Durante gli ultimi giorni di Novembre, è stato effettuato quello che può essere considerato il miglior tentativo di phishing avvenuto finora in Italia. Infatti la “qualità” con cui è stato realizzato questo attacco di phishing è decisamente superiore alle precedenti, tanto da portare a numerose chiamate alle divisioni IT e Legal delle aziende coinvolte e ad una infezione da malware dei loro sistemi.
Innanzitutto, la mail di phishing è stata ben scritta in italiano corrente e la formulazione dell’inganno è stata strutturata efficacemente. Un avvocato dello “Studio Legale Gentili” avvertiva il destinatario della mail di aver ricevuto della posta indesiderata, lo diffidava da inviargliene ancora e, infine, lo invitava a connettersi ad un sito per scaricare un antivirus al fine di rimuovere l’infezione che causava l’invio di spam. Niente minacce o multinazionali citate nel messaggio, solo una finta vittima di spam che si fa passare per avvocato per rendere più autorevole quello che scrive.
Il passo successivo dell’attacco è stato altrettanto ben congegnato: tutti i destinatari che hanno seguito il consiglio dell’”avvocato” si sono ritrovati su un sito perfettamente costruito per somigliare in tutto e per tutto a quello di un produttore di antivirus, con tanto di loghi dei premi assegnati da rinomate riviste del settore. A questo punto, la probabilità che il malcapitato visitatore scaricasse questo “antivirus” era decisamente molto alta; in realtà l’eseguibile scaricato era un virus vero e proprio che, purtroppo, non era rilevato da quasi nessun antivirus. Infine, quindi, era il destinatario del phishing ad installarsi, in tutta buona fede, un virus che si diffondeva via mail in maniera intelligente, evitando automaticamente gli indirizzi di posta “pericolosi” quali ad esempio quelli della polizia. Naturalmente, sono state poi individuate delle varianti che cambiavano lo studio legale mittente, il testo ed il subject della mail, l’indirizzo del sito antivirus, il malware da scaricare, etc.
E’ difficile prevenire questo tipo di attacchi in quanto gli attuali antispam fanno fatica ad individuare phishing così accuratamente costruiti. Di conseguenza, si deve ricorrere ad opportune azioni di incident response (ad es. bloccare l’accesso al falso sito di antivirus attraverso la configurazione del sistema di content filtering o del firewall). Spesso, purtroppo, per completare tali azioni sono necessarie diverse ore e, talvolta, basta una semplice variante per renderle inefficaci. Il vero modo di contrastare il phishing rimane la "Security Awareness" che permette di informare i potenziali destinatari su queste tipologie di truffe informatiche ed evitare così che ne siano vittima. Naturalmente, sono le grandi realtà che possono realizzare efficacemente dei piani informativi adeguati, coordinare le risposte alle segnalazioni ed inviare opportuni avvertimenti.
Questo specifico episodio ci lascia, oltre che una certezza sull’aumento dell’efficacia delle truffe online, anche un altro spunto di riflessione: in futuro potremmo dover far fronte a mail falsificate non a scopo di truffa del destinatario bensì di diffamazione del (finto) mittente.