Come funziona la “fabbrica” del phishing?

Mag 22, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, Minacce, RSS 0

Prova a prendermi…

Evitare di essere rintracciati è una delle regole d’oro dei phisher. Se il sito viene individuato e chiuso, infatti, i truffatori corrono il rischio di gettare alle ortiche tutto il lavoro fatto per attirarvi le potenziali vittime. Tanto più che, per evitare di essere rintracciati, di solito le pagine di phishing vengono pubblicate su server Web compromessi e “bruciarne” uno significa buttare al vento uno strumento che per i phisher è preziosissimo.

Una delle campagne di phishing più insidiose comparse i tempi recenti ha sfruttato una pagina contraffatta di MediaWorld che attirava le vittime con una promozione shock: un iPhone 7 con il 50% di sconto.

I siti “bucati” vengono usati spesso anche per inviare le email di phishing, utilizzando un mailer PHP e sfruttando il fatto che, trattandosi di un sito legittimo che è stato compromesso, il suo indirizzo IP non risulterà nelle black list dei filtri anti-spam.

“I cyber-criminali dediti al phishing fanno di tutto per impedire che le loro pagine siano individuate e inserite nelle black list dei motori di ricerca” conferma Draghetti. “Per impedirlo usano numerosi espedienti, compresa la codifica in base64”.

La codifica in base64, che da qualche tempo è supportata dai browser, consente di inserire dati in maniera più “leggera” nei siti Web. Per esempio trasformando un’immagine in una stringa testuale in base64. Si tratta di una tecnica adottata da numerosi siti Web, che nel caso delle immagini consente di velocizzare i tempi di caricamento.

I phisher, però, usano base64 in un altro modo e, più precisamente, per alterare ciò che compare nella barra dell’indirizzo del browser. Per farlo inseriscono un commento al codice in base64 in modo che sul browser compaia qualcosa come “data:text/html,https://paypal.com” seguito da una serie di numeri e caratteri.

In realtà la prima parte (paypal.com) è semplicemente un commento inserito nell’URL in base64, come si nota dal prefisso “data:text/”. Ci sono buone probabilità, però, che la potenziale vittima non se ne accorga e che la presenza di un indirizzo reale renda il sito risulta più “credibile”. Non solo: in questo modo è anche più difficile da rintracciare e segnalare.

Altre tecniche prevedono l’uso dei cosiddetti “URL shortener”e altri stratagemmi che fanno in modo che l’indirizzo del sito venga modificato in modo da impedire che possa essere segnalato come phishing a siti specializzati come PhishTank o VirusTotal.

I siti specializzati come PhishTank e VirusTotal sono tra i peggiori nemici dei phisher. Evitare di essere “schedati” è la priorità numero uno dei truffatori.

A essere migliorati negli ultimi mesi, comunque, non sono soltanto gli strumenti tecnici usati per le truffe. “La creatività dei phisher è evidente anche nelle tecniche di cash-out” conferma Draghetti. “Accanto ai classici prelievi ai bancomat, vengono usate tecniche di riciclaggio più sofisticate che sfruttano i servizi su Internet”.

Una di queste è l’acquisto di prodotti su siti come eBay, o l’utilizzo di siti per il gioco d’azzardo online in cui i truffatori avviano delle partite con dei complici e “perdono” in una manciata tutti i soldi che vengono naturalmente addebitati sulle carte di credito delle vittime.

“Il giro di soldi collegato al phishing è impressionante” spiega Draghetti “ed è la prova che c’è ancora molto da fare per arginare questo fenomeno. Purtroppo gli accorgimenti tecnici possono soltanto limitarne la diffusione. Quello che serve è una maggiore consapevolezza da parte degli utenti, che purtroppo dimostrano di essere ancora terribilmente ingenui”.

Condividi l'articolo