Intervista a Luca Sambucci sul phishing
Inserito da Redazione il Lun, 2005-10-24 16:54
Ottobre 2005 | Security
0510-phishing
Isacaroma: Ciao Luca e grazie per questo tuo nuovo intervento dopo l’intervista in cui presentavi http://www.sicurezzainformatica.it.
La prima domanda è proprio sul tuo sito. Ci sono novità? Ultimamente hai ospitato interventi di altri esperti su temi legati alla ICT Security come Emanuele Florindi e Gian Luca Petrillo; ce ne saranno altri?
Luca Sambucci: Nell’intervista di qualche mese fa già ipotizzavo uno sviluppo più strutturato del portale, ma non è mia abitudine bruciare le tappe. Oggi, dopo otto mesi e una crescita costante di lettori, c’è abbastanza ottimismo per iniziare a pensare a un progetto più ampio. Il coinvolgimento di esperti del settore – il cui numero in futuro aumenterà – è un tentativo di passare dall’attuale “one-man-site” a una gestione più partecipativa del progetto. La security italiana vanta sia esponenti estremamente noti e affermati sia molti professionisti di talento. Con Gian Luca Petrillo abbiamo fatto squadra durante la fortunata gestione Gasparri al Ministero delle Comunicazioni ove lui oggi continua a svolgere il compito di consigliere con Landolfi; nel settore del “policy-making”, Gian Luca ha una visione d’insieme del tutto unica e privilegiata avendo fra le altre cose gestito per il Ministero tre differenti protocolli d’intesa sulla sicurezza informatica con Microsoft, con Ibm e col governo di Israele. Emanuele Florindi è un giovane avvocato di Perugia (incidentalmente, la stessa città dove ho abitato fino a pochi mesi fa) di cui ho avuto modo di apprezzare l’operato nel Comitato Internet e Minori. Svolge docenze per l’Università e consulenze per la Procura e per lui il contrasto alla pedofilia su Internet e la protezione on-line dei minori è davvero pane quotidiano.
Saranno questo genere di esperti, con elevate competenze in aree di intervento specifiche, che andranno ad arricchire il portale SicurezzaInformatica.it nel prossimo futuro. L’obiettivo, mai nascosto, è di creare un osservatorio sulla sicurezza informatica. Ma si tratta di un progetto ad ampio respiro che nascerà “dal basso”, quindi non sull’attivismo di pochi, bensì sull’esperienza e sulle competenze dei molti che ci daranno una mano.
IR: Parliamo di phishing una minaccia relativamente nuova ma che sta impensierendo in maniera significativa utenti, società che offrono servizi sul web, pubbliche autorità. In poche parole: cos’è il phishing e perché è così pericoloso?
LS: Per “phishing” oggi si intende il furto d’identità temporaneo mirato alla frode finanziaria. In parole povere un gruppo di truffatori si impossessa con l’inganno dei dati di accesso a siti di banche o di aste on-line appartenenti a utenti abbonati a tali servizi, eseguendo successivamente transazioni fraudolente ai danni dei normali utilizzatori. Il denaro rubato finisce inizialmente sui conti di svariati intermediari, di solito ignari della vera provenienza dei soldi, che a loro volta lo spediscono all’estero tramite aziende di money transfer.
Generalmente il phishing utilizza tecniche che possiamo definire di “social engineering” che tentano, cioè, di ottenere le chiavi di accesso direttamente dagli utenti che le custodiscono. L’attacco viene eseguito per mezzo di finti messaggi provenienti apparentemente da istituti di credito o note aziende finanziarie e che in realtà sono stati creati e inviati dalla stessa banda criminale.
Per una divertente dimostrazione si può fare riferimento ad una esilarante vignetta di Dilbert.
Questo sistema in realtà non è per niente nuovo; già dieci anni fa i phisher rubavano in maniera analoga i dati di login degli utenti di Aol. Col tempo il bacino di “pesca” si è spostato ed ora la gran parte degli attacchi si concentra sugli utilizzatori dei servizi bancari on-line.
Il phishing è pericoloso perché sfrutta un’importante debolezza che sta caratterizzando questi anni di informatizzazione di massa: gli utenti non sono in grado di gestire autonomamente le problematiche concernenti quei sistemi informatici che pure essi utilizzano quotidianamente per operazioni mission critical. Milioni di persone ogni giorno affidano le loro risorse, il loro lavoro, i loro beni a sistemi di cui non conoscono le mille vulnerabilità e le molteplici sfaccettature. Potrà sembrare facile usare la solita storiella della tesi di laurea scritta in sei mesi e cancellata in sei secondi a causa di un crash del sistema, ma rimane uno dei migliori esempi per comprendere quante risorse importanti la gente ripone in macchine da cui però non sa come difendersi in caso di guasto o anomalia. Ecco quindi spiegato come l’home banking di massa assieme all’abissale ignoranza degli utenti in fatto di sicurezza informatica abbiano creato un terreno fin troppo fertile per i phisher finanziari.
Cosa che, forse, le banche avrebbero potuto prevedere con un po’ di anticipo.
Ir: Dai primi phishing un po’ rozzi e scritti in un italiano approssimativo si è passati, in pochissimo tempo, ad attacchi molto più verosimili e dunque pericolosi. Cosa significa?
