Nel precedente articolo ho accennato a due eventi che rappresentano eventi eclatanti che fungono da esempio tipico di sottrazione di materiale privato da un servizio cloud (i casi “Diletta Leotta” e “The Fappening“). Prima di procedere è bene ricordare che diversamente da quanto scritto da giornalisti poco competenti in materia, nulla è stato sottratto dai cellulari delle vittime, nulla è stato sottratto dai computer delle vittime, e nessuno ha hackerato (orrendo neologismo) alcunché. Molto più semplicemente, le vittime sono cadute perlopiù nel tranello del phishing, laddove “fishing” in inglese significa “pescare” – guarda un po’! La tecnica, in effetti, è davvero semplice e, per quanto antiquata, continua a mietere vittime ancora nel 2017; se ciò accade ancora oggi, la responsabilità è da attribuire all’assoluta mancanza di alfabetizzazione informatica: la maggior parte di utilizzatori di strumenti informatici come smartphone e computer, si limita ad acquistare il dispositivo e impara ad effettuare solo ciò che effettivamente serve (navigare su Internet, cercare informazioni, comunicare su Facebook, mandare o ricevere e-mail). Dopo l’acquisto e dopo aver appreso le nozioni di base, però, qualunque cosa accada fuori da questa specie di recinto felice, è evento che potrebbe mettere a repentaglio la sicurezza o la privacy dell’utente. Il phishing è una tecnica antiquata perché nata quando ancora la posta elettronica era il principale mezzo di comunicazione via Internet e può essere schematizzata così:

1. Mario vuole carpire le credenziali d’accesso all’home banking di Lucia, quindi crea un sito web (a costo zero e magari su hosting totalmente gratuiti) praticamente identico alla home page della banca Alpha, con tanto di campi per username e password;
2. Mario, quindi, crea un messaggio e-mail dall’aspetto identico a quelli che la banca Alpha invia ai propri clienti, e scrive che a causa del motivo “XYZ” bisogna nuovamente “accedere al conto online alla pagina…” e qui piazza un collegamento al sito fittizio che ha realizzato;
3. naturalmente Mario non manda il messaggio dal proprio indirizzo e-mail ma si serve di un servizio anonimo e crea un indirizzo che somigli il più possibile ad un indirizzo e-mail ufficiale della banca Alpha;
4. Mario invia il messaggio a Lucia e, così facendo, ha letteralmente gettato l’esca e resta in attesa che Lucia abbocchi.

