Introduzione al Social Engineering: Phishing e Pharming
di Roberto Saia

Il termine Social Engineering, che nella nostra lingua si traduce come Ingegneria Sociale, indica un modo di operare dell'aggressore basato su azioni di imbroglio e/o persuasione volte ad ottenere informazioni riservate che, solitamente, consentono a chi le mette in opera di accedere illecitamente ad uno o più sistemi informatici. Sebbene elementare nella sua messa in opera (in quanto non richiede l'uso di alcuno strumento particolare se non una buona dose di faccia tosta), questa tecnica produce quasi sempre ottimi risultati e proprio per questa ragione essa rappresenta il mezzo d'elezione per i criminali informatici a caccia di informazioni.

Sebbene lo stereotipo più comune dell'aggressore informatico sia quello dell'omino curvo su una tastiera nel tentativo di violare un sistema remoto tramite sofisticati strumenti Software, la maggior parte degli accessi illeciti ai sistemi avviene proprio tramite le tecniche di ingegneria sociale, tecniche rese ancor più pericolose dal fatto che, spesso, vengono sottovalutate o addirittura ignorate da chi si occupa della sicurezza dei sistemi. Il telefono e la posta elettronica sono i mezzi più adoperati da coloro che mettono in atto queste tecniche e, solitamente, il loro bersaglio preferito sono gli Help Desk delle aziende prese di mira, in quanto, si rivelano un'ottima fonte di informazioni preziose che l'aggressore riesce abilmente, attraverso alcune domande, ad estorcere. Nonostane la stampa spesso riporti violazioni di questo genere, esse rappresentano solo la punta di un iceberg, infatti, per non screditarsi all'occhio del pubblico, molte aziende preferiscono non denunciare pubblicamente fatti del genere e questo avviene anche per numerosi altri crimini informatici (pensiamo, ad esempio, a quanto dannoso può essere per un istituto bancario una perdita di credibilità). Un aggressore, al termine della sua attività di raccolta, può utilizzare direttamente le informazioni in suo possesso per guadagnarsi un accesso al sistema bersaglio oppure, indirettamente, per trarre da esse elementi utili per le successive azioni da intraprendere. Nonostante le accortezze da prendere per proteggersi da questo genere di attacchi siano numerose, esse sono estremamente semplici e, di seguito, se ne indicano le principali.

Una delle cose più importanti alle quali chi opera a qualunque titolo nella gestione di un'infrastruttura informatica deve fare estremamente attenzione è quella di non divulgare a terzi nessun problema informatico né direttamente né tramite Forum o siti specializzati: è spesso facile dall'indirizzo di posta elettronica adoperato o da altri elementi risalire all'azienda di appartenenza di chi lamenta un certo problema e, in questo modo, il tallone d'Achille incautamente pubblicizzato si rivelerà una preziosa breccia di accesso per un potenziale aggressore. Una seconda accortezza, altrettanto importante quanto la prima, è certamente quella di preparare adeguatamente, attraverso una capillare e aggiornata informazione, il personale addetto al servizio di Help Desk o, comunque, a quel personale che nell'esercizio delle sue mansioni ha rapporti con l'esterno: un'informazione da noi reputata di primo acchito banale potrebbe essere, invece, molto preziosa per il nostro interlocutore.

Insegniamo a diffidare di tutte quelle telefonate ed E-Mail che chiedono a qualunque titolo dati sensibili come, ad esempio, indirizzi, account o nominativi: il modo subdolo con il quale queste richieste vengono poste può trarre in inganno anche gli individui più smaliziati. Un tipico esempio di come si mette in pratica un attacco tramite la tecnica dell'ingegneria sociale è il seguente: l'aggressore inizia a raccogliere informazioni sui dipendenti dell'azienda presa di mira basandosi su tutte le informazioni pubbliche presenti sui siti Web di riferimento o su altre fonti (depliant, elenchi telefonici, inserzioni pubblicitarie, etc.); a questo punto, una volta venuto a conoscenza, per esempio, del nome di un importante funzionario, prepara una storiella plausibile che utilizzerà telefonando ad un certo ufficio dell'azienda al fine di richiedere specifiche informazioni (ovviamente facendosi passare per quel certo funzionario).

La tecnica del Phishing
Un altro tipico esempio di ingegneria sociale è quello che prevede l'utilizzo della posta elettronica al fine di ottenere informazioni altrimenti riservate. Sebbene questo modo di operare sia sempre esistito nella letteratura informatica (sicuramente in quella dell'ultimo ventennio) esso ha conosciuto un'incredibile popolarità solo in questi ultimi anni dove è stato ribattezzato dai mass-media con il termine Phishing (operazioni che hanno lo scopo di ingannare l'utente inducendolo a comunicare all'aggressore i suoi dati riservati. come, ad esempio, l'account di accesso ai servizi bancari). L'aggressore (Phisher), attraverso un messaggio di posta elettronica, si spaccia, ad esempio, per l'amministratore di sistema dell'azienda del destinatario e propinando una storiella del tipo ?occorre effettuare una verifica di validità del vostro account? chiede alla vittima le informazioni cercate.

