Come funziona la “fabbrica” del phishing?

Mag 22, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, Minacce, RSS 0

Trucchi sempre più sofisticati

Ma com’è possibile che nessuno riesca a fermare il diluvio di email di phishing? “Quello a cui assistiamo è lo sviluppo di tecniche sempre più sofisticate per aggirare i filtri anti-spam” spiega Draghetti. “Per esempio adottando accorgimenti che rendono difficilmente individuabili le parole chiave che dovrebbero far scattare l’allarme”.

Uno degli esempi portati dal ricercatore di D3Lab è quello dell’uso di caratteri nascosti che sono in grado di confondere i software che analizzano il testo delle email per determinare se si tratti di phishing.

La tecnica è quasi banale, ma estremamente efficace. Se i pirati vogliono inviare un messaggio di posta che cerca di indurre la potenziale vittima a fornire le sue credenziali di accesso a PayPal, per esempio, inserire il nome del popolare servizio di pagamento li esporrebbe al blocco da parte dei filtri anti-phishing.

In teoria, un’email come questa dovrebbe essere bloccata dai filtri anti-phishing. AL suo interno, però, ci sono caratteri nascosti che offuscano il testo che viene visualizzato.

Ecco quindi che i truffatori inseriscono tra le lettere che compongono “PayPal” alcuni caratteri casuali, del tipo “P1234567a1234567y1234567P1234567a1234567l1234567”. La formattazione dei numeri, però, è impostata in modo che siano trasparenti e abbiano dimensione carattere pari a zero.

Il risultato è che per i software di controllo l’email contiene semplicemente un’accozzaglia di lettere e numeri, chi visualizza il messaggio invece vede la parola “PayPal”.

Il vero salto di qualità però è avvenuto nello sviluppo dei kit di Phishing, cioè i pacchetti di codice che permettono di mettere online il sito “taroccato” del servizio che i cyber-criminali vogliono prendere di mira.

“Sul Web ci sono veri specialisti che vendono o affittano i loro kit” spiega Draghetti. “Alcuni sono delle vere celebrità e hanno pagine Facebook in cui promuovono i loro prodotti esattamente come farebbe un’azienda”.

Tra i più famosi ci sono Anonisma e Cazanova, che nell’ambiente sono particolarmente “apprezzati” per la qualità dei loro strumenti. Esistono anche servizi online che offrono una sorta di “phishing as a service”, come Z-Shadow, che offre un sistema di phishing integrato in un’app di Facebook.

Cosa c’è di meglio di un’app interna a Facebook per rubare gli account… di Facebook?

Ma come funzionano questi kit dal punto di vista tecnico? Si tratta di solito di strumenti scritti in PHP. Come spiega Andrea Draghetti, ne esistono due tipologie: quelli statici e quelli dinamici. “I kit statici, semplificando, sono un clone del sito originale. I criminali, in questo caso, fanno una copia di tutti gli elementi che lo compongono, per esempio loghi e immagini”.

Il problema dei truffatori che usano questo tipo di strumento, però, è che rischia di diventare obsoleto nel giro di poco tempo. Basta che il sito originale venga modificato per qualsiasi motivo, magari con l’inserimento di nuove campagne pubblicitarie od offerte speciali.

I kit dinamici, invece, sfruttano una chiamata curl per andare a “pescare” gli elementi originali del sito legittimo e, in questo modo, offrono la garanzia che il sito di phishing sia sempre identico a quello originale.

L’uso di questa tecnica, però, espone i criminali a un altro rischio. “Tutte le chiamate di un sito di phishing realizzato con questa tecnica lasciano una traccia nel log dei server del sito legittimo” spiega Draghetti. “In questo modo è possibile risalire all’indirizzo IP del sito di phishing e chiuderlo”.

(Continua a pagina 3)

Condividi l'articolo