Phishing

Un crimine informatico sempre pi diffuso

Gambini Alessandro
6/25/2009
ITIS Vito Volterra
Esame di Stato 2009

INDICE GENERALE
1. Introduzione
2. Descrizione
3. Strumenti e Tecniche utilizzati in un attacco di phishing
3.1. Strumenti
3.2. Tecniche
4. Normative antiphishing
5. Honeynet e Honeypot
5.1. Che cosa sono?
5.2. Come sono fatte?
5.3. Che rischi comportano?
6. Come difendersi da un attacco
7. Come riconoscere una mail di phishing
7.1. Che aspetto ha un messaggio di phishing?
7.2. Come individuare i messaggi di posta elettronica fraudolenti?
7.3. Ingegneria Sociale usata per creare email
8. Il protocollo HTTPS
8.1. Cos?
8.2. Come funziona?

1. INTRODUZIONE
Il phishing unattivit illegale che consiste nellottenere informazioni sensibili come username, password,
dettagli di carte di credito tra cui il PIN e altre informazioni riservate.
Consente a colui che opera lattacco di entrare in possesso di dati, o addirittura impersonare le sue vittime,
al fine di eseguire operazioni finanziare fraudolente.
I realizzatori degli attacchi rinnovano e aggiornano costantemente le loro tecniche.

2. DESCRIZIONE
Questo tipo di crimine informatico ha una lunga tradizione nella storia. Tradizionalmente questa attivit
stata effettuata attraverso lo sviluppo dellingegneria sociale.
Negli anni Novanta, con laumento dei sistemi di interconnessione e lo sviluppo di internet, i Phishers
iniziano ad automatizzare il loro processo e ad attaccare la massa degli usufruenti di questo servizio.
Dapprima gli attacchi di phishing erano principalmente sferrati per ottenere laccesso agli account AOL, solo
occasionalmente per ottenere dati sulle carte di credito per commettere azioni fraudolente.
Spesso i messaggi di phishing contengono semplici trucchi per aggirare gli utenti inesperti, basati
soprattutto sul senso di fiducia verso le funzioni di sistema automatizzate o verso figure autoritarie.
Gli utenti colpiti vengono sollecitate ad inserire informazioni sensibili velocemente per evitare un serio
problema, per esempio con la frase: [] e re immetti la password. Il fallimento comporter limmediata
rimozione dellaccount. Le vittime per evitare le potenziali terribili conseguenze spesso compilano il form
immediatamente, ignari della truffa, fornendo cos al phisher le loro credenziali.
Al giorno doggi, la strategia preferita dai phishers di inviare una grande quantit di email con il tentativo
di adescare il maggior numero possibile di utenti spacciandosi come la loro banca di fiducia. Le vittime
vengono avvisate che per motivi di sicurezza devono svolgere unazione urgente; talvolta la motivazione
quella di proteggere i dati sensibili dalle possibili incursioni di malintenzionati.
Lemail fasulla contiene un link nascosto verso una pagina remota che viene disegnata identica a quella del
sito pubblico della banca utilizzata per la truffa.
Il phisher spera che lutente venga ingannato e inserisca le sue credenziali nel form fasullo, ma
apparentemente legittimo dato che linterfaccia identica a quella del sito ufficiale. Esempi di
organizzazioni sfruttate dai phishers sono banche famose, compagnie di carte di credito o siti web dedicati
alle-commerce come eBay e PayPal.

3. STRUMENTI E TECNICHE UTILIZZATI IN UN ATTACCO DI PHISHING

Gli attacchi di phishing generalmente si basano su un quantitativo di semplici strumenti e tecniche per
imbrogliare utenti ignari.

