Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento sul Phishing, andremo a vedere come un malintenzionato possa recuperare le credenziali di diversi siti che utilizziamo normalmente tutti i giorni, come ad esempio Facebook, PayPal, Office365, Instagram etc…Vedremo ovviamente che tecnica utilizzare per difendersi.

Nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica: nonostante gli enormi progressi nel settore della sicurezza informatica, con la creazione di efficientissimi filtri antivirus e antispam per l’e-mail, i messaggi di posta elettronica fraudolenti possono sfuggire a questi controlli, creando anche danni non indifferenti ai malcapitati truffati.

È ad esempio il caso delle e-mail di phishing, che spesso possono provenire anche da una fonte fidata e inviate da indirizzi considerati “affidabili” e dunque non bloccati dai filtri appositi. Incappare in una truffa è semplicissimo, cascarci decisamente meno, ma è comunque necessario prestare molta attenzione e sapere come riconoscere le e-mail di phishing. (Vedere l’articolo Esempi di attacchi Phishing e come scovarli).

Per il nostro test come sempre ci viene incontro il nostro caro amico Kali Linux, quello che andremo a vedere in questo test (se ci pensate), se usato per scopi malevoli potrebbe essere pazzesco. Il tool NexPhisher a mio parere è uno dei migliori toll dedicati al Phishing tra quelli che ho testato fino adesso.

Phishing con NexPhisher

Iniziamo con il clonare il tool NexPhisher, apriamo una shell e scriviamo:

cd Scrivania (nel mio caso)
git clone https://github.com/htr-tech/nexphisher.git

Posizioniamoci nella cartella del tool:

cd nexphisher

Scriviamo ls per vedere il contenuto.

Facciamo partire il setup:

./setup

Eseguiamo il tool:

./nexphisher

Come puoi vedere abbiamo a disposizione parecchie opzioni (incredulo?).

Per il nostro test selezioniamo il modulo 01 (Facebook), decidiamo quale opzione messa a disposizione dal tool utilizzare , selezioniamo la 03 (Fake Security login Page).

Trovare qualsiasi password con il Phishing

Il tool genererà un link da inviare alla vittima, ovviamente a questo punto entra in gioco l’ingegneria sociale, più saremo bravi più sarà alta la percentuale di successo.

Il malcapitato riceverà una mail con un link che lo porterà direttamente sulla pagina “pagina apparentemente originale” del sito scelto, gli verrà chiesto di inserire UserId e password per accedere al sito. Una volta inserite queste informazioni il malintenzionato riceverà le vostre credenziali.

Come difendersi da questo attacco?

Come sempre il modo migliore per difendersi è quello di diffidare il più possibile, comunque abbiamo 3 diverse opzioni per cercare di difenderci da un attacco di Phishing:

  • Best practice
  • Online tools
  • Rispondere nella maniera corretta

Nel 99% dei casi, la tecnica utilizzata nel phishing è la clonazione del sito originale, che sia delle poste o della vostra banca, di Microsoft, di Facebook non cambia, la tecnica è sempre la stessa. Facciamo un esempio con la posta elettronica di google, come prima cosa effettuerei i seguenti controlli:

  • L’url del sito non sarà quello originale.
  • Il logo di Google e le scritte non saranno identiche a quello originale.
  • Aprire subito la pagina reale di login e controllare le differenze con quella ricevuta.
  • Non cliccate link e non aprite mail da mittenti sconosciuti.

ONLINE TOOLS

Utilizzare i tool gratuiti reperibili in rete, come ad esempio Virustotal per verificare link ed allegati potenzialmente pericolosi.

RISPONDERE NELLA MANIERA CORRETTA

In caso di ricezione di una mail strana, ad esempio dalla propria banca dove vi vengono chieste le credenziali di accesso, contattare subito telefonicamente la propria banca per chiedere chiarimenti.

Modifica subito le password e avvia subito una scansione dell’antivirus sul proprio pc/device.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.