Fino ad ora abbiamo sempre sentito parlare di phishing che è una frode informatica, realizzata con l'invio di e-mail contraffatte, finalizzata all'acquisizione, per scopi illegali, di dati riservati,quali i dati di accesso alla propria banca online. L'obiettivo degli aggressori è solitamente quello di appropriarsi delle informazioni di accesso al conto corrente, delle anagrafiche o di altre informazioni riservate che possono essere cedute a terzi tramite specifiche chat room create appositamente allo scopo di vendere tali informazioni. La vendita delle informazioni riduce il rischio di essere arrestati, minimizzando il collegamento diretto tra gli autori del reato e coloro che usano le informazioni per ottenere un accesso non autorizzato ai conti correnti o per trarne profitto in altro modo.

Chi perpetrava questo reato ha capito che gli scam diventano sempre più difficili da mandare a segno, per via della crescente consapevolezza degli utenti; per cui è stato ideato un sistema di truffe più sofisticato, non più indirizzato ad una moltitudine di utenti, ma le truffe sono indirizzate verso piccoli gruppi, dove può rivelarsi più semplice ottenere la fiducia di poche persone per il tempo strettamente necessario a ottenere le loro informazioni.

Questa nuova forma di truffa informatica si chiama: “spear phishing”.

Lo “spear phishing” (letteralmente, "pesca con la fiocina" o"phishing con la fiocina") utilizza messaggi di posta elettronica falsificati apparentemente attendibili che inducono tutti gli appartenenti a una determinata organizzazione a rivelare i propri dati di accesso ai sistemi aziendali. Il contenuto della lettera sarà credibile, dal momento che contiene informazioni riguardanti l'azienda stessa e magari viene inviata indicando l'esatto nome di un dirigente come mittente.

E' quasi impossibile quindi per il destinatario non aprire il contenuto della e-mail, permettendo all'autore anonimo di carpire informazioni preziose presenti sul computer di quella persona. La tecnica consiste nel generare facilmente gli indirizzi delle proprie vittime utilizzando appositi software che creano innumerevoli combinazione di nomi e cognomi. L’invio può essere effettuato verso un solo dominio, riducendo così la possibilità che i messaggio vengano individuati come spam.

Chi lancia l’attacco di spear phishing dispone di diversi strumenti da mettere in funzione quando una delle vittime delle organizzazioni prese di mira viene "trafitta dalla fiocina". Può installare, ad esempio, delle backdoor sui computer compromessi e guadagnare accesso al computer o rete per ottenere informazioni riservate. Può inoltre installare dei keylogger per ottenere le sequenze di tasti digitate per comporre nomi utente e password. Chi lancia l’attacco può inoltre installare virus che inviino tutti i file di un particolare tipo ai quali il computer della vittima ha accesso.

A differenza del tentativo di phishing generico, più comune, l’attacco di spear phishing è molto più difficile da ostacolare. Vi sono almeno due motivi per questo:

• gli attacchi sono diretti a piccoli numeri di individui, ed è quindi più difficile per gli addetti alla sicurezza venirne a conoscenza e fornire protezione e avvisi;

• dal momento che gli attacchi hanno come obiettivo il personale di un’organizzazione specifica, le tecniche di social engineering possono essere molto specifiche e personalizzate per i dipendenti di tale organizzazione.

Il phishing, è subdolo e sarcastico perché sfrutta l’ingenuità e l’ignoranza degli utenti, e il messaggio di posta elettronica del phisher è generalmente scritto in un italiano improbabile (il che lascia supporre che il fenomeno non abbia ancora preso piede presso i criminali del nostro paese), con gli accenti sbagliati, con verbi coniugati male, con improbabili espressioni idiomatiche. Pertanto, un utente accorto avrebbe buon gioco a notare la differenza fra un e-mail scritta male e le comunicazioni usualmente provenienti dagli istituti di credito, formulate sempre in un italiano perfetto che si basa su invii di massa, opera su scala ridotta e in maniera molto mirata,cioè prende di mira gli utenti di una singola azienda. I messaggi sembrano provenire da un altro dipendente della stessa azienda e chiedono di confermare username e password.

Un trucco diffuso è quello di spacciarsi per un collega di un ufficio che ha motivo e titolo di chiedere tali informazioni, ad esempio sistemi informativi o gestione del personale. A volte il messaggio dirotta l’utente su una versione falsificata del sito o della Intranet aziendale.

