Bruce Schneier: il phishing

Novembre 2005 | Security
0511-BrucePhishing Continuiamo l’analisi del fenomeno phishing con la traduzione italiana di un intervento di Bruce Schneier dedicato all’argomento. La traduzione è opera di Communication Valley ed è apparsa nel numero del 15 ottobre 2005 della newsletter Crypto-Gram di Schneier, la cui traduzione completa (pdf, 95 K) è disponibile nel sito di Communication Valley.
 
All’inizio del mese, lo stato della California è stato il primo a emettere una legge che si occupa specificamente del problema del phishing.
Il phishing, per chi fosse rimasto lontano da Internet questi ultimi anni, è l’invio di un’e-mail da parte di un aggressore che si fa passare per un’azienda rispettabile e legittima allo scopo di estorcervi informazioni sensibili: le password di un vostro conto, molto spesso.
Quando ciò viene fatto effettuando un hacking del DNS, si chiama pharming.
Le compagnie finanziarie finora hanno evitato di affrontare il problema in maniera seria, perché è più semplice ed economico pagare i costi delle frodi. Tuttavia è una cosa inaccettabile, perché i consumatori vittime di queste truffe finiscono col pagare un prezzo che va al di là di una perdita economica e che si traduce in seccature, stress e, in alcuni casi, macchie sui loro conti che non è facile cancellare. Di conseguenza, i legislatori devono fare di più che non semplicemente creare nuove sanzioni per i malfattori: devono creare nuovi severi incentivi che obblighino efficacemente le compagnie finanziarie a cambiare lo status quo e a migliorare il modo con cui proteggono le risorse dei loro clienti.
Purtroppo la legge californiana non fa nulla in questo senso. La nuova legislazione è stata emanata perché il phishing è un reato nuovo, ma la legge non sarà di molto aiuto, perché il phishing è solo una tattica.
I criminali usano il phishing per ottenere le vostre password, così da poter effettuare transazioni fraudolente in vostro nome. Il vero crimine è in realtà molto più antico: la frode finanziaria. Questi attacchi sfruttano la credulità delle persone. Ciò li distingue da worm e virus, che sfruttano vulnerabilità nel codice dei computer.
In passato ho definito questo genere di attacchi come esempio di “attacchi semantici” poiché fanno leva sul pensiero umano e non sulla logica di una macchina. Le vittime sono persone che ricevono e-mail e visitano siti web, e in genere credono che queste email e questi siti siano legittimi. Questi attacchi sfruttano l’intrinseca non verificabilità di Internet. È semplice fare phishing o pharming perché autenticare un’attività in Internet è difficile.
Se per un criminale potrebbe essere persino fattibile costruire una banca vera e propria per estorcere ai clienti le loro firme e i loro dettagli bancari, è assai più facile per lo stesso criminale costruire un finto sito web o inviare un’email fasulla. Se anche fosse possibile realizzare un’infrastruttura per verificare sia il sito che l’e-mail, il costo e l’entità poco user-friendly dell’operazione la renderebbero una soluzione limitata agli utenti più “geek”.
Tali attacchi, poi, fanno leva sull’intrinseca scalabilità dei sistemi informatici. Per truffare qualcuno in persona occorre un certo lavoro. Attraverso l’e-mail si può provare a frodare milioni di persone all’ora. Un tasso di successo di uno su un milione potrebbe essere sufficiente a garantire un’impresa criminosa fattibile. In generale, due tendenze in Internet influenzano ogni forma di furto d’identità. La maggiore e diffusa disponibilità di informazioni personali ha fatto in modo che un ladro possa impadronirsene con più facilità.