LS: Il phisher è, come noi tutti, un homo economicus. Egli cerca di ottenere il massimo del guadagno con il minimo dello sforzo. I primi phishing in Italia sono stati realizzati in maniera estremamente economica perché non vi era il bisogno di renderli maggiormente credibili: l’attacco infatti era del tutto nuovo, e la percentuale di persone che abboccava (mi si perdoni il verbo, ma dopotutto stiamo parlando di “phishing”) era sufficientemente alto per gli iniziali appetiti dei truffatori.
Col passare del tempo ovviamente la voce si è sparsa, sempre più gente ha mangiato la foglia, e ai phisher non è toccato altro che raffinare le loro tecniche e confezionare i messaggi in maniera più verosimile, abbandonando i software di traduzione automatica e affidandosi presumibilmente a traduttori freelance.
IR: Il phishing colpisce tutti i Paesi?
LS: Colpisce tutti i Paesi dove i sistemi di home banking sono presenti presso una buona fetta della popolazione, come l’Europa occidentale, gli Usa e l’Australia. Per qualche dato aggiornato consiglio l’ultimo rapporto dell’Anti-Phishing Working Group.
IR: Quali sono i tuoi consigli per difendersi, come utenti e come azienda?
LS: Anzitutto installare subito una toolbar anti-phishing. La migliore a mio avviso è quella di Netcraft.
Gli utenti ovviamente dovrebbero leggere con occhio critico ogni avviso e-mail inviato da banche o da altri siti finanziari, soprattutto quando questo è mascherato da aggiornamento di sicurezza. Prima di compiere qualsiasi azione che potrebbe pregiudicare i propri codici di accesso è sempre meglio alzare la cornetta e contattare la propria banca per verificare la validità del messaggio.
Le aziende invece farebbero meglio a integrare una blacklist aggiornata di siti di phishing all’interno del loro firewall.
Se si è vittima di un phishing, ovvero se si ritene di aver subìto il furto delle password e di una qualsiasi somma di denaro dal conto, bisogna avvertire immediatamente il proprio istituto di credito – prima per telefono e poi subito per raccomandata con ricevuta di ritorno – e successivamente la Polizia Postale presso uno dei recapiti disponibili qui.
La Polizia Postale è competente per i casi di phishing e anche se inizialmente forse non tutti i compartimenti sono stati attrezzati con il know-how essenziale di sicuro, oggi, tutti gli agenti si stanno dando da fare per aggiornarsi sul problema.
Non dimentichiamoci poi che vittime del phishing in molti casi sono anche gli intestatari dei conti correnti su cui in un primo momento finiscono i soldi rubati. Essi sono persone di solito ignare della truffa, che mettono a disposizione il loro conto per quelli che ritengono essere affari leciti e regolari. A volte le finte società che li “reclutano” gli fanno firmare veri e propri contratti e gli danno accesso a pannelli di controllo su siti apparentemente professionali, tutto questo per indurre gli intermediari a credere che il traffico di denaro sia perfettamente legale.
Gli intermediari sono quelli che in realtà rischiano di avere più problemi. Infatti essi non solo potrebbero essere costretti a restituire il denaro sottratto alle vittime del phishing, denaro che non hanno più a disposizione, ma con buona probabilità si ritroveranno fra capo e collo una denuncia con conseguenti guai con la giustizia e, almeno in fase di indagine, un clima di sospetto dal quale dovranno difendersi. Per avere un assaggio di tutto questo basta dare un’occhiata ai commenti che ho ricevuto quando ho trattato la questione Platinway; ci sono un paio di casi estremamente interessanti.
Agli intermediari finiti loro malgrado in queste brutte storie suggerisco di andare a denunciare il tutto alla Polizia Postale. Porsi in una condizione di collaborazione con le forze dell’ordine è essenziale per evitare guai ben maggiori e ipotesi di commistione con i phisher stranieri.
IR: L’education e la sensibilizzazione degli utenti è la risposta più efficace?
LS: Alla lunga, sì. Ma si tratta di un percorso tutt’altro che breve. La gente che domani cascherà in un phishing non è la stessa che oggi sta leggendo questa intervista, o che visita abitualmente i canali tematici riguardanti la sicurezza informatica. Chi abbocca a un phishing non ha molta dimestichezza con la security e con i computer in generale e magari non ha neanche il tempo o la voglia di acquisire tali competenze. Il classico signor Rossi vuole solo un sistema di banking che funzioni a dovere e ritiene che siano altri a doversi preoccupare della sua sicurezza.
Per questo motivo la sensibilizzazione e la responsabilizzazione degli utenti dovrà passare necessariamente attraverso canali più convenzionali. Televisione, stampa, senza dimenticare le periodiche comunicazioni bancarie. Tutto questo facendo sempre estremamente attenzione a come si prepara il messaggio: gli utenti infatti per paura di cadere nella trappola potrebbero essere indotti a non usare più i sistemi di home banking per le loro operazioni, cosa che rappresenterebbe un danno ben maggiore di tutti i phishing messi insieme.
IR: Le banche sono le aziende più colpite dal phishing. Come stanno reagendo? Dovrebbero fare di più?
