FRODE IN INTERNET: DAL PHISHING AL PHARMING
1. INTRODUZIONE:
In un informe precedente di Recovery Labs si faceva uno studio esaustivo sopra il fenomeno
del phishing, la sua ripercussione e le differenti forme di combatterlo. Attualmente il
phishing continua la sua evoluzione ed è sempre più presente nei messaggi che riceviamo e
la sua diffusione in quanto a Paesi e lingue è sempre maggiore. Però la sua evoluzione finale
è culminata con l’apparizione del Pharming, ancora più pericoloso e, nel caso in cui arrivi a
realizzarsi, molto più dannoso del phishing tradizionale.
Nel presente informe andiamo ad analizzare la reltà del phishing, le sue tecniche di inganno
e le statistiche della sua attuale espansione. In secondo luogo andremo a spiegare
chiaramente il fenomeno del pharming e come lottare contro di esso.
2. CHE SONO ?
Tuttte le informazioni necessarie su quello che è il phishing, come funziona o come evitarlo le
possiamo incontrare nel precedente informe, che si può locolizzare al seguente indirizzo:
http://www.recoverylabs.it/rapporti/Recovery_Labs_phishing.pdf
Comunque, per recordarlo e come passo preliminare per spiegare che è il pharming, diremo
che il PHISHING non è altro che la sostituzione non autorizzata di siti Internet. Si tratta di
indirizzi di posta elettronica ingannevoli e pagine web fraudolente che sembrano procedere
da istituzioni di fiducia (banche, entità finanziarie, etc.), però che in realtà sono state create
per raggirare il destinatario e fare in modo che divulghi informazioni confidenziali. Per questo
motivo il phishing si considera una frode che si avvale della “ingegneria sociale”, per questo il
suo esito è tanto limitato visto che non tutti gli usuari cadono nei suoi trucchi. La ingegneria
sociale consiste nella manipolazione delle persone le quali realizzano volontariamente atti che
normalmente non farebbero. Nello specifico rivelare, per esempio, passwords o dati
personali.
il PHARMING invece è una tecnica di truffa on line anche più pericolosa del phishing visto che
non le serve far leva su tecniche di ingegneria sociale. Il pharming consiste nella
manipolazione degli indirizzi di DNS (Domain Name Server) che utilizza l’usuario, con
l’obiettivo di ingannarlo e di conseguire che le pagine web che l’usuario visiti non siano
realmente le originali anche se il loro aspetto è praticamente identico. Queste false pagine
sono state create previamente da pirati informatici con l’obiettivo di conseguire dati ed
informazioni sensibili e personali, sopratutto relazionate con banche, istituti di credito o
entità finanziarie.
3. COME FUNZIONA ?
3.1 PHISHING
Funziona attraverso un messaggio elettronico, simulando procedere da una finte attendibile
(per esempio lla propria banca), si tenta di raccogliere i dati necessari per truffare l’usuario.
Normalmente si tratta di messaggi con un testo come: “Per motivi di sicurezza...”, o “Il suo
conto deve essere confermato...”, “ Si avvertono i clienti della banca..”, indicando all’utente
che si stanno realizzando cambi e che per sicurezza deve introdurre i suoi dati personali e
codici bancari cliccando sopra un link che loro indicano. Nel cliccare l’utente viene
reindiraizzato ad un sito molto simile a quello della sua banca abituale. La verità è che quella
pagina web appartiene al truffatore che non deve fare altro che copiare i dati che l’utente
compila.
Altre volte è la stessa e-mail che che chiede di compilare i dati e “inviare”, senza necessità di
reindirizzare ad un altra pagina.
Dipartamento di Comunicazione
www.recoverylabs.it
-1-
3.2 PHARMING
Il pharming consiste nel manipolare direzioni DNS per ingannare l’utente e commettere frodi.
Per capire meglio il pharming, dobbiamo innnanzitutto comprendere che cosa si intende per
manipolazione degli indirizzi DNS.
Quando si insericsce un indirizzo e-mail determinato (URL) il navigatore di Internet, per
poter accedere a quel sito, questa URL deve convertirsi a l’indirizzo IP reale della pagina che
si desidera visitare. Il formato IP è: 000.000.000.000.
Ovviamente questo si fà perchè sarebbe estremamente complesso poter ricordare sequenze
di numeri che identificano tutte le pagine web che visitiamo. Per questo è più facile scrivere
nel nostro motre di ricerca, ad esempio, www.bancadiroma.it, e poi convertirlo alla
numerazione corrispondente al suo IP reale. A questo punto il motore di ricerca non può
realizzare questa conversione se non attraverso l’ausilio di un server DNS.
