Cari lettori di Tecnogalaxy,  oggi andremo a vedere nel dettaglio come un cyber criminale effettua un attacco di Phishing, come spiegato più volte la migliore difesa è sapere come agisce un attaccante. 😊

Le tecniche e i software utilizzati da un cyber criminale, possono essere diversi dipende da chi imposta l’attacco e dal tipo di obiettivo.

Simuliamo un attacco phishing

Il tool che ho utilizzato nel mio laboratorio si chiama PyPhisher e viene eseguito sul nostro caro amico Kali Linux. 😊

PyPhisher è un tool impressionante per la sua facilità di utilizzo e per la sua potenza, di default ha già a bordo diversi moduli per poter eseguire attacchi di Phishing.

PyPhisher ovviamente nasce per testare l’abilità e la sapienza informatica degli utenti presi come test durante un pentesting e non per lanciare attacchi, come tutte le cose però se usate non in modo legale diventano pericolose.

In questo articolo spiegherò come riconoscere un attacco del genere e come difendersi….Negli ultimi anni gli attacchi di Phishing sono in aumento e le sue tecniche in continuo aggiornamento.

Nell’era 2.0, quella di internet le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica: nonostante gli enormi progressi nel settore della sicurezza informatica, con la creazione di efficientissimi filtri antivirus e antispam per l’e-mail, i messaggi di posta elettronica fraudolenti possono sfuggire a questi controlli, creando anche danni non indifferenti ai malcapitati truffati.

È ad esempio il caso delle e-mail di phishing, che spesso possono provenire anche da una fonte fidata e inviate da indirizzi considerati “affidabili” e dunque non bloccati dai filtri appositi. Incappare in una truffa è semplicissimo, cascarci decisamente meno, ma è comunque necessario prestare molta attenzione e sapere come riconoscere le e-mail di phishing.

Il cyber criminale dopo aver studiato e deciso le sue vittime inizia a progettare e programmare l’attacco, configura il tool  PyPhisher (ovviamente non vi farò vedere nel dettaglio come funziona),

Quello che vedrete è impressionante, un attaccante ha la possibilità di utilizzare tutti i moduli seguenti:

Seleziono il modulo di Microsoft per fare il nostro test, “modulo numero 12

Ecco come avvengono gli attacchi di Phishing

Al termine il tool creerà dei link da inviare alla vittima, “copio in questo test l’URL LocalHostRun e lo invio”.

A questo punto il cyber criminale resterà in attesa che la vittima clicchi sul link appena inviato ed inserisca le sue credenziali.

Questo quello che vede la vittima dopo aver selezionato il link ricevuto.

La grafica come potete vedere è impressionante è, identica alla pagina originale.

Ecco come avvengono gli attacchi di Phishing

Appena vengono inserire le credenziali e selezionato il pulsante Sign in le informazioni vengono catturate dal tool in ascolto.

Ecco come avvengono gli attacchi di Phishing

Come potete vedere user id e password sono state catturate in chiaro.

Come difendersi da questo attacco?

Ci sono diverse tipologie di e-mail di Phishing:

  • Ricognizione: L’email viene inviata per capire se esiste l’account
  • Spam: È una classica mail di pubblicità o una mail non autorizzata
  • Falso Positivo: E’ quando una mail autentica non è correttamente autorizzata
  • Credential Harvester: Serve per prendere le credenziali, rimanda spesso ad un finto portale.
  • Social Engineering: E’ una tecnica utilizzata per fare leva sulla mente delle persone per raggiungere un tale obiettivo di truffa.
  • Whaling: Vengono presi di mira personaggi di scpicco di aziende, come ad esempio l’AD, il CFO etc…
  • Malicious Files: Viene eseguito un attacco con file malevoli
  • Tipi di attacchi di Phishng
  • Spear Phishing: L’attaccante investe molto tempo per creare un rapporto con la vittima per cercare la sua fiducia
  • Impersonation: L’attaccante si finge un’altra persona per arrivare all’obiettivo.
  • Typosqatting ed omografia: L’uso di domini simili cambiando lettere o caratteri, ad e esempio: www.microsoft.com diventa www.microosoft.com, oppure https://www.unipolsai.it diventa https://www.unipolsaii.it
  • Hyperlinks: Mail che hanno come contenuto link malevoli, che portano ad un sito fake o ad un download di file.

In una mail di phishing sono presenti alcuni dati chiamati (artefatti), che servono per una corretta inspection della mail per capire da dove proviene.

Questi artefatti si dividono in tre categorie:

  • Delle mail
  • Dei file
  • Del web

Artefatti delle mail

  • Sending Email Address: indirzzo del mittente
  • Subject Line: l’oggetto della mail
  • Recipient Email Address: il destinatario della mail
  • Sending Server IP e Reverse DNS: l’IP di partenza ed il DNS Name
  • Reply to Address: in caso sia presente l’indirizzo di risposta
  • Date e Time: il timestamp dell’invio del messaggio

Artefatti dei file

  • Attachment Name: il nome del file o dei file
  • SHA256 Hash Value: l’hash del file

Artefatti del web

  • FULL URLs: i link completi dei puntamenti
  • Root Domain: il root di domain degli url allegati ‘non essenziale però’

Raffigurazione di invio di una e-mail reale

Ecco come avvengono gli attacchi di Phishing

Raffigurazione di invio di una e-mail fasulla

Negli ultimi anni la tecnica di Phishing si è affinata sempre di più fino ad arrivare a mail quasi perfette, sotto sotto la tecnica è sempre la stessa, ingannare il malcapitato a cliccare su un link o aprire un allegato presente nella mail ricevuta.

L’apertura di un file potrebbe generare diversi casi:

  • L’installazione di un virus.
  • La violazione del sistema operativo.
  • Il furto di credenziali.

Vediamo nel dettaglio cosa significano anche tecnicamente questi tre punti.

L’installazione di un virus.

Viene installato un software malevolo che permette di effettuare diverse cose sul computer infettato.

La violazione del sistema operativo.

L’intero computer viene violato e compromesso, in questo modo il cyber criminale può accedere la web came, il microfono …..il computer è in mano al cyber criminale.

Il furto di credenziali.

Il cyber criminale può eseguire lo step di furto delle credenziali con le relative password, che la vittima utilizza per accedere ai vari portali, social network, banca, scuola etc…..

Fortunatamente possiamo utilizzare due tools gratuiti reperibili sul web e funzionanti online, senza installare nulla, stiamo parlando di urlscan.io (link https://urlscan.io/)

Grazie a questo portale possiamo incollare il link ricevuto nella mail e capire se è sicuro e la sua provenienze

Adesso che conosci la tecnica e questi due tools quando riceverai una mail strana contenete dei link potrai in modo autonomo capire la loro provenienza.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

Per saperne di più consulta il volume di Giorgio Perego https://www.amazon.com/Sicurezza-informatica-tutti-sicurezza-Italian/dp/B0CDYKL8GH

Iscriviti al mio canale Youtube.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.