Minacce e difese

IL PHISHING E SOCIAL ENGINEERING

LA MINACCIA
Capita sempre più spesso di ricevere messaggi via e-mail che sembrano provenire da siti ai quali siamo abbonati, come la propria banca, un sito di commercio elettronico oppure eBay.

Le e-mail sono scritte in modo tale da ricordare in tutto e per tutto il look del sito dal quale affermano di provenire, contengono messaggi sostanzialmente credibili ed espressi in un linguaggio appropriato, e i link citati nel messaggio sembrano autentici.

La realtà purtroppo è ben diversa. Il messaggio, tanto per cominciare, non proviene dal sito che il suo aspetto sembra suggerire. Le immagini che contiene sono generate da URL, visitando le quali riveliamo all'hacker di aver aperto la email.

I link nel messaggio possono essere congegnati in modo tale da portare sì sul sito vero, ma scatenando un attacco cross site; oppure possono portare in un sito il cui nome è "quasi" uguale a quello del sito vero, ma che ne è una replica completamente fasulla (per ingannare l'utente, spesso basta sostituire un carattere con un altro simile, come una l con un 1 oppure una O con uno 0).

Quando inseriremo il nostro login e password, o il nostro numero di carta di credito in questo sito pirata, la frittata sarà fatta.

I pirati saranno ormai in grado di colpirci in vari modi, sottraendo fondi alla nostra carta di credito o anche solo estorcendo denaro sotto la minaccia di farlo.

Tutto questo va sotto il nome di phishing, una deformazione di fishing, a suggerire il fatto che si getta l'esca e si aspetta semplicemente che qualcuno abbocchi.

E qualcuno che abbocca c'è sempre: poco importa che la maggior parte degli utenti sia giustamente prudente quando riceve messaggi di questo genere.

Dato il gran numero di utenti Internet, è sufficiente che una piccolissima percentuale di loro risponda in modo incauto perché l'attaccante ottenga un numero assai elevato di vittime, secondo la stessa legge dei grandi numeri su cui si basa lo spam.

L'arte di impersonare efficacemente e in modo credibile un soggetto fidato in modo tale da persuadere l'ignaro utente ad "abbassare le proprie difese" e adottare comportamenti poco prudenti, è detta social engineering.

Questa strategia si basa sulla constatazione che le persone sono l'anello debole della catena in un sistema della sicurezza: può essere molto più semplice, rapido ed economico ingannare o corrompere una persona per carpirle informazioni sensibili, piuttosto che impiegare enormi potenze di calcolo per decrittografare un cifrario o cercare una falla in un sistema informatico.

LA DIFESA
• Diffidare di e-mail inattese provenienti da siti dei quali siamo clienti o abbonati.

• Ignorare senza ripensamenti tutte le e-mail che a qualsiasi titolo chiedono di visitare un sito e di immettere login e password, o aggiornare i dati anagrafici, o verificare i dati della carta di credito.

• Diffidare di link stranamente lunghi, con suffissi pieni di caratteri incomprensibili.

• Diffidare di link che non puntano allo stesso sito da cui sembra provenire la e-mail.

• In questi casi, ignorare la email, non aprire alcuno dei link in essa citati ed aprire invece il sito direttamente dal browser, digitandone a mano l'indirizzo e non usando quello indicato nella e-mail.