3.1

Strumenti

Gli strumenti utilizzati per una truffa di phishing possono essere semplici come una pagina HTML copiata su
un server e uno script lato server per elaborare tutti i dati immessi dallutente, oppure consistono in siti web
pi complicati e re indirizzamenti ad altri contenuti.
Entrambi i metodi per mirano ad uno stesso obiettivo: realizzare un falso sito web con la presenza di un
marchio di fiducia, con le necessarie capacit per elaborare i dati inseriti dagli utenti e renderli disponibili ai
malintenzionati. Grazie alluso di moderni strumenti per la realizzazione di pagine HTML molto facile
realizzare un sito web identico a quello dellorganizzazione desiderata.
Le pagine vengono poi caricate su web server poco sicuri e facilmente compromettibili.
I realizzatori degli attacchi scelgono le possibili vittime in maniera indistinta, semplicemente prendono un
blocco di indirizzi IP.
Una volta che il phisher ha realizzato una pagina realistica e convincente che imiti lorganizzazione scelta, la
scelta principale come dirottare gli utenti di un sito legittimo a quello falso realizzato dal phishers.
A meno che il phisher abbia la capacit di alterare il DNS o di reindirizzare in qualche modo il traffico di rete,
deve contare su certe forma di inganno di livello pi basso per attirare gli utenti malcapitati al sito web
falso.
Sfortunatamente per il phisher, quando scelgono unorganizzazione, egli non hanno nessuna informazione
su chi in Internet cliente dellorganizzazione scelta e quindi quali possono essere gli utenti pi raggirabili
con quel tipo di esca.
Il phisher pu inserire hyperlink che puntano al sito falso, su chat o forum legate allorganizzazione scelta
(come supporto tecnico o discussioni comuni); tuttavia c possibilit che lorganizzazione sia avvisata in
tempi brevi e i link dannosi vengono quindi rimossi o screditati, prima che molte vittime abbiano gi accesso
al contenuto e inserito i loro dati nel sito web falso.
Un altro significativo rischio segnato dalla possibilit che o lorganizzazione stessa o organi preposti
allapplicazione della legge risalgano al falso sito web e lo chiudano.
Il phisher, pertanto, necessit un metodo per raggiungere il massimo numero di potenziali vittime, con il
minimo rischio, e hanno trovato il loro partner ideale nelle email di spam.
Gli spammers hanno database contenenti milioni di indirizzi email attivi, quindi le pi recenti tecniche per la
ricerca di indirizzi email sono messe a disposizione del phisher che pu quindi distribuire la sua mail esca a
un vasto numero di utenti con il minimo rischio.
Le email di spam sono spesso inviate tramite server ospitati in paesi stranieri, o attraverso le reti globali di
PC zombie, in modo che la probabilit di un singolo mittente di essere rintracciato bassa.
Se un utente ignaro riceve una email che sembra essere stata inviata dalla propria banca, che chiede loro di
andare a quello che sembra essere il sito web della banca abituale a cambiare le loro password per i servizi
4

bancari online per motivi di sicurezza, molto pi probabile che lutente prenda in considerazione quella
mail piuttosto che la standard e-mail di spam su novit di prodotti e link a siti web sconosciuti.

3.2

Tecniche

Per aumentare la probabilit che un utente ritenga un messaggio autentico, il phisher utilizza un certo
numero di tecniche per migliorare ulteriormente la qualit del loro tentativo di frode:

Utilizzando gli indirizzi IP invece dei nomi di dominio in hyperlink che re indirizzano al falso sito web.
Molti utenti ignari non controllano (o non sanno come controllare), se un indirizzo IP stato
registrato e assegnato correttamente alla banca desiderata.

Registrazione di domini DNS simili e la creazione di falsi siti web che imitano il nome di dominio del
sito web di destinazione (cio b1gbank.com bigbnk.com o invece di bigbank.com), nella speranza
che gli utenti scambino il falso nome di dominio per il vero nome di dominio.

Incorporare i collegamenti ipertestuali dal reale obiettivo del sito web in HTML contenuto di una email di phishing sul falso sito web, in modo che l'utente del browser web esegua la maggior parte
delle connessioni HTTP al server web vero e proprio e solo un piccolo numero di connessioni al falso
web server. Se il software mail del client supporta il rendering automatico del contenuto, il client
tenta di connettersi automaticamente al server web falso, non appena l'email viene letta, senza che
lutente possa accorgersi del piccolo numero di connessioni effettuate al web server falso.

Codificare o Offuscare gli URL del sito web falso. A seconda del metodo utilizzato, molti utenti non
noteranno o capiranno che cosa stato fatto e assumeranno il link come valido e benigno. Una
variante di questa tecnica (IDN spoofing) quello di utilizzare gli Unicode URL nel browser che
rendono in un modo che appare come l'originale indirizzo del sito web, ma in realt un falso link al
sito web con un indirizzo diverso.

Il tentativo di sfruttare le debolezze del browser dell'utente per mascherare la vera natura del
contenuto dei messaggi. Microsoft Internet Explorer e Outlook sono stati particolarmente
vulnerabili a tali tecniche.

Configurare il falso sito di phishing per registrare qualsiasi dato di input che l'utente immette (come
i nomi utente e password), re indirizzare successivamente l'utente al sito reale. Ci potrebbe
provocare una errore del tipo "password errata, riprova" o addirittura essere completamente
trasparente, ma in ogni caso molti utenti non saranno eccessivamente preoccupati dando la colpa
ad un loro errore di digitazione e non allintervento malizioso di terze parti


Creare un falso sito web in grado di agire come un Proxy per il vero sito web di destinazione,
registrando di nascosto le credenziali di accesso che non sono criptate utilizzando SSL.

