Le barre antiphishing

Le truffe online hanno trovato terreno fertile nel momento in cui la maggior
parte dei servizi tradizionali ha cominciato a spostarsi sulla rete. Sfruttando
la buona fede ma anche la generale ignoranza dei navigatori, i nuovi truffatori
usano tecniche di

ingegneria sociale per estorcere ai malcapitati informazioni riservate che
riutilizzano a proprio vantaggio.
Il successo di tali frodi ha uno dei suoi fondamenti nell'enorme bacino di
utenza che Internet offre. Anche un modesto pescatore sarà in grado di catturare
qualche preda se il mare è colmo di pesci. Da questo paragone nasce il termine
phishing, storpiatura del verbo inglese to fish che significa
appunto pescare. Il truffatore non deve fare altro che lanciare la sua esca e
aspettare che qualcuno abbocchi.

Il

bollettino di novembre dell'Anti-Phishing
Working Group rivela che nell'ultimo anno il fenomeno ha praticamente
raddoppiato il suo volume e che l'allarme, inizialmente limitato a nazioni di
lingua inglese, si è esteso rapidamente ad altre regioni, Italia compresa. Una
mappa
aggiornata settimanalmente descrive in modo dettagliato il livello di allerta a
livello mondiale.

Il phishing ha come obiettivi privilegiati gli utenti dei siti del settore
finanziario e dell'home banking e, più in generale, di tutti quei siti che
rendono possibili transazioni dirette o indirette di denaro (ad esempio PayPal e
eBay). Se un truffatore riuscisse ad impadronirsi dei dati di accesso
dell'utente a tali siti o riuscisse ad accedere ad altre informazioni riservate
come i suoi numeri di carta di credito, potrebbe effettuare acquisti o movimenti
bancari a danno del legittimo proprietario.

Di seguito si illustreranno alcune tecniche usate dai phisher per portare a
termine queste frodi online e si descriveranno alcune toolbar, integrabili neiÂ
più diffusi browser, che possono aiutare l'utente a riconoscere e ad evitare tali
pericoli.

Come agisce il Phisher

Obiettivo dell'attacco è il furto di identità di un sito che l'utente ritiene
assolutamente affidabile. I mezzi necessari per raggiungere questo scopo sono
piuttosto semplici: sono sufficienti uno spazio web e la
possibilità di spedire email in quantità elevata.

I passi in cui l'attacco si concretizza possono essere riassunti nei seguenti
punti:

• L'attaccante spedisce ad un numero elevato di utenti una email falsificata
  che sembra provenire da una società, istituto di credito o altro sito

  noto e ritenuto affidabile. L'operazione risulta agevole dato che
  la falsificazione del mittente di una email è operazione fin troppo semplice.
  Gli obiettivi potenziali di questo messaggio sono gli utenti che possiedono un
  account online presso tali società.

• Il contenuto dell'email, il cui stile ricalca in tutto quello del sito web
  sotto attacco, riporta in genere avvisi riguardanti problemi avvenuti sui
  server dell'azienda (scadenza dell'account, addebiti errati etc...) la cui
  soluzione richiede una autenticazione immediata al sito. Un link presente nel
  messaggio permette all'ignaro utente di effettuare direttamente l'operazione.
• L'apertura del link porta ad un sito fasullo, creato ad arte dal phisher,
  che ricopia esattamente l'impostazione e la grafica di quello originale.
  Rassicurato dall'aspetto familiare della pagina il malcapitato inserirà i
  propri dati di login e si autenticherà fornendo inconsapevolmente
  all'aggressore proprio le informazioni per lui più preziose.