Un finto indirizzo mittente ben confezionato e , spesso, il gioco è fatto: l'ignaro destinatario cade nella trappola e rivela con dovizia di particolari i suoi segreti. Questo, in modo un po' più sofisticato come, ad esempio, utilizzando immagini e collegamenti ipertestuali che conducono ad un falso sito Web dell'azienda clonato per questo scopo dall'aggressore, è ciò che accade oggi nel Phishing dove i bersagli preferiti sono gli account di accesso ai servizi on-line in possesso dei clienti di vari istituti di credito per i quali, ovviamente, l'aggressore si spaccia nelle sue richieste. Nonostante gli avvertimenti che sia gli organi di informazione pubblici che gli stessi istituti continuamente espongono, sono ancora tantissimi coloro che cadono in questa rete con il risultato di ritrovarsi azzerato il proprio conto in banca nel giro di pochi minuti. Un esempio minimale di come sia realizzato un messaggio di posta elettronica di questo genere è il seguente:

From: Security@ISPvittima.it
To: indirizzo@vittima.it
Subject: Account Compromessi

Abbiamo rilevato che alcuni Account del nostro Network sono stati compromessi da alcuni aggressori a noi ignoti e anche il suo Account potrebbe essere stato violato.La preghiamo, quindi, di verificarne l'efficienza al più presto attraverso il seguente indirizzo:
http://www.sito.it/security/test.htm
Grazie per la sua cortese attenzione.

Il responsabile della sicurezza della Nome_azienda_vittima
IndirizzoAggressore@camuffato.it

Come è possibile osservare, il messaggio è stato confezionato in modo credibile al fine di indurre l'utente a verificare immediatamente la validità del suo account che, ovviamente, una volta inserito nel sito dell'aggressore, cadrà in mano di questo con le gravi conseguenze immaginabili. Quasi sempre l'aggressore non conosce quali sono i servizi finanziari utilizzati dalle vittime prese di mira, quindi, agisce alla cieca scegliendo dei servizi molto comuni (solitamente quelli degli istituti di credito più noti) ed inviando il suo messaggio ad un grande numero di persone: statisticamente, esistono molte probabilità di raggiungere utenti che effettivamente adoperano quel genere di servizio. L'operazione può essere cronologicamente riassunta come in tabella 1:

Tabella 1 - Cronologia di un attacco tramite Phishing.

Naturalmente, oltre a cercare di carpire informazioni riguardanti le credenziali di accesso ai servizi di carattere strettamente finanziario possono anche essere prese di mira altre credenziali come, ad esempio, quelle relative al nostro fornitore di accesso alla rete Internet o a qualunque altro servizio in rete basato sull'autenticazione dell'utente. La migliore difesa contro questo tipo di attacchi è la cautela; occorre che l'utente ponga molta attenzione e si ricordi, come per altro da diverso tempo la quasi totalità dei gestori di servizi ribadisce, che non è mai una prassi regolare chiedere le credenziali di un servizio tramite E-Mail. Un altro accorgimento che garantisce sicurezza è quello di non collegarsi mai al sito del gestore tramite un link ma, esclusivamente, digitando manualmente l'indirizzo sull'apposito spazio del nostro Browser, oppure, se decidiamo di adoperare il Link, occorre almeno assicurarsi che esso conduca effettivamente a ciò che sembra: per fare questo è quasi sempre sufficiente passare con il cursore del Mouse sopra il Link stesso e osservare il collegamento che appare sulla barra di stato in basso, oppure, visualizzare il messaggio in modalità testo al fine di accorgersi di eventuali tranelli.

Ad onor del vero occorre dire che esistono dei prodotti Software, anche di tipo Freeware, che possono aiutarci a difenderci da questa insidiosa tecnica come, ad esempio, la cosiddetta Toolbar Anti-Phishing di Netcraft reperibile all'indirizzo Internet http://toolbar.netcraft.com: questo Software ha lo scopo di assicurarci che il sito al quale siamo connessi sia effettivamente quello che sembra ma, dato che il suo funzionamento è basato sulle segnalazioni degli utenti, attraverso le quale viene aggiornata una sorta di Black List, non rappresenta una soluzione infallibile e, quindi, occorre sempre agire con molta prudenza. In merito al funzionamento di questo genere di Software, esiste una variante del Phishing denominata Distribited Phishing Attacks che utilizza numerosi siti fasulli al fine di eludere la verifica tramite Black List, verifica adoperata da quasi tutti i Software Anti Phishing. Si raccomanda la massima attenzione a questo genere di problemi, in quanto, anche credenziali di accesso ritenute di scarsa importanza, una volta carpite dall'aggressore, potrebbero generare gravi problemi: si pensi, ad esempio, alle credenziali per l'utilizzo di un disco virtuale in rete, il suo spazio potrebbe essere adoperato per conservare materiale illegale e, in questo caso, ovviamente, la responsabilità ricadrebbe sull'ignara vittima con tutte le conseguenze facilmente immaginabili.