Reindirizzare le vittime su un sito di phishing con lo scopo di far istallare allutente un malware
creato per personalizzare e controllare il browser, se loperazione riesce con successo lutente crede
di accedere ad un sito legittimo ma in realt stanno accedendo and un sito web falso.

Utilizzo di un malware in grado di modificare il file hosts del PC della vittima, utilizzato per
mantenere il mapping locale tra nomi DNS e indirizzi IP. Aggiungendo un record DNS nel hosts file
della vittima il browser sembra connettersi al sito web legittimo, il browser si connetter al server
web che ospita il sito web utilizzato per la frode.

A causa della natura relativamente complessa di molti e-commerce o applicazioni di online banking, che
spesso utilizzano i frame HTML e sub-frame o di altre strutture complesse, pu essere difficile per un utente
determinare se una pagina web legittimo o non.
Una combinazione di tecniche sopra citate pu mascherare la vera fonte di una pagina web, un utente
ignaro pu essere tratto in inganno ed effettuare l'accesso al falso sito web del phisher, e divulgare
inconsapevolmente le sue credenziali di autenticazione o altri dati personali. A questo punto il phisher sar
libero di utilizzare i dati come meglio crede e l'utente diventa un'altra vittima di un attacco di phishing
riuscito con successo.

4. NORMATIVE ANTIPHISHING
Per quel che concerne gli aspetti giuridici, il nostro ordinamento non disciplina espressamente il phishing:
chiaro, tuttavia, che nelle caratteristiche e nella dinamica del fenomeno siano tracciabili e distinguibili
alcune note fattispecie.

Procedere ad un tentativo di elencazione esaustiva di tali figure giuridiche pu apparire di primo acchito
comunque arduo, questo perch l'evoluzione tecnologica e la condotta criminale di un phisher comportano
aspetti (civili e penali) da sceverare con la dovuta analisi.

Innanzitutto l'aquisizione abusiva e il trattamento illecito di credenziali di autenticazione, di nome e

cognome dell'intestatario del conto o del suo numero di carta di credito (a seconda della dinamica del caso
di phishing) evidenziano la responsabilit extracontrattuale del phisher nei confronti della vittima,
integrando il disposto di cui all'art.15 del d.lgs. 196 del 2003 c.d. Codice in materia di protezione dei dati
personali, secondo cui Chiunque cagiona danno ad altri per effetto del trattamento di dati personali
tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile..

Responsabilit accentuata dalle molteplici violazioni del Codice della Privacy poste in essere dal criminale di
turno; a titolo esemplificativo si pensi a quella di cui all'art.23 (per il mancato consenso della vittima al fine
di trattarne i dati bancari) e di cui all'art.122 che al co.1 sancisce il divieto di usare una rete di
comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un
abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente, o anche,
qualora il phisher agisse al fine di "rivendere" i nostri dati a bande criminali internazionali, alla violazione
degli artt. 42 e 43 del Codice della Privacy (che regolamentano il trasferimento di dati personali all'estero).
Punto di riferimento, seppur concernente l'ambito penale, resta tuttavia l'art.167 del Codice, che configura il
reato di trattamento illecito di dati personali e che punisce, se dal fatto deriva nocumento e salvo che il
fatto costituisca pi grave reato, [...] chiunque, al fine di trarne per s o per altri profitto o di recare ad altri
un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli [...] , con
la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione
da sei a ventiquattro mesi.
Reato che il phisher commetterebbe con l'acquisizione ingannevole e la successiva gestione dei dati della
vittima.
Anche l'art. 615 quater del codice penale (rubricato "Detenzione e diffusione abusiva di codici di accesso a
sistemi informatici o telematici"), prevede un'ipotesi delittuosa per certi versi simile a quella appena vista,
disponendo al riguardo che chiunque, al fine di procurare a s o ad altri un profitto o di arrecare ad altri un
danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri
mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o
comunque fornisce indicazioni o istruzioni idonee al predetto scopo, punito con la reclusione sino ad un
anno e con la multa sino a euro 5.164.
Restando alla fase "iniziale" (quella della "cattura" dei dati digitati dalla vittima) della frode informatica di
che trattasi, va anche detto che il criminale di turno con l'invio dell'email truffaldina fa un uso indebito del
nome e/o del logo dell'istituto di credito o della societ-esca, in alcuni casi (si pensi al c.d.Vishing, ovvero il
phishing realizzato a mezzo VoIP) non limitandosi alle email ma arrivando a contattare telefonicamente la
vittima, fingendosi un certo impiegato di banca, in violazione dell'art. 494 c.p.(rubricato "Sostituzione di
persona", a tal fine si veda anche l'art.7 del c.c. sulla "Tutela del diritto al nome") e, per gli istituti di credito
coinvolti, della normativa in materia di marchi e brevetti di cui al Decreto legislativo 10 febbraio 2005, n.30
(Codice della proprieta' industriale).
Si parla, normalmente, di responsabilit limitatamente al phisher e di parti lese, nonch legittimati attivi, gli
istituti di credito e i clienti vittime del raggiro, ma non esclusa la possibilit che a rispondere del danno
ingiusto procurato al cliente sia anche lo stesso istituto, laddove non abbia adottato le misure di sicurezza di
cui agli artt. 31 e ss. del D.Lgs 196 del 2003; si ricorda a tal proposito che la mancata adozione delle misure
di cui all'art.33 costituisce per il Codice della Privacy illecito penale (ex art.169).
A tal fine bene comunque che il ruolo dell'istituto di credito/societ vittima a sua volta del phisher, vada
valutato con attenzione e non solo in relazione alle norme appena viste: si pensi ad es. all'ipotesi in cui la
banca non abbia adeguatamente informato il cliente sui rischi di truffa o sulla possibilit che il proprio sito
venga inglobato in un layout multiframe truffaldino, circostanze che potrebbero rilevarne una potenziale
responsabilit contrattuale e/o aquiliana.
Le fattispecie pi rilevanti riconducibili al phishing restano comunque circoscritte al penale: la condotta del
phisher integrerebbe infatti in generale il reato di truffa ex art. 640 c.p., norma che al co.1 prevede la
reclusione da sei mesi a tre anni e la multa da 51 a 1.032 euro per chiunque, con artifizi o raggiri,
7