LS: Da più parti si sta levando una richiesta molto specifica: rendere le banche responsabili per le frodi on-line. C’è chi pretende che siano le banche a pagare per i soldi persi dagli utenti a seguito di attacchi di phishing e molti credono che solo questo riuscirà a eliminare il problema una volta per tutte.
Dal punto di vista organizzativo tutte le maggiori banche colpite dal phishing si stanno attrezzando con gruppi di lavoro specifici. Per essere efficaci tali squadre dovrebbero includere esperti di sicurezza informatica, di comunicazione e di rapporti con le istituzioni. Basta l’assenza anche di uno solo di questi tre fondamentali elementi per minare l’efficacia di qualsiasi strategia anti-phishing.
L’unica grande banca che ho avuto modo di contattare, UniCredit, ha già organizzato una squadra che si sta dando molto da fare per combattere il problema. Del resto è stato l’unico istituto di credito che a poche ore dal phishing è riuscito a contrattaccare attivamente, inserendo warning ben visibili proprio all’interno del sito-fotocopia (la cronaca è disponibile qui)
Sul piano tecnico molte banche, soprattutto all’estero, stanno testando sistemi di autenticazione basati su due fattori. Alla classica password iniziale viene associata una seconda chiave, che di solito si ottiene attraverso altri metodi, anche off-line. All’utente, per esempio, la banca può consegnare uno speciale pad simile a una calcolatrice. Non appena riceve una richiesta di autenticazione il sito della banca chiede all’utente di digitare sul pad una determinata sequenza di numeri, a seguito della quale il pad mostra un ulteriore codice di accesso. Tale codice ovviamente cambia ogni volta che si effettua un nuovo login al sistema di home banking, cosa che renderebbe inutile qualsiasi furto.
I sistemi basati sulla two-factor authentication, benché fortemente sponsorizzati da più parti, in realtà non risolvono tutti i problemi. Quando il loro utilizzo diverrà diffuso i phisher potrebbero iniziare a usare attacchi man-in-the-middle, dove qualsiasi sia il metodo di autenticazione essi saranno in grado di aggirare le difese intercettando la comunicazione fra utente e banca (ad esempio tramite programmi spyware) e attendendo che l’utente svolga tutti i passi necessari al login presso il sito di home banking. Dopodiché sarà facile sovrapporsi al legittimo utilizzatore del sistema e iniziare a operare indebitamente sul suo conto.
IR: Se sono un utente di un servizio bancario online o di un sito di e-commerce e mi arriva una falsa emai come devo comportarmi? Vale la pena di avvertire la banca che è stata contraffatta o addirittura la pubblica autorità o basta cestinare l’email?
LS: Consiglio di seguire le istruzioni che ogni banca dovrebbe già aver consegnato alla propria clientela. Alcune banche sono attrezzate per ricevere le segnalazioni da parte dei clienti, e chiedono agli utenti di inoltrare presso un determinato indirizzo qualsiasi messaggio si consideri un possibile phishing. Altre banche invece non hanno interesse a ricevere tali segnalazioni, e suggeriscono al cliente di cancellare subito il messaggio sospetto. Se non si conosce la preferenza della propria banca consiglio di guardare se sul relativo sito vi siano indicazioni a riguardo.
Per quanto concerne la Polizia, suggerisco di rivolgersi alle forze dell’ordine solo se si lamenta un effettivo danno subìto a causa del phishing. Non credo che essi siano interessati a ricevere migliaia di volte la stessa copia del messaggio di phishing che sta girando su Internet. Del resto i compartimenti maggiormente attrezzati avranno già risorse impegnate nel monitoraggio della Rete.
IR: Il caso di PLATINWAY CORP sembra rappresentare un salto di qualità dei criminali della rete. Puoi darci qualche delucidazione?
LS: Il caso Platinway era né più né meno che la traduzione in italiano e in tedesco di una truffa già messa in atto mesi prima ai danni dei cittadini francesi. La banda ha tentato il duplice colpo di ottenere dati finanziari dettagliati (nome, indirizzo, dati del conto corrente) del maggior numero di persone possibile, mentre allo stesso tempo ha cercato di reclutare intermediari per nuovi attacchi di phishing che erano in programma per i giorni seguenti. Per farlo ha messo in piedi un sito-civetta in italiano, tedesco e inglese che pubblicizzava l’operato di una inesistente Platinway Corp. Agli intermediari veniva concessa una percentuale in cambio del trasferimento all’estero di determinate somme di denaro che essi avrebbero iniziato a ricevere sul loro conto corrente. Il tutto veniva condito da un “contratto di lavoro” bilingue (un facsimile è disponibile presso di me per chi fosse interessato) e dalla promessa che le spese di trasferimento dei soldi all’estero tramite Western Union sarebbero state rimborsate dalla stessa Platinway.
Come faccio sempre in questi casi ho fornito alla Platinway un mio indirizzo e-mail segreto e dei dati volutamente falsi, per capire come avrebbero proseguito. Il contratto che mi è stato inviato era un’evidente truffa, ma che purtroppo ha tratto in inganno più di un utente.
IR: In un tuo articolo, “Le nuove frontiere del phishing” parli dei “Distributed Phishing Attacks”. Cosa sono?