Lucia non è esperta di cose come SPAM, phishing e roba simile, quindi crede che la mail sia reale: clicca sul link e accede al proprio conto online – meglio: pensa di farlo perché, nella realtà, sta compilando un modulo che invierà quelle credenziali d’accesso a Mario – ma il login fallisce e le viene mostrata una pagina d’errore che la invita a rivolgersi alla filiale della banca più vicina. Il danno, però, ormai è fatto. Mario adesso può impersonare Lucia e trasferire ingenti somme di denaro ad un suo conto (magari una carta ricaricabile munita di IBAN attivata con un nome fittizio e documenti fasulli), che poi svuoterà e disattiverà. Nel corso degli anni, però, l’obiettivo del phishing si è spostato, vuoi perché le banche oggi sono molto più attente nel tutelare i propri clienti, vuoi perché può ben capitare di mandare il finto messaggio della banca Alpha a chi, invece, è cliente della banca Beta e, quindi, vedersi annullare il tentativo di phishing; oggi l’obiettivo è costituito dal gran numero di servizi cloud disponibili, spesso collegati all’uso di smartphone e tablet. In questo modo, probabilmente, il phishing, pur vecchio nello schema, sembra aver incrementato il tasso di efficienza dell’attacco. Diciamoci la verità, chi non prenderebbe per vera una mail apparentemente spedita da Apple o Google che ti comunica che l’account è stato bloccato e devi intraprendere un’azione per sbloccarlo (cliccando il solito link malefico)? Solo chi non possiede un iPhone, un Mac o un telefono Android probabilmente, però bisogna ricordare che Android copre l’85% del mercato smartphone globale e Apple il 14%. Il phishing si fa sempre più raffinato e oggi il messaggio-esca non ti dice più che devi fare qualcosa per sbloccare il tuo account ma fa leva su un messaggio che tipicamente i gestori di servizi online mandano quando qualcuno chiede un reset della password. Oggi, per esempio, ho ricevuto questo messaggio e-mail: Tralasciando il fatto che il mio server sia munito di potentissimi filtri anti-spam e aggiunga il tag [SPAM] all’oggetto del messaggio, se non fosse per alcuni piccoli dettagli, questo messaggio potrebbe apparire legittimo. In passato il phishing era riconoscibile soprattutto per l’italiano sgrammaticato prodotto da traduzioni effettuate con Google però il messaggio ricevuto oggi quasi non presentava errori di lingua – solo in uno o due passaggi al massimo. Quando si riceve un messaggio del genere, la prima cosa da fare è chiedersi: “sono stato io a chiedere la modifica dell’account?” Ovviamente, se non ho chiesto alcuna modifica né un reset della password, in testa dovrebbero suonare migliaia di campanelli d’allarme; tuttavia, potrebbe ben accadere la coincidenza per cui si è chiesta una modifica all’account developer presso Apple, una di quelle modifiche alle quali Apple di solito risponde anche a distanza di due giorni. Qualora capiti una coincidenza del genere, l’indagine dovrebbe spostarsi sui collegamenti inseriti nel messaggio ma occorre farlo quando si ha a disposizione un mouse e una tastiera, poiché la logica di funzionamento degli schermi touchscreen potrebbe indurre click involontari proprio su quei collegamenti che vorremmo semplicemente esaminare. Spostando il puntatore del mouse su un collegamento, infatti, dopo un po’ appare (in un pop-up o nella barra di stato, secondo il client e-mail usato) l’URL al quale il collegamento punta e, come si può vedere, l’indirizzo punta (apparentemente) a Google ma osservandolo bene, si vede che nell’URL si fa riferimento ad un altro dominio. Consapevole dei rischi cui potrei andare incontro, ho cliccato il link e il browser, dopo un paio di reindirizzamenti, mi ha portato a questa pagina:

Una riproduzione fedele della pagina per la gestione dell’account Apple che, in realtà, è la seguente:

Le due pagine sono pressoché identiche, salvo la presenza di alcune differenze di misure degli elementi grafici che l’occhio meno esperto difficilmente individua; tuttavia la differenza più grossa è nella barra degli indirizzi poiché la pagina falsa indica un URL notevolmente lungo legato ad un servizio di hosting ucraino. Il realizzatore della pagina sfrutta persino il protocollo HTTPS, tanto che il browser mostra l’indicazione “Sicuro” in un sito che tutto è meno che sicuro. Quando qualcuno vi dice “se c’è il lucchetto la pagina è sicura e puoi inserire i tuoi dati tranquillamente“, allora non fidatevi e verificate sempre personalmente! Il sito Apple, realmente sicuro, mostra sì un lucchetto ma al posto della semplice indicazione “sicuro”, appare bensì il nome dell’azienda (“Apple Inc. [US]”) poiché il sito dispone di un certificato SSL appositamente rilasciato ad Apple da una certification authority. Andando a vedere il codice della pagina falsa, si può capire che qualcosa di strano c’è…

 

  Il codice della pagina falsa è tutto un miscuglio di script (incorporati o richiamati da file esterni) che, tutti insieme, dapprima generano la pagina e poi chissà cos’altro fanno, visto che non è possibile esaminare il comportamento del modulo per il login – anche se possiamo legittimamente supporre che le credenziali immesse vadano a finire direttamente nelle mani di un malintenzionato.   In conclusione, come già spiegato nel precedente articolo, i primi responsabili per i nostri account online e per i dati che in essi conserviamo, siamo noi; se riceviamo una mail falsa come questa e ci facciamo convincere ad immettere le nostre credenziali in un sito che non ha nulla da spartire con l’azienda menzionata, i responsabili siamo solo ed esclusivamente noi. Se immettessi le mie credenziali in quella pagina Apple clonata, il destinatario avrebbe in mano le chiavi del mio account Apple, di iCloud e persino delle soluzioni di pagamento scelte per l’acquisto di applicazioni su AppStore: il malintenzionato diverrebbe me e potrebbe facilmente accedere a documenti riservati che – magari – pensavo di tenere al sicuro su iCloud. Se facessi una cosa del genere, poi, con chi potrei mai arrabbiarmi?