inducendo taluno in errore, procura a s o ad altri un ingiusto profitto con altrui danno (c.d. truffa
semplice).
Inoltre, l'illegittima acquisizione dei dati della vittima (ad es. nome utente e password) ed il successivo
utilizzo da parte del phisher per accedere al portale dell'istituto di credito ed incassare una certa somma di
denaro, configurerebbe in primis il reato di cui all'art. art.615 ter c.p. (rubricato "Accesso abusivo ad un
sistema informatico o telematico") il cui enunciato al co.1 il seguente: Chiunque abusivamente si
introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene
contro la volont espressa o tacita di chi ha il diritto di escluderlo, punito con la reclusione fino a tre anni;
in secundis, il reato di frode informatica ex art. 640 ter, norma che al co.1 dispone: chiunque, alterando in
qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con
qualsiasi modalit su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad
esso pertinenti, procura a s o ad altri un ingiusto profitto con altrui danno, punito con la reclusione da sei
mesi a tre anni e con la multa da euro 51 a euro 1.032.
Come evidente siamo di fronte ad una fattispecie criminosa particolarmente complessa ed ampia:
caratteri che emergono ulteriormente se si considera il ruolo dell'istituto di credito o della societ nel
perfezionarsi della condotta illecita di che trattasi. Non escluso, inoltre, che in sede giudiziaria le figure
delittuose focalizzate siano ulteriori e pi gravi ( il caso del reato di truffa aggravata) ove la frode sia
consumata -come spesso accade- ingenerando nella persona offesa il timore di un pericolo immaginario o
l'erroneo convincimento di dovere eseguire un ordine dell'autorit, o che le pretese risarcitorie vadano
oltre il semplice pregiudizio economico, potendo la banca lamentare il danno all'immagine e il cliente
addurre anche un danno esistenziale: emblematica in tal senso ad es. la situazione di disagio patita dalla
vittima nell'esercizio della propria attivit lavorativa contestualmente e conseguentemente all'illecito.

5. HONEYNET E HONEYPOT: TENTATIVO DI MONITORARE GLI

ATTACCHI
Uno dei grandi vantaggi che la tecnologia Honeynet pu offrire la capacit di catturare tutte le attivit dal
punto di vista del realizzatore dellattacco, ci consente agli agenti di sicurezza di costruire una pi
completa analisi di tutta la vita di un attacco di phishing. I membri del Progetto di ricerca Honeynet sono
riusciti a catturare un ricco numero di dati che aiutano ad illustrare le tappe di un attacco, dalliniziale
creazione del sito e la sua allocazione in un server, allinvio delle numerosissime mail fino allentrata in
possesso dei dati delle vittime. Tre diversi esempi di tipiche del mondo reale le tecniche di phishing sono
presentati e illustrati in appresso.

5.1

Honeypot e Honeynet: che cosa sono?