LS: In un normale phishing tutti gli utenti vengono reindirizzati presso un unico sito falso costruito in modo tale da assomigliare al vero sito della banca. Quando le forze dell’ordine risalgono al provider del sito, questi chiude l’account e il gioco per il phisher è finito.
Nei Dpa i phisher creano una struttura tale per cui il numero di siti falsi è estremamente alto. In questo modo ogni e-mail truffaldina potrà indirizzare il singolo utente verso un sito diverso, vanificando così il lavoro delle toolbar anti-phishing che normalmente bloccano l’accesso ai siti basandosi su black-list specifiche. A sua volta ogni sito trasmetterà le credenziali rubate verso un unico centro di raccolta, non direttamente rintracciabile dalla polizia.
Questi attacchi distribuiti possono essere effettuati ad esempio attraverso un malware che si installa su decine di migliaia di computer infetti. Esso potrebbe, a un giorno prestabilito, inviare una o più e-mail di phishing contenenti l’indirizzo Ip e un link alla finta pagina bancaria presente su quel determinato host, avendo ovviamente l’accortezza di far partire – nel caso non vi fosse – un mini server web in ascolto sulla porta 80 del sistema colpito. Gli utenti che abboccano al phishing finirebbero dunque su un indirizzo stile http://123.123.123.123/latuabanca.html che resterebbe attivo fino al momento in cui l’amministratore del sistema colpito non si accorgerà dell’infezione.
IR: Dopo il phishing, il pharming. Cos’è?
LS: Il pharming consiste nello sfruttamento di una vulnerabilità nei server Dns (tecnica chiamata Dns poisoning) o nelle procedure dei registrar (in quest’ultimo caso si parla di domain hijacking o di domain theft) per far sì che anche a seguito della regolare digitazione del sito della banca nel browser, l’utente si ritrovi su un sito-clone creato da truffatori.
Alcuni server Dns, quelli cioè che gestiscono l’indirizzamento dei domini presso i relativi indirizzi Ip, potrebbero essere soggetti a vulnerabilità che consentano a un hacker ostile di rimpiazzare a suo piacimento le informazioni di indirizzamento di un dato dominio. In questo modo neanche la corretta digitazione della Url della nostra banca ci eviterebbe di finire su un sito di phishing, e probabilmente anche gli utenti più attenti potrebbero cadere nella trappola.
Tale vulnerabilità, se presente, può essere corretta solo dal nostro provider, o comunque dall’amministratore dei Dns che scegliamo di utilizzare nelle nostre connessioni.
Esiste anche la possibilità che un hacker ostile sfrutti buchi di sicurezza nelle procedure di spostamento dei domini da un registrar all’altro, per poter così avere il pieno controllo di un dominio per diversi giorni.
Tutti i domini vengono registrati da apposite aziende, chiamate registrar, in concorrenza fra loro. In Italia per quanto riguarda la registrazione dei domini .it non abbiamo registrar, bensì dei cosiddetti “maintainer”.
Restiamo nel nostro Paese e facciamo un esempio pratico: domani un qualsiasi truffatore potrebbe mandare al Nic italiano (servizio attualmente gestito da un ufficio del Cnr di Pisa) un fax con una richiesta di spostamento per il dominio bancarossi.it, ovviamente corredata dalla falsa firma del legale rappresentante dell’istituto di credito. Il tutto necessariamente con l’ausilio di un altro maintainer ignaro della truffa o compiacente.
Il giorno stesso il Nic inizia le procedure di trasferimento, inviando una semplice comunicazione e-mail al vecchio maintainer notificandogli il cambio di provider. Se il nuovo maintainer riesce a completare la procedura di spostamento entro la giornata lavorativa vi saranno buone probabilità che il giorno dopo il dominio bancarossi.it si trovi sotto il pieno controllo della persona che ha organizzato la truffa.
Mettiamo conto che i due giorni che seguono siano un sabato e una domenica, ecco quindi che il legittimo proprietario dominio, Banca Rossi S.p.A., dovrà attendere per lo meno il lunedì successivo per segnalare la truffa al Nic e iniziare nuove procedure di spostamento, che nel migliore dei casi si concluderebbero entro le 24 ore successive. Per un minimo di 72 ore i phisher potrebbero avere pieno possesso di un qualsiasi dominio.
Mentre al momento non mi risulta alcun caso di pharming eseguito con il Dns poisoning, un anno fa eBay.de fu vittima di un domain hijacking ad opera di un ragazzino tedesco.
Dal domain hijacking dei domini .com ci si può tutelare vietando per deafult qualsiasi richiesta di trasferimento. Mentre nel caso dei domini .it, dove questo blocco ancora non esiste, l’unico modo è quello di mantenere solidi contatti con il proprio maintainer, scegliendone preferibilmente uno che resti a disposizione anche durante i fine settimana.
Il phishing spiegato ai bambini - 02.10.05
Anatomia di un phishing - 29.09.05
Secured phishing: arriva la frode con il lucchetto giallo - 27.09.05
Falso positivo per un phishing, il provider se la cava - 22.09.05
Ecco un modo per rubare i vostri dati bancari - 15.09.05
Le nuove frontiere del phishing (Distributed Phishing Attacks ) - 08.09.05
La prima domanda è proprio sul tuo sito. Ci sono novità? Ultimamente hai ospitato interventi di altri esperti su temi legati alla ICT Security come Emanuele Florindi e Gian Luca Petrillo; ce ne saranno altri?
