Phishing – Approfondimento tecnico e strumenti di analisi

In questa pagina di approfondimento

Psicologia del phishing e bias cognitivi

Il phishing non si basa solo sulla tecnologia, ma soprattutto sulla psicologia dell’utente. Gli attaccanti sfruttano una serie di bias cognitivi, cioè scorciatoie mentali che usiamo tutti per decidere in fretta.

• Autorità
  Il messaggio sembra provenire da un ente autorevole (banca, scuola, ente pubblico, “IT aziendale”). Molti utenti tendono a fidarsi e ad eseguire senza verificare troppo.
• Urgenza
  «Il tuo account verrà bloccato entro 2 ore», «Devi confermare subito il pagamento». Creare urgenza spinge le persone a cliccare prima di pensare.
• Scarsità
  «Ultima occasione», «Solo pochi posti disponibili». La paura di perdere un’occasione porta a comportamenti impulsivi.
• Social proof (prova sociale)
  «Tutti i nostri clienti hanno già aggiornato i dati». Se pensiamo che “lo fanno tutti”, siamo più propensi a farlo anche noi.
• Curiosità
  Allegati o link con oggetti del tipo «Foto imbarazzanti», «Curriculum candidato», «Nuove regole interne». La curiosità è una leva molto potente.

Tecniche di phishing avanzate

Oltre alle email generiche, esistono tecniche di phishing più sofisticate, spesso difficili da riconoscere.

Quishing (QR code phishing)

Il link malevolo non è visibile come testo, ma è nascosto in un QR code: volantini, email stampate, cartelli con “menù digitale”, finti avvisi di corrieri o pubblicità su bacheche. Scansionando il QR con lo smartphone, si apre un sito web fasullo che chiede credenziali o dati di pagamento.

Browser-in-the-Browser (BitB)

L’attaccante riproduce una finta finestra di login di Google, Microsoft o altri servizi, all’interno della pagina stessa. La finestra sembra identica a quella reale (logo, URL nella barra finta), ma in realtà non è un vero browser. L’utente inserisce la password pensando di autenticarsi in modo sicuro, ma la sta consegnando all’attaccante.

Phishing su OAuth e Single Sign-On

Invece di rubare direttamente la password, alcuni attacchi cercano di farti concedere permessi eccessivi a un’applicazione malevola (es. “Accedi con Google”, “Accedi con Microsoft”). Una volta autorizzata, l’app può leggere email, calendari o file, pur senza conoscere la tua password.

Spear phishing e whaling

Spear phishing: attacco mirato a una singola persona o a un piccolo gruppo, costruito con dati reali (colleghi, progetti, ruolo).
Whaling: versione dello spear phishing rivolta a dirigenti o figure apicali (“balene”). Qui l’obiettivo è spesso quello di ottenere bonifici, firmare documenti o accedere a dati altamente sensibili.

Protezione dell’identità digitale

Difendersi dal phishing significa anche proteggere la propria identità digitale nel tempo.

• Password manager
  Utilizzare un gestore di password permette di avere password lunghe e diverse per ogni servizio. Se una viene rubata, non dà accesso a tutto.
• Verifica di violazioni note
  Alcuni servizi online permettono di controllare se il proprio indirizzo email è comparso in data breach. In caso positivo, è bene cambiare password e attivare l’autenticazione a più fattori.
• Controllo dei dispositivi connessi
  Nei pannelli di Google, Microsoft, social network, è possibile vedere da quali dispositivi o applicazioni ci si è connessi ed eventualmente disconnettere le sessioni sospette.
• Gestione delle autorizzazioni delle app
  Periodicamente è utile controllare quali app hanno accesso al proprio account (es. “Accedi con Google”) e revocare quelle che non si usano più o che non si riconoscono.

Siti fasulli, domini sospetti e typosquatting

Molti attacchi di phishing usano siti che imitano in modo quasi perfetto quelli reali, ma il dominio non è esattamente uguale.

• Typosquatting
  Registrazione di domini con errori di battitura o caratteri molto simili: post3.it invece di poste.it, arnazon.it invece di amazon.it.
• Domini lunghi e complessi
  L’attaccante inserisce il nome dell’azienda come sotto-cartella: https://example.com/secure/amazon/login oppure come sottodominio di un sito sconosciuto: https://amazon.login.example.net/.
• Domini internazionalizzati (IDN) e caratteri omografi
  Alcuni caratteri di alfabeti diversi assomigliano visualmente a quelli latini (es. “а” cirillica che somiglia ad “a” latina). In questo modo è possibile creare URL che sembrano corretti, ma non lo sono.

Phishing su smartphone e tablet

Molti utenti ormai leggono quasi tutte le email da smartphone. Questo ha alcuni vantaggi, ma anche rischi:

• L’anteprima dell’indirizzo email del mittente è spesso abbreviata o nascosta.
• I link sono più difficili da ispezionare: non sempre è immediato “passare il mouse” come da PC.
• Gli SMS di smishing si confondono facilmente con quelli legittimi di corrieri e banche.
• App fake negli store possono imitare app reali, ma essere state pubblicate da sviluppatori non affidabili.