Il termine Honeypot indica un sistema che cattura informazioni su qualsiasi tentativo illegale o non
autorizzato di intrusione. Hanno carattere completamente passivo e non prevedono contromisure nei
confronti degli attacchi in corso. Si dividono in Low interaction Honeypot, realizzati tramite
limplementazione di ambienti virtuali, e High interaction Honeypot, dove invece girano servizi e sistemi
operativi veri e propri.
Concettualmente una Honeynet piuttosto semplice: si tratta di una rete contenente uno o pi Honeypot,
privi di attivit di produzione e di autorizzazione nellerogazione di servizi. Proprio per questo motivo,
qualsiasi interazione con la Honeynet pu costituire un tentativo di accesso non autorizzato e quindi un
8

attacco.
Lattivit della Honeynet focalizzata sulla raccolta delle informazioni, e tutte le informazioni raccolte
costituiscono materiale utile allanalisi. Lunico problema consiste nel dare ad esse una priorit, in relazione
al valore che esse assumono per lo studio che si vuole condurre.

5.2

Honeypot e Honeynet: come sono fatte?

Le Honeynet non sono semplicemente un software da installare, ma una vera e propria architettura: una
rete altamente controllata, dove poter monitorare tutte le attivit e inserire un particolare sistema. Si
possono delineare i caratteri generali di tale architettura, ma i dettagli e le tecnologie con cui costruirla
sono lasciate ai realizzatori, sapendo preventivamente che la raccolta di informazioni pu fallire, o peggio,
porre a rischio il proprio sistema e tutta la sottorete.
I requisiti fondamentali richiesti a una Honeynet sono due: Data Control e Data Capture.
Data Control si riferisce al contenimento delle attivit, in quanto la Honeynet soggetta a rischi e questo
requisito ha la funzione di ridurli. Una Honeynet pu infatti venire utilizzata per attaccare altri sistemi e per
attivit illecite o per la presa di possesso dellintera rete. Nonostante i rischi comunque necessario
garantire allattaccante una certa libert di azione, pur sapendo che pi libert viene concessa, maggiore
la quantit di informazioni che si possono raccogliere e maggiore il rischio a cui si esposti. Altro aspetto
decisivo labilit di non far conoscere agli attaccanti lazione di monitoraggio delle operazioni svolte sulla
Honeynet. Generalmente lo strato di Data Control composto da pi livelli di protezione per la prevenzione
dei danni causati da system failure o errori di programmazione ed realizzato attraverso lutilizzo di
gateway e restrizioni su banda e connessioni.

5.3

Honeypot e Honeynet: che rischi comportano?

Le Honeynet sono uno strumento potente di acquisizione di informazioni. Questa potenzialit richiede che si
permetta laccesso degli attaccanti al proprio sistema ed chiaro che il rovescio della medaglia
rappresentato dal rischio che queste concessioni implicano. Un aspetto fondamentale da comprendere che
non esiste un preciso livello di rischio. E il realizzatore della Honeynet che fissa il livello di rischio al
momento dellimplementazione della stessa, tenendo conto di quanto disposto effettivamente a pagare
come prezzo della potenzialit dello strumento che ha deciso di utilizzare.
Harm, Detection, Disabling e Violation sono le quattro tipologie generali di rischi che si corrono quando si ha
a che fare con una Honeynet.
Harm indica il caso in cui la Honeynet venga utilizzata per attaccare altri sistemi. Data Control costituisce la
prima barriera contro questo tipo di problema. La struttura multilivello ha infatti la funzione di rendere pi
difficoltosi gli attacchi condotti per creare danni e di rendere maggiormente gestibili le intrusioni.
Detection consiste nella scoperta da parte dellattaccante della Honeynet. In tal caso lattaccante la
ignorer, con il conseguente fallimento degli obiettivi. Potrebbe anche decidere di introdurre false
informazioni al fine di rendere inattendibile lanalisi dei dati.
Disabling coinvolge le strutture Data Capture e Data Control. Ad esempio un attaccante, dopo aver
guadagnato laccesso ad un Honeypot della Honeynet, pu disabilitare Data Capture acquisendone cos il
controllo. Le strutture a pi livelli sia di Data Control che di Data Capture dovrebbero ridurre questo genere
di rischi.
Violation si riferisce alle attivit illegali che potrebbero essere condotte senza alcun attacco verso sistemi
esterni, come ad esempio la distribuzione di materiale illegale. Problema secondario, ma non meno
9

importante, che tali attivit criminali potrebbero venir attribuite allamministratore della stessa Honeynet,
salvo la possibilit di provare che la responsabilit attribuibile ad altri soggetti.