Luca Sambucci: Nell’intervista di qualche mese fa già ipotizzavo uno sviluppo più strutturato del portale, ma non è mia abitudine bruciare le tappe. Oggi, dopo otto mesi e una crescita costante di lettori, c’è abbastanza ottimismo per iniziare a pensare a un progetto più ampio. Il coinvolgimento di esperti del settore – il cui numero in futuro aumenterà – è un tentativo di passare dall’attuale “one-man-site” a una gestione più partecipativa del progetto. La security italiana vanta sia esponenti estremamente noti e affermati sia molti professionisti di talento. Con Gian Luca Petrillo abbiamo fatto squadra durante la fortunata gestione Gasparri al Ministero delle Comunicazioni ove lui oggi continua a svolgere il compito di consigliere con Landolfi; nel settore del “policy-making”, Gian Luca ha una visione d’insieme del tutto unica e privilegiata avendo fra le altre cose gestito per il Ministero tre differenti protocolli d’intesa sulla sicurezza informatica con Microsoft, con Ibm e col governo di Israele. Emanuele Florindi è un giovane avvocato di Perugia (incidentalmente, la stessa città dove ho abitato fino a pochi mesi fa) di cui ho avuto modo di apprezzare l’operato nel Comitato Internet e Minori. Svolge docenze per l’Università e consulenze per la Procura e per lui il contrasto alla pedofilia su Internet e la protezione on-line dei minori è davvero pane quotidiano.
Saranno questo genere di esperti, con elevate competenze in aree di intervento specifiche, che andranno ad arricchire il portale SicurezzaInformatica.it nel prossimo futuro. L’obiettivo, mai nascosto, è di creare un osservatorio sulla sicurezza informatica. Ma si tratta di un progetto ad ampio respiro che nascerà “dal basso”, quindi non sull’attivismo di pochi, bensì sull’esperienza e sulle competenze dei molti che ci daranno una mano.
IR: Parliamo di phishing una minaccia relativamente nuova ma che sta impensierendo in maniera significativa utenti, società che offrono servizi sul web, pubbliche autorità. In poche parole: cos’è il phishing e perché è così pericoloso?
LS: Per “phishing” oggi si intende il furto d’identità temporaneo mirato alla frode finanziaria. In parole povere un gruppo di truffatori si impossessa con l’inganno dei dati di accesso a siti di banche o di aste on-line appartenenti a utenti abbonati a tali servizi, eseguendo successivamente transazioni fraudolente ai danni dei normali utilizzatori. Il denaro rubato finisce inizialmente sui conti di svariati intermediari, di solito ignari della vera provenienza dei soldi, che a loro volta lo spediscono all’estero tramite aziende di money transfer.
Generalmente il phishing utilizza tecniche che possiamo definire di “social engineering” che tentano, cioè, di ottenere le chiavi di accesso direttamente dagli utenti che le custodiscono. L’attacco viene eseguito per mezzo di finti messaggi provenienti apparentemente da istituti di credito o note aziende finanziarie e che in realtà sono stati creati e inviati dalla stessa banda criminale.
Per una divertente dimostrazione si può fare riferimento ad una esilarante vignetta di Dilbert.
Questo sistema in realtà non è per niente nuovo; già dieci anni fa i phisher rubavano in maniera analoga i dati di login degli utenti di Aol. Col tempo il bacino di “pesca” si è spostato ed ora la gran parte degli attacchi si concentra sugli utilizzatori dei servizi bancari on-line.
Il phishing è pericoloso perché sfrutta un’importante debolezza che sta caratterizzando questi anni di informatizzazione di massa: gli utenti non sono in grado di gestire autonomamente le problematiche concernenti quei sistemi informatici che pure essi utilizzano quotidianamente per operazioni mission critical. Milioni di persone ogni giorno affidano le loro risorse, il loro lavoro, i loro beni a sistemi di cui non conoscono le mille vulnerabilità e le molteplici sfaccettature. Potrà sembrare facile usare la solita storiella della tesi di laurea scritta in sei mesi e cancellata in sei secondi a causa di un crash del sistema, ma rimane uno dei migliori esempi per comprendere quante risorse importanti la gente ripone in macchine da cui però non sa come difendersi in caso di guasto o anomalia. Ecco quindi spiegato come l’home banking di massa assieme all’abissale ignoranza degli utenti in fatto di sicurezza informatica abbiano creato un terreno fin troppo fertile per i phisher finanziari.
Cosa che, forse, le banche avrebbero potuto prevedere con un po’ di anticipo.
Ir: Dai primi phishing un po’ rozzi e scritti in un italiano approssimativo si è passati, in pochissimo tempo, ad attacchi molto più verosimili e dunque pericolosi. Cosa significa?
