Tecniche di social engineering : il Phishing

Avv. Francesca De Carlo


Con il termine social engineering si fa riferimento ad una serie di tecniche manipolative, adoperate dai criminali informatici, con le quali gli ignari utenti vengono indotti a rivelare informazioni personali e/o finanziarie.

Esistono numerose tipologie di attacchi informatici che si avvalgono di tecniche di ingegneria sociale. Una delle più invasive è il phishing, il quale si realizza attraverso una serie di attività fraudolente, finalizzate ad estorcere informazioni personali e/o finanziarie quali, ad esempio, dati anagrafici, username, password, codici di accesso alle carte di credito.

Si tratta di un reato di difficile inquadramento, soprattutto in ambito penale, in quanto le condotte che possono realizzarlo, sono catalogabili in diverse fattispecie giuridiche. Rientra, certamente, nell’ambito del reato di frode informatica disciplinata dall’articolo 640-ter c.p., il quale sanziona la condotta di chi si procuri un ingiusto profitto con altrui danno, intervenendo con manipolazioni o alterazioni, sul sistema informatico1.

In particolare il terzo comma2 prevede un’aggravante “se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”. Il metodo più usato per realizzare il phishing, è l’invio di messaggi di posta elettronica in tutto e per tutto simili a quelli del proprio istituto bancario e contenente, il più delle volte, anche il logo identificativo dello stesso e persino un collegamento che, in apparenza, consente l’accesso al sito web registrato ma che, di fatto, rimanda ad un sito con finalità fraudolente (cosiddetti siti web spoofed).

Un tipico messaggio di phishing potrebbe riguardare: l’invito al rinnovo della carta prepagata o della carta di credito; o potenziali problemi riguardanti accrediti, addebiti, trasferimenti di denaro su conti correnti on line, tipo PayPal, Western Union o Moneygram; od anche l’ incompleta presenza di informazioni che riguardano gli account google, facebook, twitter o instagram.

Pertanto, ricevuta la giusta attenzione da parte dell’utente, la mail o il messaggio fraudolento contenente un allegato o un collegamento ipertestuale, permetterà l’accesso al sito ed il conseguente inserimento di tutte le informazioni utili per consentire al phisher di operare in sostituzione del malcapitato. Questa tecnica è denominata deceptive phising.

L’apprensione di codici di accesso o di dati sensibili di un soggetto utente, può realizzarsi anche attraverso l’installazione sul computer, a sua insaputa, di un malware o di un trojan in grado di monitorare tutte le attività che la vittima esegue.

La captazione delle credenziali può realizzarsi anche attraverso i keylogger, ossia i cosiddetti “registratori di tasti”. Esiste, poi, il Pharming, il quale consiste nella manipolazione degli indirizzi di DNS (Domain Name Server) attraverso un malware che va ad alterare direttamente i router casalinghi, mutando la corrispondenza numerica, cosicchè i server decodifichino un indirizzo IP diverso dall’originale. L’utente, in questo caso, viene dirottato su un altro sito che replica in tutto quello ufficiale.

Un’altra tipologia di phishing è nota con il nome di spear-phishing. Si tratta di campagne volte a trarre in inganno utenti specifici, con l’intento di far sì che questi ultimi mettano a repentaglio la sicurezza dell’organizzazione per la quale operano.

A differenza delle campagne di phishing di massa, i messaggi di spear-phishing sono in genere realizzati in modo tale da sembrare a tutti gli effetti messaggi provenienti da una fonte attendibile. Possono ad esempio apparire come e-mail inviate dal CEO o dal responsabile IT dell’azienda. Di solito, questa tipologia di attacchi si basa sull’invio di un’email ad un lungo elenco di destinatari, i cui indirizzi vengono comprati in blocco nel Deep Internet.

L’email sembra provenire da un’azienda o un’organizzazione conosciuta dalle vittime e contiene un messaggio urgente che incita il destinatario a seguire le indicazioni fornite. Generalmente, alla vittima viene chiesto di aprire su un link che indirizza a un sito web falso, costruito in modo da assomigliare a quello della azienda legittima. Quando l’utente inserisce le proprie credenziali per fare il login, queste vengono registrate dall’hacker.

In alternativa, un altro tipo di messaggi di phishing cerca di convincere il destinatario a scaricare o aprire un file allegato che nasconde un malware. Il virus si installa sul computer e registra i dati personali, per poi comunicarli al sistema dell’hacker attraverso la connessione internet. Oltre alla sottrazione di dati bancari, questi attacchi si configurano anche come tentativi di spionaggio industriale e di attacchi informatici ad obiettivi militari.


1Articolo 640-ter c.p., : “1.Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sè o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da € 51 a € 1.032. 2. La pena è della reclusione da uno a cinque anni e della multa da € 309 a € 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.3. La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. 4 Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o taluna delle circostanze previste dall’articolo 61, primo comma, numero 5, limitatamente all’aver approfittato di circostanze di persona, anche in riferimento all’età, e numero 7”.

2Introdotto dal D.L. 14 agosto 2013, n. 93, convertito dalla L. 15 ottobre 2013, n. 119.

 

Condivi con:
STAMPA


Social network di professionisti con significativa competenza che offre ai clienti consulenza specialistica

Contatti: info@universolegge.it