6. COME DIFENDERSI DA UN ATTACCO

Banche, istituzioni o internet provider non fanno mai richiesta dei dati personali a mezzo di una e-mail. In
caso di richiesta di dati personali, numeri di conto, password o carta di credito, buona norma, prima di
cancellare, buona abitudine inoltrarne una copia alle autorita competenti e avvisare la banca o gli altri
interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri
utenti.
Per eventuali comunicazioni, i soggetti sopra citati possono utilizzare un account istituzionale accessibile solo
dal loro sito, ma non la e-mail personale del cittadino.
La persona che si accorge di pagamenti effettuati da terzi con la sua carta di credito, deve contattare il
numero verde della banca per chiedere il blocco della carta, registrarsi al sito della banca con una nuova
password.
In presenza di accrediti da parte di sconosciuti, il correntista deve non prelevare la somma e chiedere alla
banca lo storno.
Una preoccupazione frequente degli utenti che subiscono lo spillaggio capire come ha fatto il perpetratore
a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. Normalmente, il
phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita
ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di email, facendo spamming, nella
speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.
Pertanto non necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'email che
contiene il tentativo di spillaggio.
Nel caso del problema correlato noto come Pharming, invece, non esiste una vera e propria soluzione a
posteriori ed necessaria un'azione preventiva.
Un primo controllo per difendersi dai siti di spillaggio, quello di visualizzare l'icona, a forma di lucchetto in
tutti i browser, che segnala che s stabilita una connessione sicura (ad esempio una connessione SSL/TLS).
Tale connessione garantisce la riservatezza dei dati, mentre la loro integrit e l'autenticazione della
controparte avvengono solo in presenza della firma digitale, che opzionale e non segnalata.
Infatti, una connessione SSL potrebbe essere stabilita con certificati non veritieri, tramite una coppia di
chiave pubblica e privata valide, note a chi vuole fare phishing, ma che non sono quelle effettive del sito. Ad
esempio, il certificato riporta che il sito it.wikipedia.org utilizza una chiave pubblica, che in realt quella del
phisher. Il browser piuttosto che l'utente interessato dovrebbero collegarsi al sito di una certification authority
per controllare: la banca dati mostra le chiavi pubbliche e un'identificativo del possessore, come l'indirizzo IP o
l'indirizzo del sito.
Alcuni siti hanno una barra antiphishing specifica che controlla l'autenticit di ogni pagina scaricata dal sito,
ad esempio tramite la firma digitale.
La pagina di login di un sito facilmente imitabile. Nei browser esiste una opzione per visualizzare il codice
ottenere un sito identico. La e-mail
truffaldina conterr un link che punta non al sito originario, ma alla sua imitazione. I dati inseriti nei campi
liberi della form sono memorizzati in un database o in un file di testo collegato al sito.
HTML delle pagine Internet, che si pu copiare e incollare altrove, per

10

Un'altra tecnica di spillaggio consiste nell'inserimento di applicativi di keylogging. In questo caso, i link
possono rimandare al sito originale, non necessariamente a un'imitazione, e lo spillaggio dei dati avviene al
momento del loro inserimento da tastiera. Queste righe di codice possono essere eseguite con l'apertura di
alcuni link, ovvero con la lettura della stessa e-mail, se il programma di posta o l'Internet Service Provider non
adottano protezioni sufficienti.
Esistono, inoltre, programmi specifici come la barra anti-spillaggio di Netcraft e anche liste nere (blacklist),
che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft
Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar
inserito nel MS Outlook / MS Outlook Express con il quale si pu trovare i link sospetti in un'email (vedi
sezione Collegamenti esterni). Questi programmi e i pi comuni browser non si avvalgono di whitelist
contenenti gli indirizzi logici e IP delle pagine di autenticazione di tutti gli istituti di credito, che sarebbe un
filtro anti-spillaggio sicuramente utile.
Se l'utente non titolare di un conto corrente online e riceve gli estratti conto periodici per posta ordinaria
(non via email), pu impostare il filtro anti-spam, inserendo l'indirizzo dell'istituto di credito. In questo modo,
le email contenenti un indirizzo del mittente o un link nel testo alla banca, saranno inserite nella cartella
dello spam, rendendo pi facilmente identificabili quelle sospette.
Gli utenti di Internet Explorer possono utilizzare un filtro anti-spillaggio che utilizza una blacklist, e confronta
gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata,
gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi.
Analoga protezione presente in Mozilla Firefox (a partire dalla versione 2), che propone all'utente di
scegliere tra la verifica dei siti sulla base di una blacklist e l'utilizzo del servizio anti-spillaggio offerto da
Google.
Mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite
presso autorit che hanno la competenza sulle tematiche di Internet e del web (in Italia, la Polizia Postale).
L'oscuramento di un sito di spillaggio non un'operazione semplice, se questo ospitato come sottodominio
di un altro indirizzo web. In quel caso, necessario l'oscuramento del dominio ospitante, poich la "falsa"
pagina di autenticazione non presente nell'elenco ICANN, ma in locale sul server. Il sito oscurato pu essere
comunque velocemente associato ad un altro indirizzo web.
possibile associare ad una pagina di un "sito esca" un indirizzo simile, ma non identico a quello del sito
"copiato". Due pagine web, infatti, non possono avere lo stesso indirizzo IP n lo stesso indirizzo logico, che
associato ad un solo indirizzo IP.
All'utente medio resta comunque difficile distinguere un sito di phishing da quello dell'istituto di credito
preso di mira. La barra degli indirizzi pu contenere un indirizzo del tipo "Nome della
Banca.autethicationPage.php@indirizzo del dominio ospitante", l'indirizzo del dominio ospitante nel
corrispondente indirizzo IP, il simbolo "@" nella codifica ASCII, o nell'equivalente binario o esadecimale,
rendendo l'indirizzo della risorsa di "phishing" simile e poco pi lungo di quello che stato falsificato.

