Il phishing è un tipo di truffa informatica in cui un attaccante, tramite tecniche di social engineering cerca di convincere una o più vittime a fornirgli informazioni più o meno segrete (esempio numero di carta di credito, password etc).
Una campagna di phishing è strutturata in fasi, vediamole una per una:
-
Ricerca e compromissione di un sito vulnerabile
In questa prima fase, l’attaccante (phisher) individua un sito vulnerabile (o ne crea uno appositamente) e vi carica il suo kit di phishing, ovvero tutto l’occorrente per rendere alcune parti del sito (normalmente nascoste al webmaster) simili alla legittima pagina di login dell’applicazione di cui si vogliono rubare le credenziali (esempio, Facebook, Twitter, Poste etc)
-
Invio di email truffaldine
In questa fase il phisher esegue un invio massivo di email con la richiesta di fare click a un link accorciato oppure molto simile a quello del sito legittimo di cui interessano le credenziali
-
Login delle vittime
La vittima dopo aver cliccato sul link ed essersi loggata viene reindirizzata al sito legittimo, ma solo dopo aver inviato inconsapevolmente le proprie credenziali di accesso all’attaccante.
-
Lo script malevolo invia le credenziali rubate al phisher
Di norma a questo punto il phisher riceve le credenziali rubate e può utilizzarle a suo piacimento.
Phishing: un esempio reale
Ecco il testo di una email che ho ricevuto qualche tempo fa:
Gentile Cliente,
Questa email arriva per segnalarti che il tuo conto è stato chiuso perchè non
hai aggiornato il tuo profilo come precedentemente richiesto da noi. La tua
carta Postepay non può più essere utilizzata.
La tua sicurezza è una nostra priorità ed è per questo che abbiamo presso questa
misura. Tuttavia, se vuoi abilitare nuovamente il tuo conto Poste, e cosi utilizzare
ancora le operazioni con la tua carta prepagata, si prega di effettuare
tempestivamente il tuo profilo online.
Ecco come attivare il tuo conto:
Riattiva il tuo conto Poste cliccando sul link in descrizione;
Effettua il login;
Fornisci le informazioni richieste sulla pagina;
Conferma il tutto con l’inserimento del codice OTP.
Ci scusiamo per l’inconveniente.
La ringraziamo per aver scelto i servizi di Poste Italiane!
Cordiali saluti,
Assistenza Poste!
© Poste Italiane 2019 – Partita iva : 01114601006
Ovviamente la mail non è stata inviata da poste italiane, ma da un indirizzo di nome [email protected] e già questo è sufficiente a capire che si tratta di una frode.
Phishing: come difendersi
-
Dalla parte dell’utente
Per quanto riguarda l’utente che riceve email di questo tipo, la regola principale è FARE SEMPRE ATTENZIONE evitate di cliccare sui link presenti nei messaggi di posta, e se proprio avete qualche dubbio sul fatto che l’email possa essere autentica sempre meglio passare dal sito istituzionale nel modo in cui siete abituati.
-
Dalla parte del webmaster
Se utilizzi un CMS la regola principale è sempre quella di mantenerlo aggiornato.
Un altro consiglio sempre valido è quello di utilizzare la Google Search Console, questo strumento infatti, nel caso dovesse rilevare una compromissione del tuo sito, ti manderà una email di notifica.
Se hai l’accesso a determinate configurazioni del server che ospita il sito, puoi disabilitare l’invio delle mail attraverso php_mail().