In questo contributo analizzeremo le varie tecniche di attacco che abbiamo elencato nel precedente articolo:  Phishing Simulation Attack: attacchi di Phishing e come fermarli

In base al “tool” utilizzato, possiamo avere molteplici tipologie di attacco phishing. In questa lista cerchiamo di analizzare le tecniche principali illustrandone le dinamiche e le azioni solitamente svolte dai Cyber Criminali durante gli attacchi

Phishing attack: le tecniche di attacco

  • Pharming o DNS–Based phishing;

  • Tabnabbing;

  • Fast flux;

  • Malware-Based phishing;

  • Man-in-The-Middle phishing;

  • Smishing;

  • Deceptive phishing;

  • Rock phish kit;

  • Search engine phishing;

  • Vishing

    Pharming o DNS-Based Phishing

    Come si può dedurre dal titolo, l’elemento cardine di questa tipologia di attacco è l’indirizzo DNS o Domain Name System che permette la navigazione dell’utente. Questo attacco è una sorta di “crack” che bypassa lo step dell’apertura dell’e-mail da parte dell’utente. Un malintenzionato può ottenere informazioni di molti utenti simultaneamente e, come abbiamo detto, non è necessario che gli utenti in questioni aprano nessuna e-mail infetta. Come è possibile ciò? Manomettendo l’indirizzo DNS l’utente target non si trova a visualizzare la pagina web desiderata ma si ritrova su una pagina creata ad arte dal Cyber Criminale. Ovviamente, gli hacker, hanno sviluppato tecniche estremamente sofisticate per rendere le pagine fake quasi identiche a quelle originali. L’utente, una volta che si ritrova sulla pagina creata dall’attaccante, inserisce le proprie credenziali per entrare nell’area riservata: è proprio in questo momento che l’attaccante entra in possesso delle informazioni personali dell’utente ignaro.

    Tabnabbing

    Il nome sembra molto complicato ma in realtà si tratta di una tipologia di attacco molto semplice che sfrutta un’abitudine consolidata tra i più. Questa abitudine è quella di aprire molteplici tab – da qui il nome tabnabbing – in un browser. L’utente, dopo aver aperto molte schede, procede con la visita scheda per scheda. Come funziona il processo? Cerchiamo di schematizzarlo per fasi:

    1. L’utente clicca su un link di una pagina di suo interesse.

    2. Questa scheda appena aperta non viene consultata immediatamente, è di uso comune, infatti, attendere qualche secondo perché la pagina si carichi correttamente (per esempio).

    3. Durante questo lag temporale di qualche secondo, l’utente consulta altre schede.

    4. La pagina precedentemente aperta, invece, non è una pagina legittima ma ne ha tutte le sembianze ed in questa pagina vengono richieste delle informazioni per effettuare il login.

    5. L’utente continua, intanto, la sua navigazione su altre schede “dimenticandosi” di aver aperto quel tab con la pagina non sicura.

    6. Tornando sulla pagina infetta che, ora ha tutte le sembianze di una pagina legittima, l’utente inserisce le credenziali che diventano di proprietà dell’hacker.

    Fast flux

    Cerchiamo di essere il più precisi e brevi possibili descrivendo il fast flux: cosa succede in termini pratici?

    L’attaccante invia un messaggio di posta elettronica che contiene un link ad un sito considerabile legittimo da parte della vittima. La vittima, infatti, clicca sul link e viene reindirizzata ad un server appartenente ad una botnet (ossia una rete infetta) che è stata infettata, appunto, da un malware che permette al Cyber Criminale di controllarla a suo piacimento.

    Nella fase successiva, la vittima, che si trova su un sito clone rispetto quello che dovrebbe legittimamente visitare, introduce le proprie credenziali di accesso che vengono immediatamente assorbite dalla versione fake del sito.

    Una volta che questo sito fake ha assorbito le credenziali dell’utente ignaro, l’utente viene immediatamente indirizzato al sito legittimo ignaro del tutto.

    I Cyber Criminali riescono a proteggere il dominio infetto in un modo molto efficace, è proprio in questa operazione che consiste il fluxing: nel ruotare velocemente gli IP associati ad ulteriori bot infetti.

    In questo modo “blacklistare” gli indirizzi IP non rappresenta una soluzione efficace.

    Malware-Based phishing.