11

7. COME RICONOSCERE UNA MAIL DI PHISHING

7.1

Che aspetto ha un messaggio di phishing?

Con l'aumentare dell'esperienza degli autori di frodi informatiche, anche i messaggi e le finestre popup
utilizzate per frodare gli utenti diventano pi sofisticati.
Spesso includono il logo e altri dati di identificazione in apparenza autentici ed effettivamente tratti dai siti
Web delle aziende.
Di seguito riportato un esempio dell'aspetto di un messaggio di posta elettronica utilizzato per il phishing.

Esempio di phishing tramite posta elettronica: il messaggio contiene un indirizzo

URL ingannevole che collega a un sito Web falsificato

Per far apparire pi autentico il messaggio di posta elettronica, l'autore della frode pu inserire un
collegamento in apparenza valido al sito Web dell'azienda originale (1), che in realt conduce a un falso sito
appositamente predisposto (2) oppure apre una finestra popup che riproduce fedelmente il sito Web
autentico.
12

Queste imitazioni sono spesso chiamate siti Web falsificati. Una volta all'interno di uno di questi siti
falsificati, possibile che gli utenti immettano involontariamente informazioni personali che vengono
inviate all'autore della frode.

7.2

Come individuare i messaggi di posta elettronica fraudolenti?

Di seguito vengono elencate alcune espressioni che possibile trovare all'interno dei messaggi inviati dagli
autori di una frode tramite phishing.
"La preghiamo di confermare i dati relativi al suo account."
Le aziende serie non dovrebbero avere necessit di richiederti di fornire password, dati di accesso, codice
fiscale o altre informazioni tramite posta elettronica.
Se per esempio ricevi un messaggio di posta elettronica da Microsoft in cui ti si chiede di aggiornare i dati
relativi alla carta di credito, non rispondere al messaggio: si tratta sicuramente di una frode tramite
phishing..
"Se non riceveremo risposta entro 48 ore, il suo account verr chiuso."
Questi messaggi sottolineano spesso l'urgenza della risposta per indurre ad agire senza soffermarsi a
pensare. I messaggi di posta elettronica con phishing attuano tale procedura sostenendo che, in mancanza
di una risposta, potrebbero verificarsi dei problemi con l'account.
"Gentile cliente."
I messaggi contraffatti vengono solitamente inviati in blocco a diversi destinatari e non contengono il nome
o cognome dei singoli utenti.
"Fare clic sul collegamento sottostante per accedere al proprio account."
All'interno dei messaggi in formato HTML possibile inserire collegamenti o moduli compilabili in modo
analogo a quelli presenti nei siti Web.
I collegamenti che si chiede di utilizzare possono contenere tutto o parte del nome di un'azienda autentica e
sono solitamente "mascherati" ovvero il collegamento visualizzato non corrisponde all'indirizzo reale ma
rimanda a un altro sito Web, solitamente predisposto dall'autore della frode.
Osserva l'esempio seguente: se posizioni il puntatore del mouse sul collegamento, nella casella con lo
sfondo giallo viene rivelato il vero indirizzo Web corrispondente al collegamento. La stringa numerica
decisamente diversa dall'indirizzo Web dell'azienda e ci un segnale molto sospetto.

