In questo articolo andremo ad analizzare meglio una tipologia di phishing nota come “man in the middle”, letteralmente tradotto in “uomo nel mezzo” e che da qui in avanti chiameremo MITM, che negli ultimi mesi è molto in voga e soprattutto molto insidiosa.
Per chi non sapesse cos’è il “phishing”, di seguito una breve descrizione tratta dall’enciclopedia online Wikipedia (per chi volesse leggere l’intero comma: Wikipedia – Phishing):
“Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale”
Per farvi capire meglio di cosa stiamo parlando possiamo fare un esempio pratico: durante il mese di Settembre 2018 i correntisti di alcuni gruppi bancari tra i quali Intesa San Paolo, UniCredit e BNL sono stati soggetti ad un pericoloso attacco di phishing via SMS, WhatsApp e posta elettronica (fonte BalstingNews – Truffa Intesa San Paolo). Nella maggior parte dei casi, i correntisti ricevevano una mail che avvisava gli utenti di un problema sulla sicurezza del loro account utilizzato per l’e-banking e che pregava quindi i correntisti di confermare i loro dati e le loro credenziali tramite un apposito link contenuto all’interno del corpo del messaggio. Tale link riconduceva a un sito molto simile a quello dell’istituto bancario e, una volta che gli utenti compilavano degli appositi form con le loro informazioni e credenziali, inviavano tali dati direttamente agli hacker responsabili della truffa rendendo quindi accessibili e utilizzabili i loro conti corrente.
A causa di questi attacchi, i gruppi bancari interessati hanno pubblicato degli articoli e inviato delle newsletter ai propri correntisti per avvisare del pericolo, spiegare come avviene la frode e come difendersi (la KB creata dal gruppo Intesa San Paolo è visibile al seguente link: Intesa San Paolo – Phishing).
La frode MITM è un tipo di phishing che, come il nome stesso ci dice, prevede all’interno di una comunicazione bidirezionale tra due soggetti legittimi l’inserimento illecito di un terzo soggetto. La frode può essere perpetrata in differenti modi, tra i quali i più diffusi sono:
-
- POSTA ELETTRONICA: è sicuramente il metodo più diffuso ma non impossibile da individuare. In pratica un hacker si interpone all’interno della comunicazione tra due soggetti commerciali e, al momento della richiesta di pagamento, invia una mail di rettifica dei dati bancari con tanto di firma del mittente e storico della conversazione, dirottando il pagamento verso un conto da lui accessibile. Questa tipologia di MITM può essere suddivisa in tre sottocategorie che identificano come viene avviata la truffa stessa :
- Infettando con un malware di tipo trojan un computer per ottenere le credenziali di accesso alla casella di posta.
- Tramite port sniffing (per dettagli sullo “sniffing” vi rimando al relativo comma sull’enciclopedia online Wikipedia: Wikipedia – Sniffing) su server SMTP che inviano posta tramite transazioni non crittografate (cioè che trasmettono i dati “in chiaro” al mailserver del destinatario).
- Tramite un messaggio di posta elettronica di phishing inviato a uno dei due soggetti da un indirizzo fittizio di posta elettronica che però richiama l’indirizzo reale dell’altro soggetto (ad esempio, se l’indirizzo di uno dei due soggetti è “tizio@caio.it“, l’hacker registrerà ed utilizzerà un indirizzo tipo “tizio@caio-it.com“).
Mentre nel primo caso verrà utilizzata la casella di posta reale di uno dei due soggetti, negli altri casi il malintenzionato inoltrerà i messaggi ad entrambi i soggetti della conversazione cambiando solo le parti che risulterebbero semplici da individuare per non destare sospetti.
- POSTA ELETTRONICA: è sicuramente il metodo più diffuso ma non impossibile da individuare. In pratica un hacker si interpone all’interno della comunicazione tra due soggetti commerciali e, al momento della richiesta di pagamento, invia una mail di rettifica dei dati bancari con tanto di firma del mittente e storico della conversazione, dirottando il pagamento verso un conto da lui accessibile. Questa tipologia di MITM può essere suddivisa in tre sottocategorie che identificano come viene avviata la truffa stessa :
- RETE WIRELESS: è un metodo meno diffuso ma senza dubbio più pericoloso in quanto quasi impossibile da riconoscere ed è inoltre il motivo per cui MITM viene anche chiamata la “frode del free wifi”. In pratica, tramite un tipo di attacco denominato “Evil Twin”, si disconnette il device di un soggetto connesso ad una rete wireless pubblica (quindi priva di protezione) per farlo poi riconnettere ad una rete fittizia con le stesse caratteristiche di quella legittima (stesso nome della rete, stesso livello di sicurezza) e reindirizzando poi il traffico dell’utente su siti commerciali fraudolenti (ad esempio, se l’utente digiterà all’interno della barra degli indirizzi “www.paypal.com” i DNS con cui è configurata la rete wireless fittizia effettuerà il redirect verso un sito quasi identico a quello di paypal dove le credenziali dell’utente verranno poi inviate al malintenzionato che ha messo in atto la truffa).
Ma come possiamo proteggerci da questo tipo di attacco? Essendo un tipo di truffa che di solito non prevede l’utilizzo di file infetti per essere messa in atto, spesso i software antivirus, antiphishing e antispam non riescono a rilevare il tentativo di frode. Il modo più sicuro di proteggersi è quindi quello di porre la massima attenzione ad alcuni dettagli che vi elenchiamo di seguito:
-
- INTESTAZIONE DEI MESSAGGI DI POSTA: Se avete qualche dubbio sulla legittimità di un messaggio, controllate con la massima attenzione il contenuto del campo “Da” o “Mittente” del messaggio a voi pervenuto. Nel caso il messaggio provenga da un mittente a voi noto potete sempre inoltrarlo allo stesso, curandovi di inserire manualmente l’indirizzo del destinatario in questione.
- ERRORI NEL CORPO DEL MESSAGGIO: Un altro indizio potrebbero essere degli errori evidenti, sia grammaticali che di tipo logico, all’interno del testo del messaggio. In questo caso probabilmente il messaggio potrebbe essere stato tradotto automaticamente da un’altra lingua tramite software.
- LINK A PAGINE ESTERNE: Se nel corpo del messaggio sono presenti dei collegamenti a pagine internet, controllate sempre dove portano (posizionandovi sopra con il mouse) prima di aprirli per evitare di incappare in siti fittizi o pagine contenente codice dannoso.
- FIRMA DEL MESSAGGIO E ALTRI DESTINATARI: Se un messaggio contiene una firma (molto diffuso tra i soggetti commerciali) controllate sempre che questa sia corretta (se ad esempio sapete per certo che il mittente del messaggio lavora in un ufficio commerciale e si dovesse firmare come appartenente al reparto tecnico o amministrativo, è un campanello d’allarme). La stessa cosa vale per gli indirizzi in copia conoscenza, ovvero se nel campo CC vengono inseriti degli indirizzi noti ma non pertinenti al messaggio stesso (ad esempio l’indirizzo di un impiegato commerciale in CC in un messaggio riservato al reparto tecnico).
Manuele Borzacchiello