Quelli illustrati sono i passi essenziali ma le varianti sono tante e possono
raggiungere anche un elevato livello di sofisticazione.
L'analisi dell'url presente sulla barra degli indirizzi del browser, per
esempio, rivelerebbe facilmente all'utente che il sito aperto non è quello originale. Per
evitare la possibilità di essere smascherati, alcuni phisher fanno sì che un
click sul link incriminato produca sia l'apertura del sito legittimo sia quella
di una finestra più piccola, priva di barra degli indirizzi, contenente il
modulo fasullo per l'autenticazione. L'impossibilità di verificare la fonte
della seconda finestra induce l'utente a credere che sia la stessa di quella
principale.
Attacchi ancora più sofisticati prevedono il redirezionamento delle associazioni
presenti nei DNS dei provider tramite tecniche di
dns cache poisoning oppure la
redirezione locale sul pc dell'utente tramite la modifica del file hosts
eseguita attraverso l'invio di
trojan horse. Questo tipo di
attacco, denominato
pharming, consente al phisher di far visualizzare
correttamente l'url originale sulla barra degli indirizzi anche se l'IP del sito
visualizzato è quello fasullo.

Come difendersi

Mai come in questo caso la miglior difesa è la conoscenza del problema. Evitare di essere vittima del phishing è
relativamente semplice, basta seguire poche semplici regole:

• Nessuna azienda seria vi chiederà mai via email di
  inserire la vostra password o i vostri dati di autenticazione per una verifica
  o per la soluzione di un problema. In ogni caso per accedere al sito non cliccate
  mai direttamente sui link presenti in email sospette ma digitatene l'url manualmente
  nella barra degli indirizzi.
• Se avete dei dubbi riguardo ad un messaggio ricevuto
  fate una ricerca sulla rete per verificare se recentemente è stato sferrato un
  attacco di phishing nei confronti dell'azienda in oggetto. Anti-phishing.it
  mette a disposizione degli utenti un
  
  archivio dei principali casi di phishing italiani.
• Mantenete aggiornato il vostro sistema ed in particolare il vostro
  browser. In passato alcune vulnerabilità hanno facilitato le operazioni di
  falsificazione

Per ulteriori informazioni l'ABI (Associazione Bancaria Italiana) ha redatto un
decalogo antiphishing utile sia ai fornitori di servizi sia agli utenti.

Barre AntiPhishing

Le barre antiphishing sono estensioni per i browser, utili per avere
maggiori informazioni su ciò che stiamo realmente visitando. È bene precisare
che sono ben lontane dall'essere la soluzione definitiva al problema. Devono
quindi essere considerate solo un valido aiuto.

SpoofStick

SpoofStick è lo
strumento in assoluto più semplice della nostra rassegna ed è disponibile sia
per Internet Explorer che per Firefox. La versione attuale è solo in inglese ma
questo non risulta un problema viste le funzioni minimali del programma.

La barra visualizza semplicemente in caratteri ben visibili il nome del
dominio del sito caricato. È così possibile verificare con un semplice colpo
d'occhio, anche in presenza di url molto complicati, se stiamo navigando sulle
pagine corrette. Se qualcuno cercasse di ingannarci attraverso un indirizzo
del tipo www.paypal.com.phisher.com la barra indicherebbe chiaramente che il
dominio visitato è phisher.com
Spoofstick rileva inoltre il tentativo di mascherare un
indirizzo tramite il carattere @. A causa di una
vulnerabilità
di alcune versioni meno recenti di IE questo metodo permette la falsificazione dell'url visualizzato nella
barra degli indirizzi.
Si fa presente inoltre che un eventuale attacco di pharming non può essere
rilevato da SpoofStick.

Netcraft Toolbar

È sicuramente la barra antiphishing più conosciuta e più ricca di funzioni. È
disponibile unicamente in
inglese sia nella versione per IE che per Firefox. Il suo funzionamento si basa
sulla consultazione in tempo reale dei database di Netcraft. Attraverso i dati
ottenuti, la barra visualizza alcune informazioni che ci permettono di 
trarre delle conclusioni circa l'attendibilità del sito.

Di seguito diamo una breve descrizione dei dati che possiamo ottenere.