Esempio di indirizzo URL mascherato

13

7.3

Ingegneria sociale usata per creare email

Nel campo della sicurezza delle informazioni per ingegneria sociale (dall'inglese social engineering) si intende lo studio
del comportamento individuale di una persona al fine di carpire informazioni.
Questa tecnica anche un metodo (improprio) di crittanalisi quando usata su una persona che conosce la chiave
crittografica di un sistema. Similmente al metodo del tubo di gomma pu essere un modo sorprendentemente
efficiente per ottenere la chiave, soprattutto se comparato ad altri metodi crittanalitici.
Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi presentano pochi bug (errori che
i programmatori generalmente commettono quando creano un software). Per un cracker sarebbe impossibile
attaccare un sistema informatico in cui non riesce a trovare bug. Quando ci accade l'unico modo che il cracker ha per
procurarsi le informazioni di cui necessita quello di attuare un attacco di ingegneria sociale.
Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola
saper mentire.
Un social engineer molto bravo a nascondere la propria identit, fingendosi un'altra persona: in tal modo egli riesce
a ricavare informazioni che non potrebbe mai ottenere con la sua identit reale. Nel caso sia un cracker, pu ricavare
informazioni attinenti ad un sistema informatico. Il social engineering quindi una tecnica per ricavare informazioni
molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell'ultima fase dell'attacco) il rapporto pi diretto
con la vittima, questa tecnica una delle pi importanti per carpire informazioni. In molti casi il cosiddetto ingegnere
potr riuscire a ricavare tutto ci che gli serve dalla vittima ignara.
Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all'attacco vero e proprio.
Durante la prima fase (che pu richiedere anche alcune settimane di analisi), l'ingegnere cercher di ricavare tutte le
informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting,
l'ingegnere passer alla fase successiva, cio quella che gli permetter di verificare se le informazioni che ha ricavato
sono pi o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la
vittima. La fase pi importante, quella che determiner il successo dell'attacco, lo studio dello stile vocale della
persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e
cercando di essere quanto pi naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase
l'attaccante avr sempre vicino a s i propri appunti con tutte le informazioni raccolte nella fase di footprinting,
dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.
Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un esempio di azione
di questo genere pu essere una falsa e-mail, mandata da un aspirante ingegnere sociale fingendosi magari un
amministratore di sistema, o un membro di qualche grosso ente. Vengono richiesti al malcapitato di turno nome
utente e password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli sul
database dell'azienda. Se la vittima cade nel tranello, il social engineer avr ottenuto il suo obiettivo, ossia una breccia
nel sistema della vittima, da cui potr iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.

14

8. IL PROTOCOLLO HTTPS
8.1

Cos?

'HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) il risultato dell'applicazione di un
protocollo (informatica) di crittografia asimmetrica al protocollo di trasferimento di ipertesti HTTP. Viene
utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei
contenuti che potrebbero essere effettuati tramite la tecnica del man in the middle.
Nei browser web, la URI (Uniform Resource Identifier) che si riferisce a tale tecnologia ha nome di schema
https ed in tutto e per tutto analoga alle URI http. Tuttavia, la porta di default impiegata non la 80 come
in HTTP, ma la 443, mentre (trasparentemente all'utente) tra il protocollo TCP e HTTP si interpone un livello
di crittografia/autenticazione come il Secure Sockets Layer (SSL) o il Transport Layer Security (TLS).
In pratica viene creato un canale di comunicazione criptato tra il client e il server attraverso uno scambio di
certificati; una volta stabilito questo canale al suo interno viene utilizzato il protocollo HTTP per la
comunicazione.
Questo tipo di comunicazione garantisce che solamente il client e il server siano in grado di conoscere il
contenuto della comunicazione.
Questo sistema fu progettato dalla Netscape Communications Corporation che si occupa delle
autenticazioni e delle comunicazioni crittografate ed largamente usato nel World Wide Web per situazioni
che richiedono particolari esigenze in ambito di sicurezza come per esempio il pagamento di transazioni
online. In questo caso SSL garantisce la crittografazione dei dati trasmessi e ricevuti su internet.

8.2

Come funziona?

HTTPS non un protocollo a parte ma si occupa di combinare l'interazione del protocollo HTTP attraverso
un meccanismo di crittografia di tipo Transport Layer Security (SSL/TSL). Questa tecnica assicura una buona
protezione contro attacchi del tipo man in the middle.La porta di default per un accesso di tipo https:// la
porta 443 (mentre per il protocollo http:// si utilizza di default la porta 80).Per impostare un web server in
modo che accetti connessioni di tipo https, l'amministratore deve creare un certificato digitale ovvero un
documento elettronico che associa l'identit di una persona ad una chiave pubblica. Questi certificati
possono essere creati dai server basati su UNIX con l'ausilio di tools come ssl-ca di OpenSSL oppure usando
gensslcert di SuSE. Questi certificati devono essere rilasciati da un certificate authority o comunque da un
sistema che accerta la validit dello stesso in modo da definire la vera identit del possessore (i browser
web sono creati in modo da poter verificare la loro validit).
In particolari situazioni (come per esempio nel caso di aziende con una rete intranet privata) possibile
avere un proprio certificato digitale che si pu rilasciare ai propri utenti.
Questa tecnologia quindi pu essere usata anche per permettere un accesso limitato ad un web server.
L'amministratore spesso crea dei certificati per ogni utente che vengono caricati nei loro browser
contententi informazioni come il relativo nome e indirizzo e-mail in modo tale da permettere al server di
riconoscere l'utente nel momento in cui quest'ultimo tenti di riconnettersi senza immettere nome utente e/o
password.
15