Allo stesso tempo, la sempre maggiore diffusione dell’autenticazione elettronica e delle transazioni online (adesso non è più necessario entrare in una banca o addirittura usare un bancomat per prelevare denaro) ha reso quelle informazioni personali ancora più preziose. Il problema del phishing non si può risolvere solamente concentrandosi sulla prima tendenza, cioè la disponibilità delle informazioni personali. I criminali sono persone intelligenti, e se ci si difende contro una tattica specifica come il phishing, loro ne troveranno un’altra. Nell’arco di pochissimi anni abbiamo visto gli attacchi di phishing divenire sempre più sofisticati.
La variante più recente, detta “spear phishing” è fatta di messaggi email individualmente mirati e personalizzati, che sono ancora più difficili da rilevare. Vi sono molti altri generi di frode elettronica che non si possono definire tecnicamente phishing. Il vero problema da risolvere è quello delle transazioni fraudolente.
Le istituzioni finanziarie rendono troppo semplice per un criminale effettuare transazioni fraudolente, e troppo difficile per le vittime ripulire i propri nomi. Le istituzioni ricavano un mucchio di denaro poiché è facile effettuare una transazione, aprire un conto, ottenere una carta di credito, e così via. Per anni ho scritto di come le considerazioni economiche influiscano sui problemi di sicurezza. Potrebbero instaurare delle contromisure di sicurezza per evitare frodi, o per rilevarle rapidamente, e permettere alle persone di sistemare la propria situazione. Ma tutto ciò è costoso e per loro non ne vale la pena. Non è che le istituzioni finanziarie non accusino perdite.
Grazie a una cosa chiamata Regulation E, esse già pagano molti dei costi diretti del furto d’identità.
Ma i costi in tempo, stress e seccature sono interamente sostenuti dalle vittime. In un caso su quattro, le vittime non hanno potuto pienamente ristabilire il proprio buon nome. In economia questo fenomeno si chiama esternalità: è un effetto di una decisione aziendale che non viene sostenuta dalla persona o dall’azienda che prende tale decisione.
Le istituzioni finanziarie non hanno incentivi per ridurre quei costi di furti d’identità perché non gravano su di esse. Si spinga la responsabilità, tutta, per il furto d’identità sulle istituzioni finanziarie, e il phishing sparirà.
Questo tipo di frode sparirà non perché le persone saranno diventate più furbe e smetteranno di rispondere alle email di phishing, o perché la California vanta nuove sanzioni penali per il phishing, o perché gli ISP riconosceranno ed elimineranno le email.
Sparirà perché le informazioni che un criminale potrà ottenere da un attacco di phishing non saranno sufficienti per commettere una frode. Perché le compagnie non sosterranno tutte quelle perdite. Se esiste un precetto generale universalmente vero per una linea di condotta di sicurezza, è quello per cui la sicurezza funziona al meglio quando l’entità che si trova nella migliore posizione per mitigare i rischi è resa responsabile per tali rischi.
Rendere le istituzioni finanziarie responsabili delle perdite dovute al phishing e al furto d’identità è l’unico modo di affrontare il problema. Non solo le perdite finanziarie dirette: le compagnie devono rendere meno gravosa la risoluzione delle problematiche legate al furto d’identità, permettendo alle persone di ristabilire il proprio buon nome e di ripulire il proprio profilo creditizio. Il denaro per rimborsare le perdite non è nulla in confronto alle spese per rivedere i loro sistemi, ma qualsiasi altra soluzione meno drastica non funzionerà.

Link

La legge californiana;
Definizioni da wikipedia: Phishing e Pharming;
IBM sul phishing qui e qui;
Chi paga per il furto d’identità;
Il mio intervento sugli attacchi semantici;
Il mio intervento su economia e sicurezza;
Il mio intervento sul furto d’identità;
Dibattito sul mio articolo.

Questo articolo è apparso originariamente su Wired 

Articoli collegati

IsacaRoma Newsletter: intervista a Bruce Schneier;
IsacaRoma Newsletter: intervista a Giovanni Bobbio di Communication Valley;
IsacaRoma Newsletter: intervista a Luca Sambucci di sicurezzainformatica.it sul phishing.