• La voce "since" presente nella barra indica la data in cui per la
  prima volta Netcraft ha avuto notizia dell'esistenza del sito. Più lontana nel
  tempo è questa data, minori sono le possibilità che la pagina sia fraudolenta.
  I siti di phishing infatti vengono normalmente chiusi nel giro di poco di
  tempo e hanno quindi vita breve.
• La voce "rank" indica la posizione occupata nella classifica dei siti più visitati tra gli utilizzatori della toolbar
  di Netcraft. Più alta è la posizione in classifica e maggiore è la probabilità che il sito sia legittimo.
• Il link "site report" fornisce un elenco dettagliato di
  informazioni  molto utili per ulteriori investigazioni da parte
  dell'utente. Tra queste troviamo il nome del dominio, la persona che lo ha
  registrato, l'indirizzo IP, la nazionalità e il nome del server DNS
  autoritativo. Nel caso il dominio abbia un certificato di protezione SSL ne
  vengono visualizzati i dettagli.
• Una bandiera indica la nazione presso la quale è registrato
  l'indirizzo IP del sistema su cui è presente il sito. È disponibile una
  lista
  con le nazioni note per essere a maggiore di rischio phishing.
• L'ultimo link presente sulla barra indica il nome di chi ha registrato il
  net-block cui appartiene l'IP. Solo le organizzazioni più grandi hanno
  direttamente registrato un blocco di IP. Le altre in genere si affidano a
  fornitori di servizi che affittano loro gli indirizzi. In quest'ultimo caso il
  possessore del dominio e quello del net-block non coincideranno. Incrociando
  questi dati sull'IP con quelli sul dominio è possibile rilevare eventuali
  attacchi di pharming.
• Basandosi sui dati precedentemente descritti lo speciale indicatore "Risk
  Rating" da una valutazione complessiva della pericolosità del sito
  visitato. L'indice di rischio aumenta tra l'altro se l'url contiene un IP
  invece che un nome di dominio, se si usano porte di comunicazione non standard
  e se la storia passata del dominio, del provider o della nazione di
  appartenenza porta dei precedenti di phishing.

Se tentiamo di visitare una fonte di phishing nota al database di Netcraft,
la barra bloccherà la nostra visita con la seguente finestra.

I tutorial di Netcraft
FAQ Netcraft Toolbar

SpoofGuard

SpoofGuard
è disponibile in lingua inglese unicamente per Internet Explorer. La barra è
molto semplice ed è costituita da soli tre elementi.
Il primo rappresenta un semaforo colorato attraverso il quale viene assegnato un
indice di pericolosità alla pagina corrente. In ogni istante è possibile
cliccare sul semaforo per ottenere ulteriori informazioni sulle modalità con le
quali il programma ha dato la sua valutazione.
Il secondo pulsante "options" è riservato ad utenti esperti in quanto consente
di modificare il peso dei vari test che concorrono a comporre il giudizio
complessivo sul sito. A meno che si voglia sperimentare è consigliabile lasciare
i valori predefiniti.
Il terzo pulsante, "reset", cancella tutte le informazioni memorizzate dalla
barra durante la navigazione. I dati conservati da IE, quali cronologia, file
temporanei e cookie, non vengono alterati.

SpoofGuard basa le sue valutazioni su un certo numero di analisi. Ad esempio
si verifica se il sito attualmente visitato sia già presente nella cronologia
del browser: se in passato lo abbiamo già visitato è molto probabile che sia
legittimo.
Si cerca di individuare inoltre se nella cronologia siano presenti nomi di
dominio molto simili a quello selezionato: i phisher cercano spesso di ingannare
l'utente scegliendo nomi di dominio che differiscono di poche lettere da quello
legittimo (ad esempio www.paypai.com invece di www.paypal.com). Se questo
succede il sito viene giudicato negativamente. La stessa cosa succede se
SpoofGuard individua che la pagina è stata aperta cliccando sul link di una
email.
Altri test assegnano un certo indice di pericolosità se i form presenti nella
pagina  non vengono inviati tramite una connessione criptata SSL e se le
immagini caricate sono identiche a quelle di un altro sito precedentemente
visitato. In questo caso si suppone che il sito sia a rischio di falsificazione.

Come si può intuire il funzionamento del motore del programma è piuttosto
complesso e per ulteriori dettagli si consiglia di visitarne la home page.

Il funzionamento di Spoofguard è sicuramente originale affidandosi totalmente
a considerazioni
euristiche
e non essendo basato su alcun database. Questo a volte  porta però a
risultati un po' imprevisti...

Links e risorse

Anti-Phishing
Working Group
Anti-phishing.it
Risorse sul
phishing su spamlinks.net

Do security toolbars actually prevent phishing attacks?