LS: Il phisher è, come noi tutti, un homo economicus. Egli cerca di ottenere il massimo del guadagno con il minimo dello sforzo. I primi phishing in Italia sono stati realizzati in maniera estremamente economica perché non vi era il bisogno di renderli maggiormente credibili: l’attacco infatti era del tutto nuovo, e la percentuale di persone che abboccava (mi si perdoni il verbo, ma dopotutto stiamo parlando di “phishing”) era sufficientemente alto per gli iniziali appetiti dei truffatori.
Col passare del tempo ovviamente la voce si è sparsa, sempre più gente ha mangiato la foglia, e ai phisher non è toccato altro che raffinare le loro tecniche e confezionare i messaggi in maniera più verosimile, abbandonando i software di traduzione automatica e affidandosi presumibilmente a traduttori freelance.
IR: Il phishing colpisce tutti i Paesi?
LS: Colpisce tutti i Paesi dove i sistemi di home banking sono presenti presso una buona fetta della popolazione, come l’Europa occidentale, gli Usa e l’Australia. Per qualche dato aggiornato consiglio l’ultimo rapporto dell’Anti-Phishing Working Group.
IR: Quali sono i tuoi consigli per difendersi, come utenti e come azienda?
LS: Anzitutto installare subito una toolbar anti-phishing. La migliore a mio avviso è quella di Netcraft.
Gli utenti ovviamente dovrebbero leggere con occhio critico ogni avviso e-mail inviato da banche o da altri siti finanziari, soprattutto quando questo è mascherato da aggiornamento di sicurezza. Prima di compiere qualsiasi azione che potrebbe pregiudicare i propri codici di accesso è sempre meglio alzare la cornetta e contattare la propria banca per verificare la validità del messaggio.
Le aziende invece farebbero meglio a integrare una blacklist aggiornata di siti di phishing all’interno del loro firewall.
Se si è vittima di un phishing, ovvero se si ritene di aver subìto il furto delle password e di una qualsiasi somma di denaro dal conto, bisogna avvertire immediatamente il proprio istituto di credito – prima per telefono e poi subito per raccomandata con ricevuta di ritorno – e successivamente la Polizia Postale presso uno dei recapiti disponibili qui.
La Polizia Postale è competente per i casi di phishing e anche se inizialmente forse non tutti i compartimenti sono stati attrezzati con il know-how essenziale di sicuro, oggi, tutti gli agenti si stanno dando da fare per aggiornarsi sul problema.
Non dimentichiamoci poi che vittime del phishing in molti casi sono anche gli intestatari dei conti correnti su cui in un primo momento finiscono i soldi rubati. Essi sono persone di solito ignare della truffa, che mettono a disposizione il loro conto per quelli che ritengono essere affari leciti e regolari. A volte le finte società che li “reclutano” gli fanno firmare veri e propri contratti e gli danno accesso a pannelli di controllo su siti apparentemente professionali, tutto questo per indurre gli intermediari a credere che il traffico di denaro sia perfettamente legale.
Gli intermediari sono quelli che in realtà rischiano di avere più problemi. Infatti essi non solo potrebbero essere costretti a restituire il denaro sottratto alle vittime del phishing, denaro che non hanno più a disposizione, ma con buona probabilità si ritroveranno fra capo e collo una denuncia con conseguenti guai con la giustizia e, almeno in fase di indagine, un clima di sospetto dal quale dovranno difendersi. Per avere un assaggio di tutto questo basta dare un’occhiata ai commenti che ho ricevuto quando ho trattato la questione Platinway; ci sono un paio di casi estremamente interessanti.
Agli intermediari finiti loro malgrado in queste brutte storie suggerisco di andare a denunciare il tutto alla Polizia Postale. Porsi in una condizione di collaborazione con le forze dell’ordine è essenziale per evitare guai ben maggiori e ipotesi di commistione con i phisher stranieri.
IR: L’education e la sensibilizzazione degli utenti è la risposta più efficace?
LS: Alla lunga, sì. Ma si tratta di un percorso tutt’altro che breve. La gente che domani cascherà in un phishing non è la stessa che oggi sta leggendo questa intervista, o che visita abitualmente i canali tematici riguardanti la sicurezza informatica. Chi abbocca a un phishing non ha molta dimestichezza con la security e con i computer in generale e magari non ha neanche il tempo o la voglia di acquisire tali competenze. Il classico signor Rossi vuole solo un sistema di banking che funzioni a dovere e ritiene che siano altri a doversi preoccupare della sua sicurezza.
Per questo motivo la sensibilizzazione e la responsabilizzazione degli utenti dovrà passare necessariamente attraverso canali più convenzionali. Televisione, stampa, senza dimenticare le periodiche comunicazioni bancarie. Tutto questo facendo sempre estremamente attenzione a come si prepara il messaggio: gli utenti infatti per paura di cadere nella trappola potrebbero essere indotti a non usare più i sistemi di home banking per le loro operazioni, cosa che rappresenterebbe un danno ben maggiore di tutti i phishing messi insieme.
IR: Le banche sono le aziende più colpite dal phishing. Come stanno reagendo? Dovrebbero fare di più?
LS: Da più parti si sta levando una richiesta molto specifica: rendere le banche responsabili per le frodi on-line. C’è chi pretende che siano le banche a pagare per i soldi persi dagli utenti a seguito di attacchi di phishing e molti credono che solo questo riuscirà a eliminare il problema una volta per tutte.