Per esempio, allo scivere bancadiroma.it stiamo inviando questo nome ad un server DNS.
Questi tiene un registro che amministra questi nomi e li converte in sequenze numeriche per
indirizzare finalmente l’utente a la pagina desiderata.
Il Pharming realizza il suo attacco al server DNS. Il suo obiettivo è quello di cambiare la
corrispondenza numerica a tutti gli utenti che lo utilizzino. Cambiando questa
corrispondenza, scriviamo nel nostro motore di ricerca bancadiroma.it, però il DNS la
decodifica con una corrispondenza numerica distinta alla originale e reale, portando all’utente
ad una pagina identica a quella della Banca di Roma, che però è stata creata dai truffatori. A
partire da qua l’utente pensa di stare nel sito web della sua banca e realizza i suoi movimenti
con totale tranquillità. Il pirata informatico a questo punto deve solo riutilizzare la chiave di
accesso che l’utente scrive.
Un altro tipo di pharming, anche più pericoloso e dannoso è quello che si realizza a livello
locale, cioè, in ogni computer singolarmente. E`solo necessario modificare una cartella
chiamata “HOSTS”, contenuta in qualsiasi computer che utilizzi un Sistema Operativo
Windows e che utilizzi Internet Explorer per per la navigazione in Internet.
L’archivio hosts lavora di tal maniera che non è necessario accedere al server DNS per
reindirizzarci a la web desiderata. Vi è infatti immagazzinata una piccola tabella con gli
indirizzi di server e indirizzi IP che più utilizza l’utente.
Modificandola, per esempio con falsi indirizzi di banche on line succederà come nel caso
precedente, cioè nel motore di ricerca si scriverà la URL del sito che vogliamo visitare però
saremo reinviati ad una pagina web che non corrisponde con la reale.
Supponiamo che a questo punto la domanda che ci faremmo tutti sarà: Come può fare uno
sconosciuto a modificare in un computer personale una cartella precisa ? Questo lo può fare
direttamente il truffatore entrando nel computer in forma remota e attraverso qualche
vulnerabilità del sistema , o anche attraverso un virus ( o troyano). Alcuni esempi di troyani
conosciuti che hanno la capacità di produrre questi cambi nella tavola di hosts sono della
famiglia Bancos, Banker o Banbra. Questi troyani solitamente sono dei malwares
mascherati che si nascondono in files allegati o che si scaricano direttamente accedendo a
false pagine web create con questo obiettivo.
Dipartamento di Comunicazione
www.recoverylabs.it
-2-
4. COME EVITARLO?
4.1 EVITARE IL PHISHING
Tutte le información necessarie su come evitarlo le possiamo incontrare nel precedente
informe che si può localizzare al seguente indirizzo:
http://www.recoverylabs.it/rapporti/Recovery_Labs_phishing.pdf
Comunque le tecniche di ingegneria sociale continuano ad evoluzionarsi, per questo
mostreremo alcuni esempi degli ultimi casi incontrati.
Le banche online con il tipico messaggio che avverte che per qualche motic¡vo si devono
reintrodurre i dati personali, continuano ad essere le più colpite da attacchi di phishing.
Comunque la sua evoluzione al pharming sta iniziando a generare nuove forme di truffe di
ingegneria sociale il cui obiettivo è quello che l’utente si diriga a pagine false che contengono
codici malware per posteriormente utilizzarle e conseguire informazioni dall’utente.
Continuando analizzeremo alcuni esempi:
CASO 1. Terra: Un amico le ha dedicato una canzone
Come si può osservare, il messaggio è in portoghese e al momento solo si è rintracciato in
Brasile. E’ un chiaro esempio dell’utilizzo del phishing per realizzare il pharming. L`utente riceve
una falsa e-mail con il seguente titolo: “ Abbiamo decicato musica per te”.Il resto del testo dice:
“Un amico/a ti ha dedicato una canzone. Con affetto!!! Per ascoltare la canzone clicchi qui”.
Dipartamento di Comunicazione
www.recoverylabs.it
-3-
Se facciamo clic in clicchi qua, un file eseguibile viene scaricato dalla pagina web del
truffatore. Nel momento in cui mandiamo in esecuzione questo file, un virus si installa nel
computer. Questi può essere:
-
-
Keylogger: si tratta di un troyano capace di registrare le pulsazioni della sua tastiera al
connettersi a determinate pagine web. Per esempio, nel momento in cui l’utente si
connette alla sua banca, e questa sta nella lista del troyano, comincia a registrare i dati
che l’utente introduce, consentendo al truffatore di conoscere i codici di accesso. Esistono
troyani di questo tipo che arrivano a realizzare intere schermate che poi inviano
integralmente al pirata informatico.
