Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento sul Phishing, ormai di attualità negli ultimi anni, andremo a vedere le varie tecniche e come difendersi da questi attacchi sempre più numerosi.

Nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica: nonostante gli enormi progressi nel settore della sicurezza informatica, con la creazione di efficientissimi filtri antivirus e antispam per l’e-mail, i messaggi di posta elettronica fraudolenti possono sfuggire a questi controlli, creando anche danni non indifferenti ai malcapitati truffati.

È ad esempio il caso delle e-mail di phishing, che spesso possono provenire anche da una fonte fidata e inviate da indirizzi considerati “affidabili” e dunque non bloccati dai filtri appositi. Incappare in una truffa è semplicissimo, cascarci decisamente meno, ma è comunque necessario prestare molta attenzione e sapere come riconoscere le e-mail di phishing. (Vedere l’articolo Esempi di attacchi Phishing e come scovarli).

Tipologie di Phishing

Le tipologie di phishing utilizzate possiamo dividerle in 4 modalità:

  • Avidità;
  • Gentilezza;
  • Obbedienza;
  • Paura;

Un malintenzionato esperto in tecniche di Phishing essendo appunto un professionista non cercherà di rubare qualche password di Facebook o di Instagram di qualche suo amico, ma lo farà per guadagnare soldi puntando account finanziari. Un Phishing professionista può arrivare a guadagnare molti soldi, di solito i dati rubati vengono venduti a società sul Dark Web, in questo articolo vedremo una delle tecniche utilizzate per creare una campagna di Phishing.

Prima di sferrare l’attacco il malintenzionato farà un’analisi dettagliata in base alla richiesta di ingaggio che gli verrà fatta (richiesta su commissione), delle vittime da colpire.

Potrà utilizzare sia il nostro caro amico Kali Linux che Windows, in questo test utilizzeremo solo Windows per simulare l’attacco.

Phishing con Gophish

Come prima cosa il malintenzionato scaricherà il tool gophish, (possiamo trovarlo su github per Kali Linux , oppure scaricarlo a questo link per Windows https://getgophish.com/)

Terminato il download passiamo alla fase di installazione e configurazione del tool, (puoi seguire la guidsa originale a questo link https://docs.getgophish.com/user-guide/installation).

Questo tool ovviamente è nato ed è utilizzato per fare delle campagne legali, se però utilizzato in modo illegale diventa uno strumento pericolosissimo.

Terminata l’installazione del tool facciamo il login per accedere al menù di navigazione:

Andiamo sulla voce “Sending Profiles” per inserire i valori di setting per il funzionamento dell’invio delle mail di Phishing, e creiamo un nuovo record selezionando il pulsante “New profile”

Attacco Phishing con Gophish gratis

Andiamo a compilare le info richieste dal tool per il suo funzionamento:

  1. Diamo un titolo nell mio caso “SettinMail”
  2. L’interfaccia di default è SMTP
  3. Inseriamo nel campo From la mail che utilizzerà il tool per inviare le mail di Phishing, come potete vedere l’indirizzo email è stato inserito tra i due segni di maggiore e minore “<>”, quello che verrà scritto prima dell’indirizzo mail sarà visibile come mail del mittente, (vedremo più avanti nel dettaglio).
  4. Nel campo Host dovremo inserire ii parametri SMTP da utilizzare per l’invio delle mail.
  5. Nel campo Username andremo inserire la user dell’indirizzo di posta che utilizzeremo per inviare le mail e nel campo password la relativa password scelta durante l’attivazione dell’indirizzo mail.
Attacco Phishing con Gophish gratis

Adesso in base al tipo di attacco il malintenzionato creerà la pagina fake, selezionando la voce “New Landing page

Attacco Phishing con Gophish gratis

Adesso arriva la parte più importante, (più sarà dettagliata questa fase), maggiore sarà il successo finale.

Il malintenzionato creerà la mail da inviare ai malcapitati, scriverà il contenuto in modo dettagliato e identico a quello originale, inserirà il link che indirizzerà le persone alla pagina fake.

Attacco Phishing con Gophish gratis

La pagina fake sarà salvata su un server compromesso senza che il proprietario se ne accorga, il malcapitato quando inserirà le credenziali per effettuare la login, verrà reindirizzato alla pagina originale.

Prima di lanciare l’attacco il malintenzionato creerà una campagna di Phishing, selezionando la voce “New Campaign” andando a compilare il form.

Attacco Phishing con Gophish gratis

Terminata la compilazione del form selezionando il pulsante “Launch Capaign”, il tool invierà le mail di Phishing alle vittime.

Il malcapitato tramite una dashboard potrà in qualsiasi momento vedere chi avrà abboccato alla campagna di Phishing.

Attacco Phishing con Gophish gratis

Questa è la mail che ho inviato al mio indirizzo come test, come potete vedere il mittente è microsoft.com

Questa invece è il contenuto della mail, ricordiamoci che questo è un test, pensate cosa potrebbe fare un malintenzionato che fa il pirata professionista.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.