Come riconoscere una mail di phishing. Ovvero, i’m not your sucker.

Di Corrado Aaron Visaggio

Nel secondo quadrimestre 2015 i laboratori di Kapersky hanno ricevuto 30 milioni di email di phishing (https://securelist.com/analysis/quarterly-spam-reports/71759/spam-and-phishing-in-q2-of-2015/).

Secondo un rapporto dell’RSA (http://www.emc.com/emc-plus/rsa-thought-leadership/online-fraud/index.htm), più della metà degli utenti di internet hanno ricevuto almeno una mail di phishing al giorno. Il phishing causa un costo alle Organizzazioni di circa 4,5 Miliardi di dollari all’ anno.

La migliore difesa che le organizzazioni hanno contro il phishing è il  DMARC (Domain-based Message Authentication Reporting and Conformance) (http://returnpath.com/research/getting-started-with-dmarc/?_ga=1.157753530.1206096078.1459583554). DMARC è una tecnologia che valuta l’attendibilità del mittente di una e-mail, basandosi su standard come SPF (Sender Policy Framework) ed il  DKIM (Domain Keys Identified Mail).

Purtroppo le e-mail di phishing diventano sempre più sofisticate nonostante i numerosi ed efficaci software di antiphishing (consigliati al termine dell’articolo): si stima che ancora il 97% degli utenti del Web non sia in grado di distinguere una mail di phishing (sofisticata) da una e-mail genuina.

Vediamo alcuni trucchi per metterci al riparo da una possibile e-mail di phishing.

TIP 1: Not in my name, ovvero: non ti fidare del nome del mittente.

Una delle tattiche più diffuse dai phisher è quello di utilizzare nel mittente il nome di una banca, un servizio, un ente, una persona ben nota alla vittima.

Prendiamo una reale mail di phishing che mi è arrivata ieri:

Da:

PayPal <satish.chandran@sendmygift.com>

A:

visaggio@unisannio.it

Oggetto:

Your Paypal ID was used to sign in to Paypal via a web browser.‏

E questo è il testo della mail:

*PayPal* 
 

*   
  
*       Notice to : visaggio@unisannio.it
       Your Paypal ID was used to sign in to Paypal via a web browser. 
*       Here is detail :*
       Date and Time: April 01, 2016, 7:04 AM PDT 
       Browser: Safari
       Operating System : Linux 
       If the information above looks familiar, you can disregard this
email.
       If you have not signed in to PaypaI recently and believe someone may

       have accessed your account, to verify your account 
*
*
     Log in <http://paypal.com-com-id.com-resolution-center.com/>       
*    
*        Please do not reply to this email. Unfortunately, we are unable to
respond 
        to inquiries sent to this address
        For immediate answers to your questions,
        simply visit our Help Center by clicking “Help” at the bottom
of any PayPal page. 
*
        © 2016 Paypal Inc, All rights reserved. 

Il phisher vuole farmi credere di essere PayPal, ma il dominio dell’indirizzo reale è sendmygift.com, chiaramente non il dominio di PayPal. Fra l’altro, cercando sendmygift.com nel web, viene fuori un sito che nulla a che vedere con PayPal.

TIP2: Guardare ma non toccare.

Se il testo della mail contiene link, non cliccateci! Almeno non immediatamente.

Esaminate il link, soprattutto se appare “strano”. Il testo della mia email (di phishing) mi avvisa che qualcuno ha fatto un accesso sospetto al mio conto PayPal e che, per verificare il mio conto, devo loggarmi all’indirizzo:

<http://paypal.com-com-id.com-resolution-center.com/>

Immettendo il link su www.whois.domaintools.com (un servizio che fornisce un po’ di indicazioni sul sito) scopro che il sito è intestato ad un signore di Los Angeles e non certo a PayPal.

Ma soprattutto se googlo “paypal resolution center”, scopro che il “vero” indirizzo di “paypal resolution center” (che è un servizio reale di PayPal) è: https://www.paypal.com/us/cgi-bin/?cmd=xpt/Customer/customerservice/GXOLogin-outside (che fra l’altro ha un aspetto molto più credibile di quello di prima).

Fate attenzione, perché il fatto che compaia la parola “paypal” nell’url non vuol dire necessariamente che siete sul sito reale di paypal.

Questo  http://www.paypal.com è Paypal.

Questo http://subdomain.paypal.com è ancora PayPal.

Ma questo  http://paypal.someotherdomain.com NON è PayPal.

TIP3: Cerca gli errori

Aziende, organizzazioni ed enti che inviano e-mail, soprattutto per comunicare questioni importanti, sono molto attente alla forma. Per cui se nella email trovate errori grammaticali, con molta probabilità siete in presenza di una mail di phishing. La mia mail di phishing presenta una formattazione del tutto disordinata, piena di asterischi.

TIP4: Ci conosciamo?