Troyanos che cambiano la cartella hosts: sono quelli menzionati precedentemente.
CASO 2. Norton: Informazioni di un nuovo virus
Questo caso è simile all’esempio 1 e anche la finalità è sempre quella che si acceda ad una
pagina web perchè si scarichi un troyano e così poter commettere la frode. Il messaggio è
differente e ci avverte della apparizione di un nuovo virus che chiaramente non eè reale. Il
testo del messaggio dice:
“Abbiamo riscontrato che la sue e-mail sta inviando un messaggio contaminato con il virus
w32.Bugbear.B@mm:
-
Si tratta di una variante del virus w32.Bugbear@mm
Si tratta di un virus di distribuzione di massa che si propaga anche attraverso reti
locali
E’ polimorfico e infetta anche una lista specifica di files eseguibili
Registra le attività della tastiera e abilita ingressi remoti
Prova a disattivare le attività di numerosi antivirus e firewalls
Attualizzazione critica
Si scarichi l’attualizzazione per eliminare il virus dal suo sistema”
SCARICARE QUI
Quando clicchiamo in SCARICARE QUI, succede lo stesso che nel caso precedente.
Dipartamento di Comunicazione
www.recoverylabs.it
-4-
Desideriamo ricordarle che il phishing non è qualcosa di nuovo e che non si estende
solamente ad istituzioni finanziarie. In generale dobbiamo essere molto cauti e sospettosi
difronte a qualsiasi finestra emergente che ci chiede dati bancari. Un altra frode con con
messaggi ingannevoli si può incontrare in false finestre o e-mails inviate ad utenti di Hotmail.
Un altro settore a rischio è quello delle aste e delle vendite on-line.
Dipartamento di Comunicazione
www.recoverylabs.it
-5-
4.2 EVITARE IL PHARMING
la maniera migliore di evitarlo è, in primo luogo, assicurarci che la pagina web che si sta
visitando è la corretta e, in secondo luogo, non permettere che si installi un malware nel
nostro computer.
1. Come si può sapere che l’indirizzo che appare nella barra di navigazione è
quello vero ?
E’ molto facile con il seguente trucco:
Dobbiamo inserire nel motore di ricerca il seguente script:
javascript:alert("Direccion real:"+ location.protocol + "//" + location.hostname +
"/")
Cliccando sopra “IR”, apparirà una finestra che indica l’indirizzo reale della pagina web nella
quale ci incontriamo. La cosa più facile è configurare questo javascript in favoriti. Per fare
questo scriveremo il java nella barra di navigazione, lo aggiungeremo come Favoriti e lo
chiameremo per esempio: “WEB REALE”. Di seguito apriremo Favorit e con il bottone destro
del mouse sopra “WEB REALE” andiamo a propietà. Dove compare la URL, cambiamo
l’indirizzo con il javascript e accettiamo. A partire da questo momento quando l’utente
navighi in qualsiasi pagina web, deve solamente cliccare sopra “WEB REALE”, e apparirà la
finestra con le informazioni. Inoltre si può posizionare come bottone nella barra degli
strumenti di Internet Explorer.
Dipartamento di Comunicazione
www.recoverylabs.it
-6-
1- Per evitare che si installi un malware nel nostro computer i migliori consigli da
seguire sono i seguenti:
-
Non APRA file allegati di cui non conoce la provenienza
Mantenga il suo computer attualizzato con gli ultimi aggiornamenti.
Mantenga aggiornato il suo antivirus regolarmente e ogni tanto lo passi a tutto il sistema
Utilizzi un firewall
5. LOTTANDO CONTRO IL PHISHING E IL PHARMING
5.1 ANTI-PHISHING WORKING GROUP” (APWG)
Negli Stati Uniti si è creato un “Anti-Phishing Working Group”(APWG). Si tratta di una
associazione di industrie il cui obiettivo principale è quello di sconfiggere le truffe e i danni causati
dal crescente problema del phishing in poste elettroniche fraudolente. Se desidera ampliare le sue
informazioni su questa associazione può visitare la pagina Web: http://www.antiphishing.org;
e nel caso che incontri un qualche tipo di frode di phishing o pharming, può denunciarla o inviare
un e-mail a [email protected]
Solamente pochi mesi fa l’organizzazione si occupava solo di casi di phishing (da qui il suo nome),
però vista l’apparizione del pharming si sono visti obbligati ad adattarsi ed includerlo nella loro
lotta.