    Ci soffermeremo parecchio in questo paragrafo valutando alcune opzioni possibili quando si parla di phishing malware-related. In termini generali, un attacco di questo genere avviene in seguito all’esecuzione di un software infetto (da un malware appunto) sul device della vittima ignara del tutto. Il programma, tuttavia, com’è possibile che si trovi sul device dell’utente?

    A questo proposito ci possono essere diverse opzioni, tra cui: l’exploit di una vulnerabilità nota o la pura e semplice ingegneria sociale. Questo programma, ad ogni modo, che è in running sul device della vittima carpisce le informazioni e le trasmette al Cyber Criminale.

    Abbiamo detto in principio di come ci possano essere molteplici varianti di attacchi phishing basati su malware, tra le altre possiamo “apprezzare”:

    • Keyloggers: questa tipologia di attacco è molto curiosa per le modalità in cui si manifesta. I software infetti predisposti per svolgere l’attacco si installano da soli all’interno degli strumenti di input (solitamente una tastiera) o all’interno del browser utilizzato per la navigazione. In questo modo, questi software malevoli riescono a carpire le informazioni immesse da parte della vittima e, di conseguenza, le inoltrano al Cyber Criminale. Anche in questo caso, i Cyber Criminali dimostrano un’innovatività eccezionale: è possibile che un utente non immetta le informazioni tramite metodi di input tradizionali (mouse o tastiera), in questo caso i phisher hanno predisposto gli screenlogger. Questi ultimi monitorano anche il display oltre ai classici strumenti di input precedentemente citati.

    • Web trojans: i cavalli di troia sono molto pericolosi, di fatto permettono che le informazioni inserite dall’utente durante la fase di autenticazione ad un sito vengano trasmesse direttamente al Cyber Criminale attraverso un software malevolo che si insidia proprio nelle sezioni di login. Nell’immagine seguente si può apprezzare meglio il flusso di questa specifica tipologia di attacco.

      • Session hijacking: già dal nome si può intuire immediatamente di cosa si tratta. Ciò che viene preso di mira in questa casistica è la sessione dell’utente. Cercando di andare al sodo, si può dire che l’attacco consiste nel furto dei cookie in uso che hanno lo scopo di autenticare un utente su un server remoto. In essere in molti siti internet è la pratica di utilizzare i cosiddetti cookies di sessione. Questa tipologia di cookies permette all’utente di non dover inserire nuovamente le proprie credenziali di accesso al fine di essere riconosciuto. Ovviamente, un qualsiasi malintenzionato che riuscisse ad introdursi in questo circolo e a sottrarre questi cookies, riuscirebbe a spacciarsi senza problemi per l’utente legittimo.

        Man-in-The-Middle phishing

        L’uomo che si frappone nel mezzo (in questo caso ovviamente colui che intraprende l’attacco phishing). Il malintenzionato in questione riesce ad introdursi tra la vittima e il sito internet legittimo. Essendo in questa posizione vantaggiosa, il Cyber Criminale riesce a recepire i messaggi originariamente destinati alla vittima ed in questo modo può disporne per accedere al sito internet legittimo. Di seguito uno schema riassuntivo del flusso dell’attacco:

        Questi attacchi sono veramente difficili da individuare. L’utente, completamente ignaro, si ritrova sul sito internet che dal suo punto di vista opera perfettamente. Una vittima potenziale non avrebbe, in alcun modo, di sospettare di essere vittima di un attacco di Man in The Middle perché il Cyber Criminale che lo sta attuando non lascia nessun segno visibile del proprio passaggio

        Smishing

        Il nome smishing deriva dal mezzo attraverso cui sono inviate le comunicazioni malevole alla vittima: l’SMS appunto. Nella prassi, l’utente riceve una comunicazione dalla propria banca. Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire la Call To Action richiesta dai Cyber Criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login. L’hacker ottiene le credenziali di accesso e allo stesso modo ottiene un’informazione cruciale, ossia: attraverso quale mezzo l’utente intende ricevere l’OTP – la password che consente l’autenticazione ai servizi online. In questo modo, il Cyber Criminale riesce – attivando illegalmente una SIM card – ad ottenere la password al posto della vittima ignara. Il passo seguente è tristemente noto: il denaro della vittima è in mano agli hacker.

