Cari lettori , oggi vi parlerò della tecnica chiamata phishing, un tipo di frode ideato allo scopo di rubare importanti informazioni sensibili come numeri di carta di credito, password e dati relativi al conto bancario e tante altre informazioni.

Cos’è il Phishing?

II phishing è uno stratagemma per indurre gli utenti a rivelare (con l’inganno) informazioni personali o finanziarie attraverso un’email o un sito internet, sempre più spesso anche tramite messaggi che arrivano da applicazioni molto usate come Whatsapp o Facebook.

Il tipico attacco di phishing si genera attraverso un messaggio di posta elettronica contenente un link che in base a cosa vuole recuperare l’attaccante, si viene dirottati su un sito che apparentemente sembra identico a quello originale. Si presenta come una notifica ufficiale proveniente da una fonte attendibile, per esempio una banca, ma anche un amico.

II messaggio invita a collegarsi a un sito Web (come spiegavo prima), graficamente molto simile a quello originale, chiedendo di inserire alcune informazioni personali come, per esempio, il numero di conto corrente o la password.

Queste informazioni vengono reperite dall’attaccante il quale potrà utilizzarle per appropriarsi dell’identità di chi abbocca alla truffa.

Effettuare un attacco di Phishing

Entriamo nel dettaglio e utilizziamo come sempre il nostro amico Kali Linux.

Per effettuare il test invece useremo un tool chiamato “SocialFish”, scritto in Python.

Apriamo una shell e lanciamo SocialFish.py.

Come effettuare un attacco di Phishing
Come effettuare un attacco di Phishing

Confermare con y.

Ora possiamo decidere la destinazione del nostro Phishing:

Come effettuare un attacco di Phishing

Selezioniamo l’opzione “2” per creare il nostro link da inviare al destinatario.

Il tool ha creato il link da inviare:

Come effettuare un attacco di Phishing

Quando il destinatario riceverà la mail e aprirà il link, si troverà questa situazione, la pagina web è praticamente identica a quella originale.

Il destinatario quindi inserirà l’Username e la Password:

Come effettuare un attacco di Phishing

Ecco fatto, abbiamo userid e password in chiaro e altre informazioni importanti:

Come effettuare un attacco di Phishing

Proviamo selezionando LinkedIn, opzione “3”.

Seguiamo sempre la procedura descritta sopra e inviamo il link generato dal tool alla vittima.

Quando la vittima inserirà le credenziali di accesso nella pagina fittizia simile all’originale, nella shell in ascolto vedremo il risultato.

Pensate alla pericolosità di questa tecnica, ovviamente più la mail sarà credibile, più l’attacco avrà una percentuale di successo alta.

Contromisure per non abboccare a un attacco di Phishing

Come possiamo vedere la pagina web perfetta, sembra reale al 100%….

Vediamo però come capire se si tratta di Phishing.

Dopo aver ricevuto la mail e cliccato sul link, se controlliamo l’indirizzo visibile sull’url, ci accorgiamo subito che non è quello originale anche se la pagina del sito è identica a quella reale.

Ci sono tecniche che vi spiegherò in un altro articolo che generano il link identico a quello originale….

Siate malfidenti quando ricevete mail che vi chiedono di inserire i propri dati, controllate sempre tutto nel dettaglio.

Per la procedura completa potete vedere il seguente video in cui vengono illustrati alcuni attacchi di Phishing.

Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

Responsabile dei sistemi informativi di 3Vsigma