Dipartamento di Comunicazione
www.recoverylabs.it
-7-
5.2 DATI
Numero di attacchi singoli di phishing denunciati durante marzo:
Media mensile del tasso di crescita da Luglio 04 a Marzo 05:
Settori industriali più attaccati:
Paese con il maggior numero di pagine web attaccate dal phishing:
Media della vita di una pagina di phishing attiva:
13.353 attacchi
50%
Servzi finanziari
Stati Uniti
5.8 días
*Un “attacco singolo di phishing” si definisce come un solo invio di massa di e-mails
effettuato in un unica volta, destinato ad una compagnia o organizzazione e scritto in una
stessa linea di testo
o
PAESI CON IL MAGGIOR NUMERO DI PAGINE WEB DI PHISHING
Gli Stati Uniti sono il Paese “leader” nel numero di pagine di phishing prodotte. Iniziano ad
aumentare le loro percentuali in questa classifica Paesi come Spagna e Brasile che nel 2004
neppure venivano menzionati. Questo era prodotto da problemi legati alla lingua. All’inizio
infatti gli attacchi lanciati erano in inglese mentre adesso stanno iniziando a personalizzarsi
in differenti lingue.
Paesi con il Maggiore numero di pagine web di phishing prodotte
Dipartamento di Comunicazione
www.recoverylabs.it
-8-
6. GLOSSARIO
CODICE O LINGUAGGIO DEI VIRUS (VBSCRIPT, JAVASCRIPT, HTML): I virus Script stanno
scritti in linguaggi di programmazione script, come VBScript e JavaScript. I virus VBScript (Visual
Basic Script) e JavaScript utilizzano lo Scrpting Host (server di codici) di Windows di Microsoft per
attivarsi e infettare altri files. Dal momento che Scripting Host di Windows è disponibile in
Windows 98 e Windows 2000, i virus si possono attivare semplicemente facendo doppio click nei
files *.vbs o *.js di Windows Explorer. Per provocare danni, i virus HTML utilizzano scripts inseriti
nei files HTML. Questi codici vanno insinuandosi nei nostri dispositivi al momento dell’apertura
delle pagine HTML nelle quali sono inseriti.
INDIRIZZO IP: Indirizzo numerico obligatorio di un dominio ‘Internet’. E’ composto da 4 cifre (da
0 a 255) decimali separati da punti.
DNS: 1) Acronimo di Domain Name System (Sistema di nomi di dominio) 2) Acronimo di Domain
Name Service (Servizio di nome di dominio) 3) Acronimo di de Domain Name Server (Server di
nome di domino). I primi due acronimi significano la stessa cosa mentre il terzo è il server che
risolve la conversione che si realizza tra gli indirizzi IP e i nomi di dominio propriamente detti.
‘DNS’ si creo con il fine di di evitare l’inconveniente di dover maneggiare numeri per indicare una
direzione ‘IP’ inventando per questo un sistema basato in nomi composti da varie parole. Questo è
il sistema che utilizza ‘Internet’ per poter mettere in comunicazione computer e utenti della rete. I
servizi di denominazione simbolica ‘DNS’ furono instituiti nel 1984
FIREWALL: La sua traduzione letterale è muro di fuoco. Si tratta di una barriera o protezione che
permette ad un sistema di di salvaguardare le informazioni nel momento in cui si accede ad altre
reti, come ad esempio Internet.
INGEGNERIA SOCIALE: Consiste nella manipolazione delle persone perchè realizzino atti che
normalmente non farebbero. In questo caso sarebbe facilitare, per esempio, passwords o dati
personali.
MALWARE: Qualsiasi programma o messaggio, suscettibile di causare problemi agli utenti di
sistemi informatici. MALicious software.
TROYANO O CAVALLO DI TROYA: Conosciuto anche come cavallo di Troya, è un programma
che esegue alcuna azione occluta e non autorizzata, generalmente atta a provocare danni, come
far apparire messaggi, cancellare files o formattare un disco. Un cavallo di Troya non infetta altri
files, e quindi non è necessario ripulire un computer. Per disfarsi di un troyano, semplicemente
cancellare il programma
Il glosario è stato ricavato dalle información di: http://catinello.webcindario.com/glosario/MN.html
e di http://www.pandasoftware.es/virus_info/glosario/
Dipartamento di Comunicazione
www.recoverylabs.it
-9-