Come funziona la “fabbrica” del phishing?

Mag 22, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, Minacce, RSS 0

Gruppi organizzati per ruoli e strumenti specializzati che possono essere acquistati per pochi dollari sul Web. Ecco come funzionano le truffe online che permettono ai cyber-criminali di incassare milioni.

Quando si pensa al phishing, la prima cosa che viene in mente sono quelle email sgrammaticate che quotidianamente intasano le nostre caselle di posta. In realtà il “pianeta phishing” è qualcosa di molto più complesso ed evoluto, di cui quelle email rappresentano solo la proverbiale “punta dell’iceberg”.

L’occasione per approfondire il tema è arrivata all’inizio di maggio nel corso di HackinBo 2017, che nella seconda giornata ha proposto dei “Lab” tematici. Security Info ha scelto di partecipare al workshop tenuto da Andrea Draghetti, IT Security Consultant di D3Lab, dal titolo: “Phishing: one shot, many victims!”

Un viaggio particolarmente istruttivo, che ci ha permesso di accedere a informazioni “di prima mano” da parte di chi lavora tutti i giorni per contrastare un fenomeno che, nel nostro paese, ha dimensioni notevoli.

“Un buon indice per capire la diffusione del phishing è quello di guardare ai dati del numero di siti Internet dedicati a questo tipo di attività” spiega Andrea Draghetti. “Se nel mondo l’anno scorso ne sono stati registrati circa 1,5 milioni, in Italia questo dato è di circa 10.000 siti Internet unici. Non pochi”.

Al di là del dato numerico, il caso Italiano ha anche altre particolarità, legate agli obiettivi che i phisher prendono di mira con più frequenza. E non stupisce che in testa alla classifica ci sia Poste Italiane.

“PostePay è un obiettivo particolarmente appetitoso per i cyber-criminali” spiega Draghetti. “La carta consente infatti di spostare denaro in tempo reale, riducendo quindi il rischio che il titolare del conto possa accorgersi che qualcosa non va e la transazione venga bloccata”.

Nella specialissima classifica delle aziende bersagliate dal phishing in Italia, Poste Italiane si aggiudica il poco invidiabile primato come ente più colpito

Ma come agiscono i cyber-criminali specializzati nel phishing? “Esattamente come succede negli altri settori del cyber-crimine, i phisher sono organizzati in gruppi in cui ci sono ruoli e compiti ben precisi” spiega Draghetti.

Il ruolo principale è quello del progettista, che studia l’attacco e mette appunto gli strumenti per portare a termine la truffa con successo. Per farlo, di solito vengono messi a punto dei veri “kit” che consentono di raccogliere i dati a cui i pirati puntano.

Prima di poter passare all’azione, però, i cyber-criminali hanno bisogno delle infrastrutture che gli permettono di mettere online i siti di phishing. E qui entra in gioco il cracker.

Il suo compito è quello di individuare (e violare) siti Internet vulnerabili o server che gli permettano di pubblicare online le pagine di phishing. A parte i casi in cui vengono utilizzate macchine affittate ad hoc (di solito in paesi non particolarmente “collaborativi” con le forze di polizia) i pirati preferiscono usare server compromessi in modo da poter coprire le loro tracce.

La palla passa poi allo spammer, che dovrà riuscire nel non facile compito di diffondere le email (o i messaggi) che condurranno le vittime al sito di phishing, aggirando i filtri antispam e sfruttando le tecniche di social engineering che gli permettano di far finire nella rete quante più vittime possibile.

Oltre alle normali email, i phisher stanno utilizzando sempre più spesso campagne di SMS che conducono alle pagine Web contraffatte.

Ultimo, ma non ultimo, arriva il responsabile del “cash out”, cioè il complice a cui è delegato il compito di monetizzare gli attacchi. “Il suo ruolo non è affatto secondario” puntualizza Draghetti. “Di tutto il gruppo è quello che rischia di più e, di solito, viene compensato con una percentuale pari al 20% di quanto riesce a incassare”.

I professionisti del “cash out” hanno uno dei compiti più impegnativi. Come gli altri professionisti del phishing, si promuovono su Internet per trovare “impiego”. In questo caso il “mulo” mostra in maniera abbastanza esplicita quanto è in grado di incassare.

In parallelo all’evoluzione che ha portato alla specializzazione nei compiti, inoltre, i ricercatori hanno assistito a un affinamento delle tecniche e degli strumenti usati dai phisher.

Una delle campagne più efficaci illustrate da Draghetti riguarda proprio PostePay, che in Italia viene bersagliata con particolare insistenza. “Il sistema adottato dai phisher per truffare gli utenti di PostePay che abbiamo individuato è uno dei più efficaci mai visti” spiega il ricercatore.

I pirati, in pratica, hanno trovato il modo di aggirare il sistema di autenticazione a due fattori introdotto da Poste Italiane e che sfrutta l’invio di un codice OTP tramite SMS.

“La tecnica prevede che il pirata si colleghi al sito originale di PostePay nello stesso momento in cui la vittima accede al sito di phishing” prosegue Draghetti.

“Quando l’utente inserisce le credenziali nel falso sito, il pirata fa lo stesso su quello originale. A questo punto avvia la procedura per spostare denaro dalla carta della vittima al suo conto e, contemporaneamente, visualizza sul sito di phishing la richiesta di inserimento del codice OTP”.

Inserimento in tempo reale del codice OTP della carta PostePay e il gioco è fatto.

La vittima non sospetta nulla, visto che il codice arriva puntualmente sul suo telefono. Peccato che arrivi in risposta alla richiesta del truffatore. Quando il legittimo titolare della carta inserisce il codice nel sito di phishing, il cyber-criminale può utilizzarlo per portare a termine il trasferimento di denaro.

(Continua a pagina 2)

Condividi l'articolo