Approccio tecnico (1): analisi del dominio

Un approccio più tecnico alla difesa dal phishing parte dall’analisi del dominio a cui punta il link sospetto.

Passo 1 – Guardare il dominio principale

Nell’URL, concentrarsi sulla parte tra https:// e il primo /. Il dominio principale è la parte immediatamente prima del TLD (.it, .com, .org, ...).

Esempio:
https://secure-login.amazon.example.net/account
Il dominio principale è example.net, non amazon.

Passo 2 – Verificare il certificato HTTPS

Il lucchetto non garantisce che il sito sia legittimo, ma garantisce solo che la connessione è cifrata. Tuttavia, cliccando sul lucchetto è possibile vedere per chi è stato emesso il certificato e confrontarlo con il dominio.

Passo 3 – Informazioni DNS e WHOIS (per utenti avanzati)

Per studenti più grandi è possibile introdurre strumenti come:

• nslookup o dig per vedere i record DNS;
• servizi WHOIS per scoprire quando è stato registrato il dominio e da chi.

Domini creati di recente e con dati oscurati possono essere un ulteriore campanello d’allarme (anche se non sempre).

Approccio tecnico (2): analisi degli header email

Ogni email contiene una serie di header tecnici che normalmente non vediamo nelle interfacce grafiche. Analizzarli permette di capire:

• da dove è realmente partita la mail;
• se il dominio mittente ha superato i controlli SPF/DKIM/DMARC;
• se ci sono stati inoltri sospetti lungo il percorso.

Header principali da osservare

• From: è il mittente visualizzato dall’utente, può essere facilmente falsificato.
• Return-Path: indica l’indirizzo a cui tornano gli errori di recapito. A volte rivela un indirizzo diverso e sospetto.
• Received: catena di server attraversati dall’email. L’ultimo in alto è spesso quello più vicino al destinatario.
• Reply-To: indirizzo diverso a cui vengono inviate le risposte. Può puntare a un account dell’attaccante.

SPF, DKIM e DMARC (cenni)

• SPF (Sender Policy Framework)
  Elenco di server autorizzati ad inviare email per un certo dominio. Se un server non autorizzato prova a inviare, il controllo può fallire.
• DKIM (DomainKeys Identified Mail)
  Firma crittografica del contenuto della mail. Permette di verificare che il messaggio non sia stato modificato in transito e che provenga realmente da quel dominio.
• DMARC
  Politica che dice cosa fare quando SPF o DKIM falliscono (es. accettare, mettere in spam, rifiutare).

Approccio tecnico (3): analisi del corpo del messaggio e degli allegati

Anche il testo dell’email (body) e gli allegati possono essere analizzati in modo più tecnico.

Link nel corpo del messaggio

• Controllare l’URL reale del link (passando il mouse o copiando l’indirizzo).
• Verificare la presenza di URL accorciati (es. bit.ly) che nascondono il dominio finale.
• Cercare eventuali reindirizzamenti multipli prima di arrivare al sito definitivo.

Codice HTML dell’email

In molte interfacce è possibile visualizzare l’email in formato “solo testo” oppure vedere il codice HTML. Nel codice possono comparire:

• link nascosti dietro a pulsanti o immagini;
• codice offuscato, ad esempio JavaScript in pagine esterne;
• tracking pixel per capire se il destinatario ha aperto il messaggio.

Allegati sospetti

• File eseguibili (.exe, .js, .bat);
• Documenti Office con macro (.docm, .xlsm);
• Archivi compressi (.zip, .rar) con contenuto non chiaro.

Prima di aprire un allegato è bene chiedersi: «Mi aspettavo questo file? L’ho richiesto io? È coerente con il mittente?».

Cosa fare se si è caduti in una trappola di phishing

Anche gli utenti più attenti possono sbagliare. L’importante è reagire subito per limitare i danni.

1. Cambiare immediatamente le password
   Soprattutto se si è inserita la password su un sito falso. Evitare di riutilizzare password già usate altrove.
2. Attivare o verificare l’autenticazione a più fattori (MFA)
   Anche se la password è stata rubata, MFA può impedire accessi non autorizzati.
3. Controllare le sessioni e i dispositivi attivi
   Dal pannello dell’account (Google, Microsoft, social, banca) verificare le sessioni aperte e disconnettere quelle sospette.
4. Contattare immediatamente la banca o il servizio coinvolto
   In caso di dati bancari inseriti, chiamare il numero ufficiale (non quello presente nell’email) per bloccare carte o operazioni.
5. Segnalare l’accaduto
   In ambito scolastico, informare il docente o il referente per la sicurezza digitale. Nella vita quotidiana, è possibile rivolgersi alla Polizia Postale per segnalare truffe online.

Lo sapevi che…?

• Una grande percentuale degli attacchi informatici inizia con una semplice email.
• Chi fa phishing non deve per forza essere un super hacker: spesso usa kit pronti all’uso scaricati da internet.
• Molte aziende fanno campagne di phishing simulate per misurare quanto i dipendenti siano attenti alle truffe.