Osservare sempre attentamente l’incipit della mail, ovvero come venite salutati: se non è riportato il vostro nome e cognome, alzate le antenne! Nella mia mail di phishing, infatti, non viene riportato il mio nome né il mio cognome, ma un generico “Notice to : visaggio@unisannio.it”. Questo capita perché gli indirizzi delle vittime vengono pescati “a strascico” dal web o da altre sorgenti (che spiegherò in un futuro articolo), e non sono quasi mai associati al nome e cognome del mittente. Tranne in casi di social engineering più sofiscati, ma anche più rari, almeno per il momento. Oramai le reti sociali sono la sorgente primaria da cui i truffatori pescano informazioni sulla nostra vita privata per realizzare truffe più articolate e credibili. Ma questo è tutta un’altra storia.

TIP5: Favorisca Patente e Libretto.

Nessuna banca, azienda o servizio Web SERIO vi chiederà credenziali via mail. Quindi non datele mai via mail le vostre credenziali: queste si inseriscono attraverso processi sicuri e più articolati di una banale mail.

TIP6: E’ urgente.

Il 99% delle volte le e-mail di phishing (e moltissime frodi) richiedono alla vittima di fare qualcosa con estrema urgenza, perché qualcosa di molto grave è appena accaduto o è in procinto di succedere. Si guardi l’oggetto della mia mail di phishing: “Your Paypal ID was used to sign in to Paypal via a web browser.‏” Qualcuno ha usato il mio account PayPal: una catastrofe!

L’obiettivo di un truffatore è quello di attirarvi nella truffa e per far questo deve attrarre la vostra attenzione e darvi fretta, in modo da ridurre la possibilità che vi mettiate lì a riflettere su quello che state facendo. Per cui utilizzerà vari metodi. La mail potrebbe provenire da un’Agenzia piuttosto che un Ente governativo (in Italia sono molto diffusi Agenzia delle Entrate o Equitalia), una banca, un servizio di pagamento (PayPal, PostePay). La mail potrebbe proporvi un affare troppo buono per essere vero (e infatti sarà falso). La mail potrebbe contenere richieste di aiuto da parte di un vostro conoscente che è stato derubato nella stazione di Amsterdam, e così via.

TIp7: Si, ma chi sei?

Qualunque comunicazione via mail di una organizzazione seria e soprattutto genuina termina con la firma di un qualche responsabile (nome e cognome) con relativi contatti a cui riferirsi per la questione in oggetto alla mail. Quando manca, preoccupatevi! Nella mia mail, infatti, non compare il nome di nessuno.

TIP8: non aprite gli allegati.

Si può affermare che non esistono più formati di file sicuri. I malware si possono annidare in una lista lunghissima di formati di file (molti dei quali insospettabili ai più). Per cui, nel dubbio, evitate di cliccare sugli allegati. Si ricorda che ultimamente i ransomware arrivavano con una mail inviata da una (falsa) equitalia con allegato un pdf o un zip che avrebbe dovuto contenere una cartella da pagare, ed invece conteneva un letale teslacrypt.

TIP9: non ti fidar di me.

Fate attenzione, perchè potreste ricevere una mail di phishing anche dall’indirizzo reale di una persona che conoscete o di un’azienda. Il consiglio è di verificare sempre telefonicamente o attraverso una mail inviata all’indirizzo di provenienza la conferma che quella mail sia reale oppure no. Ovviamente quando la mail risulta inattesa o ha dei contenuti un po’ inusuali.

TIP10: non credere ai tuoi occhi

A volte le mail di phishing sono fatte terribilmente bene: l’indirizzo di email sembra proprio quello reale, la mail contiene il logo dell’azienda o la firma del mittente ed è scritta in italiano corretto. In questo caso solo l’intuito o il buon senso vi può aiutare. Se nutrite anche un lontanissimo sospetto, come dicevano i latini, in dubio pro reo. Verificate! Chiamate il contatto fornito o mandate una mail per chiedere conferma che siano stati proprio loro ad inviare quella mail.

Qualche aiutino software.

Fate un giro su://www.mywot.com/ . Questo sito web, vi fornisce un software, Web of Trust, che è un plugin per molti browser, tra cui Chrome, Firefox, Internet Explorer, Opera, Safari,  e che vi segnala i siti malevoli, di phishing o pericolosi.

Per chi usa Outlook o Thunderbird un’efficace estensione antiphishing è Deplhish (http://www.delphish.com/).

GianoFamily (https://www.gianofamily.org/informazioni/progetto/presentazione-giano-family.html) è un ottimo sito con una collezione ampia di software, soluzioni e manuali per proteggere gli ambienti domestici ed i minori dai diversi pericoli della rete, incluso il phishing.

Software di antiphishing ne esistono tanti, ma c’è una organizzazione, AV-test, che testa, insieme agli antimalware, anche gli antiphishing. Qui si trova la classifica dei migliori: http://www.av-comparatives.org/anti-phishing-test/.

Lo Stanford Security Lab ha rilasciato ben 4 estensioni per il browser contro gli attacchi di phishing che possono rintracciarsi qui: https://crypto.stanford.edu/antiphishing/

5 add-ons per Firefox possono essere trovati qui: http://toppersworld.com/top-5-anti-phishing-firefox-add-ons-extensions/

Leave a Reply