Lo spear phishing consente di confezionare e-mail-trappola molto più convincenti, la struttura del messaggio lascia intendere che il mittente è il datore di lavoro o un altro dipendente o collega (ad esempio, il responsabile delle risorse umane o la persona che gestisce i sistemi informatici) e può includere richieste di nomi utente e password. In realtà le informazioni sul mittente vengono falsificate o ricavate tramite "spoofing" (atto di introdursi in un sistema informativo senza averne l'autorizzazione), mentre nel phishing tradizionale, i messaggi iniziano con un vago "caro correntista" e simili.

I messaggi di spear phishing, invece, indicano nome, cognome e altri dati personali dei loro bersagli. La reazione istintiva è di fidarsi di chi dimostra di sapere già tutte queste informazioni personali.

Quindi risulta facile sottrarre informazioni da singoli utenti, le frodi che si basano sullo spear phishing hanno come obiettivo quello di penetrare all'interno dell'intero sistema informatico di una società. Una volta che un phisher è infatti riuscito a effettuare il cosiddetto "spoofing" di un indirizzo di posta elettronica aziendale, il danno che può provocare è sostanziale.

Nel caso appena descritto, una volta convinti i dipendenti della veridicità del suo indirizzo e che la sua mail proviene effettivamente da un collega, chi compie l'attacco, potrebbe trovarsi la strada spianata per intrufolarsi nella rete. Allegando al messaggio un programma di key-logging, ovvero quei software che registrano quanto si digita sulla tastiera, potrebbe ad esempio carpire la password a un ignaro impiegato mentre sta accedendo a un'applicazione, garantendosi quindi l'ingresso. Inoltre alcuni attacchi si servono anche di vulnerabilità dei browser e di Trojan per minare la sicurezza dei computer delle vittime.

La conseguenza non è solo il furto di informazioni finanziarie personali, ma anche le possibili perdite di proprietà intellettuale, segreti commerciali e altri dati altamente sensibili. Gli spammer inviano messaggi per consigliare l’acquisto di azioni che poi possono essere vendute con profitto.

Le truffe sull’acquisto di azioni, conosciute anche come frodi “pump-and-dump”, (Pompa e Sgonfia) sono legate al fenomeno dello spamming, attraverso il quale il truffatore cerca di generare una domanda artificiale verso le azioni di piccole o sconosciute società, per poi rivendere ad un prezzo inflazionato. L’unico ovviamente a guadare è lui, mentre l’ignara vittima che ha partecipato attivamente alla truffa convinta di moltiplicare il proprio investimento, invece si ritrova con in mano azioni che valgono poco o niente.

Praticamente consiste nell’invio di mail che consigliano l’acquisto di azioni di aziende apparentemente “in crescita”; le vittime vengono incoraggiate a investire acquistando azioni, il cui prezzo risulta così appositamente “gonfiato”; i truffatori riescono in questo modo a vendere i titoli con profitto, prima che le quotazioni crollino nuovamente.

Questo tipo di truffe azionarie hanno tutte le caratteristiche dei messaggi spam; si tratta di posta commerciale non richiesta, solitamente distribuita utilizzando PC detti in gergo “zombie”, che sfruttano tecniche di offuscamento per evitare i software anti-spam (ad esempio l’oggetto potrebbe utilizzare la grafia “st0ck” invece del termine “stock”, cioè “azioni”). Queste mail contengono anche dichiarazioni non veritiere, nonostante possano includere dati reali per aumentare la credibilità del messaggio.

L’ultimissimo stratagemma attraverso il quale gli spammer inviano allegati sono degli MP3.
Gli spammer stanno sfruttando il fatto che il formato MP3 è oggi uno dei più utilizzati e comuni e che la maggior parte delle soluzioni antispam non riescono a gestire gli allegati perché non analizzano effettivamente il contenuto dell'allegato. Lo spam consiste in un breve file MP3 da 30 secondi con la registrazione, a basso bit-rate, di una voce femminile artificiale che promuove un determinato titolo azionario; la voce è altamente distorta per evitare approcci antispam basati su firme.

Lo spam MP3 è la naturale evoluzione dallo spam in formato PDF ed Excel, con cui gli spammer sfruttano un nuovo formato file per poter inviare spam. Questa tattica nasconde altresì un aspetto di ingegneria sociale, dato che la gente spesso condivide il formato file MP3. Queste truffe danneggiano sia gli investitori sia le piccole imprese. Quando la truffa viene scoperta e le azioni precipitano, gli investitori perdono i propri soldi,la perdita di valore può essere devastante per le aziende che dispongono di risorse limitate.

Il consiglio è sempre lo stesso, come per i messaggi spam: non acquistare, non provare, non rispondere.

Alessandro Sigismondi