Dal punto di vista organizzativo tutte le maggiori banche colpite dal phishing si stanno attrezzando con gruppi di lavoro specifici. Per essere efficaci tali squadre dovrebbero includere esperti di sicurezza informatica, di comunicazione e di rapporti con le istituzioni. Basta l’assenza anche di uno solo di questi tre fondamentali elementi per minare l’efficacia di qualsiasi strategia anti-phishing.
L’unica grande banca che ho avuto modo di contattare, UniCredit, ha già organizzato una squadra che si sta dando molto da fare per combattere il problema. Del resto è stato l’unico istituto di credito che a poche ore dal phishing è riuscito a contrattaccare attivamente, inserendo warning ben visibili proprio all’interno del sito-fotocopia (la cronaca è disponibile qui)
Sul piano tecnico molte banche, soprattutto all’estero, stanno testando sistemi di autenticazione basati su due fattori. Alla classica password iniziale viene associata una seconda chiave, che di solito si ottiene attraverso altri metodi, anche off-line. All’utente, per esempio, la banca può consegnare uno speciale pad simile a una calcolatrice. Non appena riceve una richiesta di autenticazione il sito della banca chiede all’utente di digitare sul pad una determinata sequenza di numeri, a seguito della quale il pad mostra un ulteriore codice di accesso. Tale codice ovviamente cambia ogni volta che si effettua un nuovo login al sistema di home banking, cosa che renderebbe inutile qualsiasi furto.
I sistemi basati sulla two-factor authentication, benché fortemente sponsorizzati da più parti, in realtà non risolvono tutti i problemi. Quando il loro utilizzo diverrà diffuso i phisher potrebbero iniziare a usare attacchi man-in-the-middle, dove qualsiasi sia il metodo di autenticazione essi saranno in grado di aggirare le difese intercettando la comunicazione fra utente e banca (ad esempio tramite programmi spyware) e attendendo che l’utente svolga tutti i passi necessari al login presso il sito di home banking. Dopodiché sarà facile sovrapporsi al legittimo utilizzatore del sistema e iniziare a operare indebitamente sul suo conto.
IR: Se sono un utente di un servizio bancario online o di un sito di e-commerce e mi arriva una falsa emai come devo comportarmi? Vale la pena di avvertire la banca che è stata contraffatta o addirittura la pubblica autorità o basta cestinare l’email?
LS: Consiglio di seguire le istruzioni che ogni banca dovrebbe già aver consegnato alla propria clientela. Alcune banche sono attrezzate per ricevere le segnalazioni da parte dei clienti, e chiedono agli utenti di inoltrare presso un determinato indirizzo qualsiasi messaggio si consideri un possibile phishing. Altre banche invece non hanno interesse a ricevere tali segnalazioni, e suggeriscono al cliente di cancellare subito il messaggio sospetto. Se non si conosce la preferenza della propria banca consiglio di guardare se sul relativo sito vi siano indicazioni a riguardo.
Per quanto concerne la Polizia, suggerisco di rivolgersi alle forze dell’ordine solo se si lamenta un effettivo danno subìto a causa del phishing. Non credo che essi siano interessati a ricevere migliaia di volte la stessa copia del messaggio di phishing che sta girando su Internet. Del resto i compartimenti maggiormente attrezzati avranno già risorse impegnate nel monitoraggio della Rete.
IR: Il caso di PLATINWAY CORP sembra rappresentare un salto di qualità dei criminali della rete. Puoi darci qualche delucidazione?
LS: Il caso Platinway era né più né meno che la traduzione in italiano e in tedesco di una truffa già messa in atto mesi prima ai danni dei cittadini francesi. La banda ha tentato il duplice colpo di ottenere dati finanziari dettagliati (nome, indirizzo, dati del conto corrente) del maggior numero di persone possibile, mentre allo stesso tempo ha cercato di reclutare intermediari per nuovi attacchi di phishing che erano in programma per i giorni seguenti. Per farlo ha messo in piedi un sito-civetta in italiano, tedesco e inglese che pubblicizzava l’operato di una inesistente Platinway Corp. Agli intermediari veniva concessa una percentuale in cambio del trasferimento all’estero di determinate somme di denaro che essi avrebbero iniziato a ricevere sul loro conto corrente. Il tutto veniva condito da un “contratto di lavoro” bilingue (un facsimile è disponibile presso di me per chi fosse interessato) e dalla promessa che le spese di trasferimento dei soldi all’estero tramite Western Union sarebbero state rimborsate dalla stessa Platinway.
Come faccio sempre in questi casi ho fornito alla Platinway un mio indirizzo e-mail segreto e dei dati volutamente falsi, per capire come avrebbero proseguito. Il contratto che mi è stato inviato era un’evidente truffa, ma che purtroppo ha tratto in inganno più di un utente.
IR: In un tuo articolo, “Le nuove frontiere del phishing” parli dei “Distributed Phishing Attacks”. Cosa sono?
LS: In un normale phishing tutti gli utenti vengono reindirizzati presso un unico sito falso costruito in modo tale da assomigliare al vero sito della banca. Quando le forze dell’ordine risalgono al provider del sito, questi chiude l’account e il gioco per il phisher è finito.
