Come difendersi dal phishing

Hacker’s dictionary. Utilizzato contro giornalisti, attivisti e operatori umanitari da parte di gruppi che cercano di spiarne le attività

di ARTURO DI CORINTO per Il Manifesto del 8 Febbraio 2018

Il phishing è una tattica fraudolenta di sottrazione delle informazioni personali online. Il suo scopo è indurre gli utenti in rete a fornire password e altri dati sensibili a siti web che sembrano legittimi ma che non lo sono. Più spesso il phishing ha la forma di una email che richiede di fornire informazioni private o di cliccare su link e allegati in grado di installare un virus all’interno di smartphone e pc.

Il phishing è in genere utilizzato dai cyber-criminali per rubare informazioni fiscali e bancarie, come è successo in Italia con finte comunicazioni dell’Agenzia delle Entrate, ma può essere usato anche a fini di spionaggio.

Il Citizen Lab di Toronto ad esempio ha indagato su molti casi in cui il phishing è stato utilizzato contro giornalisti, attivisti e operatori umanitari da parte di gruppi che cercano di spiarne le attività. Il motivo è ovvio: attraverso i nostri account inviamo rapporti e resoconti, documenti legali, comunicati, liste di luoghi e di persone.

Succede in Tibet, dove gli oppositori al regime di Pechino sono bersaglio di uno spionaggio digitale decennale. La cosa funziona così. L’attivista per i diritti umani riceve un’email che sembra inviata da un membro della comunità tibetana che afferma di volere condividere le bozze di un logo da usare su un sito web d’opposizione. Ma i file allegati sono in realtà collegamenti a un sito web che somiglia a Google Drive. Una volta cliccato sui file si viene indirizzati a una finta pagina di accesso a Google dove il nome utente e la password vengono trasferiti agli spioni prima che la vittima sia reindirizzata al sito legittimo. Da quel momento in poi gli spioni possono accedere all’account della vittima e rubare informazioni preziose.

L’anno scorso, attivisti, avvocati e giornalisti in Egitto sono stati presi di mira da una campagna di phishing su larga scala che ha coinvolto quasi cento indirizzi implicati in una causa tra il governo egiziano e alcune organizzazioni non governative. Le email di phishing sembravano provenire da servizi come Dropbox e Google e menzionavano fatti rilevanti per convincere i destinatari a fare clic sui link proposti per ulteriori informazioni.

Questo tipo di phishing che emula un servizio legittimo si chiama «Angler Phishing» cioè «Rana pescatrice», proprio a ricordare la funzione dell’esca davanti alle fauci del pesce predatore.

A dicembre 2016, Azza Soliman, avvocatessa egiziana che assiste molte donne in casi di tortura, detenzione arbitraria, violenza domestica e stupro, è stata arrestata a casa sua. Dopo l’arresto, mentre veniva interrogata dalla polizia, alcuni dei suoi colleghi ricevevano un’email che sembrava una notifica di Dropbox per condividere il documento del mandato di cattura di Soliman, ma non lo era. Cliccando il link si accedeva a una pagina di phishing che rubava login e password.

Sfruttando questa tecnica i malviventi possono operare su tutti i servizi per i quali abbiamo commesso l’errore di usare la stessa email e la stessa password per autenticarci: social network, servizi di prenotazione turistica, siti di gaming online. Con email e password possono resettare l’accesso a questi servizi lasciandoci fuori.

Il consiglio è pertanto di prestare grande attenzione a tutte le e-mail che si ricevono e ai link contenenti. Passandoci sopra col mouse si vede l’indirizzo esatto, ma a volte l’indirizzo è offuscato e si viene tentati di cliccarlo lo stesso. C’è un modo per proteggersi: usare la cosiddetta autenticazione a due fattori che richiede una sorta di seconda password per accedere l’account.