Sembra inverosimile ma, nonostante l'ampio risalto dato dagli organi di informazione a questo genere di problemi, in questo tipo di tranello continuano a cascare tantissime persone ed in questi casi, tutte le protezioni Hardware e Software possedute non servono assolutamente a nulla. Il furto di identità perpetrato dagli aggressori ai danni delle loro vittime ha lo scopo di arricchire i primi attraverso il prelievo di denaro dai loro conti. In questo modo, però, gli aggressori sarebbero facilmente rintracciabili, in quanto, nella stragrande maggioranza dei casi, basterebbe osservare i dati delle transazioni effettuate per smascherare i colpevoli. Proprio per questa ragione essi interpongono un nuovo anello tra loro e le vittime, un anello rappresentato, solitamente, da utenti che svolgono il ruolo di inconsapevoli intermediari in questa truffa. Queste persone, adescate in modo subdolo, credendo di svolgere operazioni del tutto lecite, mettono a disposizione il loro conto bancario dietro il pagamento di generose commissioni: la parvenza di credibilità è dovuta anche al fatto che, spacciandosi per grosse multinazionali, questi individui fanno sottoscrivere alle ignare vittime dei contratti che, almeno a prima vista, sembrano del tutto regolari. In conclusione, quello che si verifica è una sorta di Phishing nel Phishing e, una volta individuata la truffa, questi ignari attori saranno i primi a pagare le conseguenze penali ed amministrative, almeno fin tanto che non si sarà fatta luce sull'intera faccenda.

La tecnica del Pharming
La tecnica del Pharming non utilizza modalità nuove rispetto al Phishing ma, piuttosto, rappresenta un'estensione di quest'ultima. Si parla di Pharming quando per coadiuvare il Phishing si realizzano delle pagine Web del tutto identiche a quelle originali al fine di raggirare gli utenti e ottenere le informazioni cercate. Nonostante questa similitudine tra le due tecniche, ho ritenuto doveroso affrontarle separatamente, in quanto, quest'ultima può operare in due differenti modalità. Oltre al modo più naturale, dove essa si configurava come una naturale appendice del Phishing, esiste un'altra modalità decisamente più sofisticata basata sull'alterazione delle tabelle di Routing dei DNS.

Nota: ricordiamo che i DNS (Domain Name System) sono dei Server che hanno lo scopo di mantenere aggiornata al loro interno una tabella d'associazioni (tabella di Routing) tra gli indirizzi numerici e i nomi delle macchine, questo al fine di potersi riferire a una particolare macchina attraverso il suo nome (esempio, www.mio-host.it) invece che tramite il suo indirizzo numerico (esempio, 10.22.83.213).

Nella seguente tabella 2 possiamo osservare una sintetica descrizione di entrambe le modalità operative:

Tabella 2 - Possibili modi di operare un attacco di tipo Pharming.

Il consiglio, almeno per quanto riguarda la difesa dalle tecniche di tipo standard, è quello di agire in modo preventivo, munendo il proprio elaboratore di strumenti idonei ad evitare certi tipi di rischi come, ad esempio, l'installazione di Trojan o l'alterazione di file: strumenti standard come un buon Antivirus e un Personal Firewall garantiscono un buon livello di sicurezza solo se configurati inizialmente con criterio e mantenuti costantemente aggiornati. Per quanto concerne la seconda modalità, invece, è chiaro che l'utente può fare ben poco, in quanto, la protezione dei DNS esterni ricade non su di lui bensì sui vari amministratori di rete. Occorre dire che, talvolta, a causa della poca dimestichezza dei truffatori d'oltreoceano con la lingua italiana, i messaggi che giungono sono davvero esilaranti e cascarci è davvero sinonimo di poca attenzione da parte degli utenti; frasi del tipo "Gentile Banco Poste Italiane Utente o Per eseguire la manutenzione regolare per favore scatto qui" o, peggio, "Proteggere la sicurezza del suo Primo conto bancario di Scambio il nostro interesse primario, e chiediamo scusa per qualunque inconvenienza che questo puo causare", non dovrebbero lasciare dubbi sulla loro provenienza ma, purtroppo, per quanto appaia incredibile, non è sempre così.

Ritorna all'indice dei tutorial