Nei Dpa i phisher creano una struttura tale per cui il numero di siti falsi è estremamente alto. In questo modo ogni e-mail truffaldina potrà indirizzare il singolo utente verso un sito diverso, vanificando così il lavoro delle toolbar anti-phishing che normalmente bloccano l’accesso ai siti basandosi su black-list specifiche. A sua volta ogni sito trasmetterà le credenziali rubate verso un unico centro di raccolta, non direttamente rintracciabile dalla polizia.
Questi attacchi distribuiti possono essere effettuati ad esempio attraverso un malware che si installa su decine di migliaia di computer infetti. Esso potrebbe, a un giorno prestabilito, inviare una o più e-mail di phishing contenenti l’indirizzo Ip e un link alla finta pagina bancaria presente su quel determinato host, avendo ovviamente l’accortezza di far partire – nel caso non vi fosse – un mini server web in ascolto sulla porta 80 del sistema colpito. Gli utenti che abboccano al phishing finirebbero dunque su un indirizzo stile http://123.123.123.123/latuabanca.html che resterebbe attivo fino al momento in cui l’amministratore del sistema colpito non si accorgerà dell’infezione.
IR: Dopo il phishing, il pharming. Cos’è?
LS: Il pharming consiste nello sfruttamento di una vulnerabilità nei server Dns (tecnica chiamata Dns poisoning) o nelle procedure dei registrar (in quest’ultimo caso si parla di domain hijacking o di domain theft) per far sì che anche a seguito della regolare digitazione del sito della banca nel browser, l’utente si ritrovi su un sito-clone creato da truffatori.
Alcuni server Dns, quelli cioè che gestiscono l’indirizzamento dei domini presso i relativi indirizzi Ip, potrebbero essere soggetti a vulnerabilità che consentano a un hacker ostile di rimpiazzare a suo piacimento le informazioni di indirizzamento di un dato dominio. In questo modo neanche la corretta digitazione della Url della nostra banca ci eviterebbe di finire su un sito di phishing, e probabilmente anche gli utenti più attenti potrebbero cadere nella trappola.
Tale vulnerabilità, se presente, può essere corretta solo dal nostro provider, o comunque dall’amministratore dei Dns che scegliamo di utilizzare nelle nostre connessioni.
Esiste anche la possibilità che un hacker ostile sfrutti buchi di sicurezza nelle procedure di spostamento dei domini da un registrar all’altro, per poter così avere il pieno controllo di un dominio per diversi giorni.
Tutti i domini vengono registrati da apposite aziende, chiamate registrar, in concorrenza fra loro. In Italia per quanto riguarda la registrazione dei domini .it non abbiamo registrar, bensì dei cosiddetti “maintainer”.
Restiamo nel nostro Paese e facciamo un esempio pratico: domani un qualsiasi truffatore potrebbe mandare al Nic italiano (servizio attualmente gestito da un ufficio del Cnr di Pisa) un fax con una richiesta di spostamento per il dominio bancarossi.it, ovviamente corredata dalla falsa firma del legale rappresentante dell’istituto di credito. Il tutto necessariamente con l’ausilio di un altro maintainer ignaro della truffa o compiacente.
Il giorno stesso il Nic inizia le procedure di trasferimento, inviando una semplice comunicazione e-mail al vecchio maintainer notificandogli il cambio di provider. Se il nuovo maintainer riesce a completare la procedura di spostamento entro la giornata lavorativa vi saranno buone probabilità che il giorno dopo il dominio bancarossi.it si trovi sotto il pieno controllo della persona che ha organizzato la truffa.
Mettiamo conto che i due giorni che seguono siano un sabato e una domenica, ecco quindi che il legittimo proprietario dominio, Banca Rossi S.p.A., dovrà attendere per lo meno il lunedì successivo per segnalare la truffa al Nic e iniziare nuove procedure di spostamento, che nel migliore dei casi si concluderebbero entro le 24 ore successive. Per un minimo di 72 ore i phisher potrebbero avere pieno possesso di un qualsiasi dominio.
Mentre al momento non mi risulta alcun caso di pharming eseguito con il Dns poisoning, un anno fa eBay.de fu vittima di un domain hijacking ad opera di un ragazzino tedesco.
Dal domain hijacking dei domini .com ci si può tutelare vietando per deafult qualsiasi richiesta di trasferimento. Mentre nel caso dei domini .it, dove questo blocco ancora non esiste, l’unico modo è quello di mantenere solidi contatti con il proprio maintainer, scegliendone preferibilmente uno che resti a disposizione anche durante i fine settimana.
Articoli di Luca Sambucci sul phishing e truffe similari:
http://www.sicurezzainformatica.it/archives/phishing_e_truffe/Il phishing spiegato ai bambini - 02.10.05
Anatomia di un phishing - 29.09.05
Secured phishing: arriva la frode con il lucchetto giallo - 27.09.05
Falso positivo per un phishing, il provider se la cava - 22.09.05
Ecco un modo per rubare i vostri dati bancari - 15.09.05
Le nuove frontiere del phishing (Distributed Phishing Attacks ) - 08.09.05
» email this story | printer friendly version | 7482 reads
