonata provenga da un istituto affidabile, ad esempio un istituto finanziario. Con un pretesto quale il passaggio a un maggior livello di sicurezza o problemi con il conto, le vittime vengono indotte a rivelare informazioni segrete quali le password, i PIN o i TAN.
    Le telefonate possono presentarsi in modo molto professionale e spesso essere tenute persino in svizzero-tedesco.
  • In un’altra variante dell’attacco i truffatori inviano delle e-mail che con un pretesto invitano il destinatario a comporre un certo numero di telefono. Per esempio, le vittime ricevono un messaggio contraffatto che riporta come mittente l’istituto finanziario e comunica una situazione di abuso della carta di credito. Per evitare che la situazione si aggravi è opportuno che il destinatario si metta subito in contatto. Se la vittima asseconda la richiesta e compone il numero telefonico viene invitata ad autenticarsi o da un messaggio registrato o direttamente dai malintenzionati: per es. comunicando a voce o digitando sulla tastiera il numero della carta di credito a rischio.
    Questa forma di attacco è particolarmente pericolosa perché sfrutta un consiglio formulato da diversi istituti finanziari, cioè quello di non rispondere mai alle e-mail ma di mettersi in contatto telefonicamente.

Prevenzione

  • Non comunicate mai a un’altra persona dati personali come le password! Interrompete subito le telefonate in cui vi chiedono questi dati.
  • Per contattare il vostro istituto finanziario utilizzate esclusivamente i numeri di telefono ufficiali, quelli riportati per es. sugli estratti conto.

Phishing QR

I codici QR (codici Quick Response) si trovano spesso su prodotti, poster pubblicitari o cinematografici, cataloghi stampati o giornali/riviste. Sono utili per rimandare gli utenti a ulteriori fonti di informazioni in Internet. Poiché il contenuto dei codici QR non è immediatamente decodificabile da un essere umano, i codici vanno prima di tutto scansionati usando per es. lo smartphone. Prima di leggere un codice QR l’utente non può quindi in genere riconoscere il tipo di informazioni che sono state codificate. È un fatto che i criminali sfruttano a proprio vantaggio.

Procedure seguite dai malintenzionati

I malintenzionati agiscono solitamente in questo modo: incollano i propri codici QR sopra ad altri codici ubicati in luoghi molto frequentati conducendo così degli ingenui utenti a un indirizzo URL sbagliato. Questo permette loro, soprattutto su dispositivi mobili, di avviare immediatamente dei download, di eseguire degli script o di aprire una pagina contraffatta per l’accesso a un istituto finanziario. Soprattutto sui dispositivi mobili è difficile per molti utenti distinguere fra un indirizzo URL autentico e uno contraffatto. Inoltre, a seconda del sistema operativo mobile, è difficile o impossibile avere delle informazioni sui download che vengono avviati.

Prevenzione

  • Prima di scansionare un codice QR verificate che non sia stato coperto da un codice contraffatto.
  • Se possibile, utilizzate uno scanner di codici QR (un’app) che visualizzi innanzitutto i contenuti decodificati e chieda conferma prima di aprire un certo link o eseguire una certa azione. Se possibile controllate che il link apra l’indirizzo desiderato.
  • Non utilizzate mai un codice QR per accedere a un istituto finanziario.

 

Per inviarvi e-mail di phishing, i truffatori devono conoscere il vostro indirizzo e-mail. Per ridurre questo rischio e in generale l’afflusso dello spam nella vostra posta in arrivo, è utile seguire alcune semplici regole che potete trovare nel nostro promemoria sul tema Mail spam e phishing.

 

antiphishing.ch Banner

 

Aargauische KantonalbankBaloise Bank SoBaBanca del Ceresio SABanca del SempioneBancaStatoBank CoopBank LinthBanque CIC (Suisse)Basellandschaftliche KantonalbankBasler KantonalbankFreiburger KantonalbankBanque Cantonale du JuraBanque Cantonale NeuchâteloiseBanque Cantonale VaudoiseBerner KantonalbankBanca Popolare di Sondrio (SUISSE)cash zweiplusClientisCornèr Banca SAGlarner KantonalbankGraubündner KantonalbankHypothekarbank LenzburgJulius BaerLiechtensteinische Landesbank AGLuzerner KantonalbankMigros BankNidwaldner KantonalbankObwaldner KantonalbankPiguet GallandPostFinanceSchaffhauser KantonalbankSchwyzer KantonalbankUBSUrner KantonalbankValiant Bank AGVontobel AGVP BankWalliser KantonalbankWIR Bank GenossenschaftZuger KantonalbankZürcher Kantonalbank