        Deceptive phishing

        Questa forse è la concezione più tradizionale di phishing nell’immaginario comune. Le tecniche di phishing, negli ultimi anni, sono migliorate sensibilmente. Nei costanti messaggi di phishing che riceviamo quotidianamente nelle nostre caselle di posta non è un caso ritrovarsi testi in italiano corretto, privi di errori grammaticali. Questo, anni fa non era immaginabile per esempio.

        Questi messaggi con cui veniamo bombardati mirano a fare leva su un aspetto molto importante: quello psicologico. Provate ad immaginare: quale sarebbe la vostra prima reazione nel caso se doveste ricevere una mail dalla vostra banca dove vi viene detto di aggiornare urgentemente le credenziali perché in pericolo? Ora, invece, bisogna immaginare la reazione ad un messaggio del genere da parte di chi non ha la minima idea che esista il phishing. Non potendo ipotizzare nulla, se non la veridicità del messaggio, quasi chiunque si precipiterebbe a modificare le proprie credenziali… Specialmente se, una volta cliccato sul link malevolo contenuto nella mail, ci si dovesse ritrovare in un sito in tutto e per tutto identico a quello della propria banca.

        La pagina, del tutto simile a quella legittima, è ovviamente una creazione ad hoc dell’attaccante malevolo. L’attaccante stesso, una volta che la vittima ignara inserisce le proprie credenziali, è in grado di rubarle e di disporre come meglio crede dell’area riservata dell’utente.

        La formazione in materia di phishing è il vero elemento chiave per vincere questa battaglia e il deceptive phishing è l’esempio lampante

        Rock phish kit

        Come per gli exploit kit delle vulnerabilità note che sono disponibili nel vasto mercato del Dark Web, anche per il phishing sono disponibili dei tool ready made. Il rock phish kit permette ad un qualsiasi utente malintenzionato di creare:

        • La mail da usare per le campagne di phishing con tanto di hyperlink al sito clone.

        • Il sito clone ad hoc di quello legittimo. L’unica differenza dai siti legittimi? L’inserimento di moduli di raccolta informazioni.

        Search engine phishing

        Questa metodologia di attacco dimostra, ancora una volta, tutta la fantasia di cui gli hacker dispongono. In questo caso l’attaccante mette in campo anche le proprie competenze SEO, ma in che modo? Come si può dedurre dal titolo del paragrafo: indicizzando contenuti. Nella prassi, vengono creati dei siti internet che contengono prodotti del tutto falsi. Questi siti internet vengono indicizzati dai motori di ricerca e un utente ignaro che naviga su un sito del genere e procede ad un acquisto o effettua un login troverà un’amara sorpresa alla fine del processo.

        Tutte le informazioni che l’utente fornisce, di fatto, sono facile preda del Cyber Criminale che ne potrà, di conseguenza, disporre a proprio piacimento.

        Questa tecnica di attacco non conosce ovviamente limiti in termini di creatività. Vengono costruite vere e proprie campagne pubblicitarie mirate a pushare i siti malevoli ed indurre gli utenti a trovare condizioni più vantaggiose o prodotti miracolosi.

        Vishing

        La fase iniziale di questa tipologia di attacchi non è nulla di nuovo rispetto a ciò che abbiamo visto in precedenza: l’utente riceve un messaggio da parte della propria banca in cui si richiede un’azione immediata. Ciò che cambia, nel vishing, è il fatto che all’utente non viene chiesto di collegarsi al sito della propria banca per cambiare le credenziali di accesso, ma viene chiesto di telefonare ad un numero di telefono indicato ovviamente nel messaggio.

        Chi ci può essere dall’altro capo del telefono se non un falso centralinista? L’utente a questo punto, persuaso dal centralinista, fornirà le proprie informazioni personali ed il gioco, per il Cyber Criminale, è fatto.

        Dal punto di vista psicologico, questa tecnica è potenzialmente letale. Di fatto, è del tutto plausibile che una persona non si fidi di un messaggio e-mail per quanto ben strutturato. Tutt’altra storia, invece, per quanto riguarda un altro essere umano che “dovrebbe” fare il proprio lavoro e aiutarvi a risolvere un presunto problema.

        Il Phishing simulation attack è sicuramente un servizio che permette alle aziende di contrastare in maniera efficace questi rischi. Ma da solo non basta. Scopriamo cosa fare…