Qualche buon esempio di truffa phishing.

La maggior parte delle volte che ricevo una mail truffa mi metto a ridere; ormai ho l’occhio allenato e le riconosco prima ancora di aprirle. Ma non per tutti è così e per questo ho deciso di preparare solo per voi, cari lettori di BananAffair, una piccola selezione delle migliori mail-trappola che mi sono arrivate.

Così vedremo come riconoscere l’inganno, evitare la beffa e farci una risata sopra.

Prima di tutto ridefiniamo il termine phishing: come abbiamo già detto negli articoli “Attacco a Google e Bing. Occhio all’amo!” e “Web 2.0 occhio ai ladri di informazioni!“, si definisce phishing il tentativo illegale di venire in possesso di dati d’accesso a differenti profili (mail, conti correnti, social network). Il metodo è semplice ma efficace: il truffatore invita con promesse o avvisi l’ignaro utente ad effetturare l’accesso, cioè l’inserimento di user e password, tramite il link fornito nel messaggio. Il link in realtà porta ad un sito contraffatto, perfetta copia di quello originale. Il form una volta riempito permette al truffatore di raccogliere le informazioni desiderate ed utilizzarle come peggio crede.

Analizzando il fenomeno si nota la presenza di molti elementi ricorrenti. Vediamoli insieme e utiliziamoli per riconoscere la truffa.

1. IL CONTATTO: il messaggio solitamente arriva sotto forma di mail nella vostra casella personale. Questo porta a pensare che il mittente sia davvero intenzionato a comunicare con voi.  Non vi fate ingannare! Ci sono molte tecniche per venire in possesso della vostra mail. Una di queste è l’harvesting cioè il rastrellamento sistematico di pagine web alla ricerca di informazioni lasciate in chiaro. Facebook per bloccare questo problema ha reso immagini gli indirizzi mail nelle schede degli utenti (infatti non potete copiarli). Altra tecnica è quella di infiltrarsi in una casella di mail o profilo e copiare tutti le mail dei contatti presenti, come qualche tempo fa è successo con lo storico “Scopri chi ti ha cancellato da MSN“. Bisogna anche considerare che i malfattori hanno la capacità di contraffare il mittente e per questo a prima vista le mail sembrano vere.

2. LA PROMESSA: ogni messaggio di phishing che si rispetti deve promettere qualcosa di allettante; può essere un premio oppure la soluzione a un problema che viene portato alla nostra attenzione. In pratica si deve mettere l’esca per coprire l’amo. Le promesse sono forse la parte migliore. Si inventano di tutto, ai limiti del ridicolo.

Ecco esempi di promesse prese dal mio archivio personale (con il nome che mi veniva al momento):

• La comunicazione importante. La banca solitamente ha un messaggio importante stranamente ospitato sui loro server. L’oggetto della mail era “Hai 1 nuovo messaggio sicuro“. Ah beh.

• Il bonus fedeltà. La banca decide di regalare all’utente un tot di soldi per la sua fedeltà. Una banche che regala dei soldi? Siamo seri!

• Il pagamento inaspettato. In questo caso il messaggio comunica l’avvenuto accredito di soldi sul conto corrente per un oggetto venduto su E-Bay. Machiavellica davvero.

• Il problema ad personam. Senza molte spiegazioni viene comunicato che c’è un problema con il TUO conto e per questo sei invitato ad entrare nell’area clienti al fine di risolverlo.

• Le scadenze obbligate. La banca vi comunica che il vostro conto sta per scadere o è già scaduto (si avete capito bene); per evitare la sua chiusura bisogna effettuare il log-in.

• Il regalo “perchè sei troppo fico”.  La banca vuole premiarti, non con dei vili soldi, ma con un oggetto, un gadget al quale non potrai resistere. Perchè non un Iphone? Notare che si può anche scegliere se 16 o 32 GB.

3. LE GARANZIE: ovviamente il truffatore sa che l’utente è un minimo scaltro e quindi cerca di fugare ogni dubbio del malcapitato cercando di utilizzare, spesso senza riuscirci, un linguaggio forbito che possa rendere credibile la comunicazione. Ma non si ferma, ovviamente, qui. Ogni mail di phishing viene imbastita con loghi e immagini rubate alle aziende proprietarie e riprodotti la maggior parte delle volte in bassa qualità o con scarsi risultati. Ad esempio riguardate il contenuto della finta mail di CartaSì: il grassetto stona terribilmente con il contenuto e il mittente. Ciò nonostante non si sono preoccupati di mettere, e questa è davvero la beffa, il claim della campagna pubblicitaria di CartaSì contro la diffidenza verso le carte di credito. Ve la ripropongo qui ritagliata dal fondo della stessa mail prima inserita.

