LABORATORI NAZIONALI DI FRASCATI

Servizio Infrastrutture Calcolo e Reti

Phishing

Il phishing è un tecnica di social engineering, ovvero la pratica di utilizzare le interazioni personali (come lo scambio di messaggi email o le comunicazioni telefoniche) per ottenere informazioni sensibili da riutilizzare per lo più per scopi malevoli.

Nel phishing questo approccio è realizzato attraverso l’invio di email che sollecitano il destinatario ad introdurre dati personali (generalmente credenziali di accesso) su pagine web create appositamente per replicare l’aspetto delle pagine istituzionali dell’organizzazione di appartenenza dell’utente.

Proteggersi dagli attacchi

Ci sono soluzioni tecniche per ridurre il numero e la frequenza delle email di phishing che vengono distribuite sulle caselle di posta degli utenti LNF regolarmente adottate sui sistemi di posta, ma la sofisticatezza degli attacchi e la loro alta variabilità rendono questi accorgimenti non sempre totalmente efficaci nell’evitare la diffusione dei messaggi malevoli.

Per questo è molto importante che i singoli utenti riescano ad individuare un tentativo di phishing in autonomia, anche perchè la salvaguardia delle proprie credenziali è alla base di qualsiasi approccio alla sicurezza informatica.

Il metodo più efficace per individuare un attacco di phishing è verificare che la URL contenuta nel messaggio sia affidabile.

Si riporta come esempio un messaggio che potrebbe indurre l’utente a cadere nel tentativo di phishing:

L’esempio è insidioso poichè il mittente mostrato (alice.example@lnf.infn.it) è un indirizzo con dominio dei LNF, nel caso specifico l’indirizzo è stato falsificato e non proviene realmente dal’indirizzo mostrato, inoltre logo e aspetto del messaggio potrebbero ricordare una comunicazione interna.

Tuttavia, la URL suggerita non riporta il dominio dell’INFN (.infn.it) né quello dei LNF (.lnf.infn.it). La URL è visibile dal client email se si lascia il puntatore del mouse per qualche secondo sul link:

Oppure, se il link è già stato aperto, è possibile verificarlo sulla barra degli indirizzi del browser:

Nell’esempio è chiaro che l’indirizzo non ha niente a che vedere con i domini .infn.it e .lnf.infn.it.

Alcuni attacchi sono particolarmente sofisticati e curati, ma è comunque possibile riconoscere gli attacchi di phishing prestando attenzione ad alcune caratteristiche dei messaggi ricevuti:

  • Presenza di link sospetti: l’email contiene link verso siti web esterni e non legati al dominio dell’INFN (infn.it).
  • Mittente sconosciuto: il mittente risulta poco familiare e non appartiene al dominio INFN.
  • Generalizzazione del contenuto: il messaggio contiene informazioni vaghe e non direttamente legate all’utente bersaglio.
  • Richieste urgenti: il messaggio sollecita l’azione dell’utente con particolare urgenza, ad esempio minacciando ripercussioni sul piano economico o l’esclusione da specifici servizi.
  • Presenza di errori: l’email contiene errori grammaticali o ortografici banali, tipici di una traduzione sommaria o automatica, che raramente vengono tollerati all’interno di email istituzionali.

Quindi, in caso di anche il minimo sospetto, evitare di rispondere ai messaggi o seguire i link riportati.

Cosa fare

Se l’utente si accorge di aver “abboccato” al tentativo di phishing è fondamentale che prenda immediatamente le opportune contromisure:

  • Cambiare la propria password con una nuova e totalmente differente dalla precedente alla pagina apposita.
  • Informare il Servizio Infrastrutturale di Calcolo e Reti dell’accaduto.
  • Verificare l’accesso non autorizzato alle proprie risorse e servizi.