Ora riguardate la comunicazione del finto accredito di Ebay. Il layout è proprio quello del famoso market place. A prima vista può ingannare, ma, se si guarda meglio, la qualità del ritaglio delle  frasi è pessimo e si vedono numerose sbavature. Infatti tutta la mail è un’immagine linkata alla pagina nella quale inserire i propri dati.

La ricerca di una forma che dia garanzie e faccia sentire al sicuro l’utente viene ricercata anche nel passo successivo cioè sul sito al quale il link porta. Questo sito deve essere costruito al meglio riproponendo la pagina iniziale o di log-in che l’utente si aspetta. Queste facciate sono spesso immagini ritagliate, senza link attivi; l’unico elemento funzionante è il form per immetere i propri  dati di accesso.

Per farvi capire come è fatta una pagina del genere ne abbiamo visitata una seguendo il link di una delle mail delle Poste Italiane.

Appena abbiamo cercato di raggiungere l’indirizzo il nostro browser Firefox ci ha fermati. Ha infatti al suo interno un sistema di controllo degli indirizzi pericolosi basato su un database condiviso con Google. Anche Microsoft Interent Explorer ha la stessa funziona ma basata su un database Microsoft.

L’adozione e l’aggiornamento del proprio browser sono da considerare come un’altra ottima precauzione per non cadere in trappola. Il messaggio a schermo, per intenderci, era il seguente.

Noi per farvi vedere la pagina abbiamo scelto la voce in piccolo “Ignora questo avviso” cosa che voi non dovreste mai fare.

Ecco cosa ci siamo trovati di fronte:

Il sito è fatto molto bene ma è comunque un fake e tutti i pulsanti dei menù sono disabilitati. Non è comunque difficile pensare che molte persone ci siano cascate.

Per concludere  penso sia il caso di lasciarvi con qualche consiglio:

1. Importantissimo! Nessuna banca che io conosca vi linka al proprio sito tramite una mail. Sanno che conoscete il loro sito e il loro indirizzo. Se trovate dei link SOSPETTATE!
2. Se ricevete una mail sospetta studiatela e non vi fidate troppo, al massimo contattate la banca o l’istituzione che risulta essere il mittente.
3. Leggete attentamente il corpo del messaggio. Spesso l’italiano è sgangherato e la formattazione non è credibile.
4. Come appena detto, aggiornate sempre il vostro browser e aiutate le organizzazioni a bloccare questi siti.
5. Se siete certi che una mail sia malevola mettetela nello spam. Questo avviserà indirettamente l’azienda che gestisce le vostre mail che metterà quell’indirizzo nella blacklist.
6. Cercate di tenervi informati. La sicurezza delle proprie informazioni è davvero un argomento da tenere in seria considerazione. Informatevi presso CLUSIT o all’interessante e sempre aggiornato Anti-Phishing Italia.

Ci sono 3 commenti pubblicati direttamente su BananAffair

1. BananAffair.it » E il phishing continua… - 23 novembre 2009

   [...] a metterla nello spam: tra l’altro il filtro di Firefox mostrato nell’articolo “Qualche buon esempio di truffa mail phishing” non era attivo forse perchè il sito contraffatto non è ancora stato [...]
2. Facebook sotto attacco! Attenti alla ragazza e ai tag! | BananAffair.it - 18 aprile 2011

   [...] Manco a dirlo il link è dannoso! QUINDI EVITATE DI CLICCARCI SOPRA! Ricordatevi che il virus, o malware o trojan, non può attaccarvi se non gli date la possibilità di farlo. Questo significa solo conoscere a grandi linee come riconoscere la minaccia. [...]
3. Utente Play Station Network? Ecco tre utili consigli. | BananAffair.it - 29 aprile 2011

   [...] stessa Sony ha consigliato di diffidare da proposte o contatti telefonici o telematici (le mitiche mail di phishing). Dunque sospettate di tutto ciò che insinua un ragionevole dubbio e cercate riprove e garanzie. [...]

Lascia un commento

Nome (Richiesto)

E-Mail (Richiesta)

Sito Web

Love for Tech