Spear phishing: come funziona la tecnica usata da Occhionero per spiare i politici
Sfrutta l’invio di email fasulle per invitare a cliccare su siti e aprire file. A ingannare è il mittente, un vero conoscente
Conosciamo più o meno tutti cos’è il phishing: si ricevono decine di messaggi di posta elettronica al giorno da indirizzi sconosciuti, tizi che si sono persi in Inghilterra e parenti mai sentiti che chiedono soldi da inviare per urgenti necessità. La questione si fa più complicata quando il mittente, anche solo per assonanza, si avvicina a qualcosa conosciuto in Italia, magari un istituto di credito, una banca, ma anche un ente di formazione scolastico. In quel caso è più semplice cadere nella trappola, soprattutto quando si legge la posta di fretta, dallo smartphone, e si clicca su link e file che nascondono virus e minacce (si, anche per il cellulare) con l’obiettivo di installare applicazioni di monitoraggio sui dispositivi personali.
Come risolvere? Basta un click sul nome visualizzato nella barra di invio, per leggere interamente il formato dell’email da cui proviene la comunicazione: nel 90% dei casi non c’entra un bel niente con il testo (ad esempio infomessage@yuppy.it associato al mittente “Banca Popolare di Milano”) e quando proprio sorge un dubbio basta alzare la cornetta e verificare l’attendibilità con l’ufficio informazioni relativo. Lo spear phishing va ben oltre.
Come agisce
La tecnica non è per nulla nuova. Le prime tracce risalgono al 2011, anno in cui la definizione di spear phishing è divenuta necessaria. A differenza del phishing “classico”, ad agire non sono hacker casuali, che dopo aver sviluppato un pacchetto malware lo inseriscono in file nascosti (indirizzi web e documenti appunto) e lo diffondono in rete senza troppi accorgimenti, sperando che nel mare magnum del web qualcuno ci caschi ancora. Qui la volontà è di violare specifici utenti, conosciuti e portatori di un sapere che fa comodo all’aggressore, che intende intrufolarsi nei sistemi eludendo le più comuni procedure di sicurezza.
La piramide nascosta
Non a caso, il Cnaipic e la Polizia Postale hanno scoperto che il malware Eye Pyramid usato dai fratelli Giulio e Francesca Maria Occhionero era il risultato di un processo di sviluppo ad-hoc, frutto di uno studio ben preciso delle difese a bordo dei computer da aggredire, così da insediarsi senza incontrare ostacoli. Tornando alle differenze con il più conosciuto phishing, la variante spear (lancia, arpione) può rappresentare un’arma anche dopo vari tentativi di contatto, ovvero l’hacker invia messaggi senza fini maligni a una persona, instaura un rapporto di tipo amichevole e poi nelle email successive inserisce il malware, così da approfittare dell’abbassamento della soglia di attenzione da parte della vittima. È chiaro che si tratta di un’azione mirata, studiata e architettata nel tempo. Eye Pyramid lavora dal 2008, solo così ha potuto portare a casa migliaia di violazioni, senza mai dare nell’occhio.
Social engineering
“Il criminale basa le sue azioni sulla familiarità con le persone. Conosce il tuo nome, l'indirizzo e-mail e certamente qualche altra informazione. È probabile che i saluti nel messaggio siano personalizzati e che vi sia il riferimento a un amico comune, a un recente acquisto online, alla squadra del cuore. Se poi è un'azienda che ti chiede di agire con urgenza, potresti essere spinto ad agire senza riflettere” – spiega la società di sicurezza Symantec.
I social fanno il resto. La definizione di ingegneria sociale, associata al web, si riferisce allo studio del comportamento di una persona con il fine di raccogliere parole e dati chiave che possono rappresentare porte di ingresso in account specifici. Un esempio? Parlo spesso del mio cane su Facebook e del giorno del mio compleanno. Conoscendo l’indirizzo email di tale individuo si può cercare di associare i due termini da usare come password, nel tentativo di intrusione nell’account di posta. Situazione assurda? Pensate a quali dei vostri profili hanno una parola di accesso che comprende il nome dell’animale domestico a cui siete legati.
Per anni anonimo con Tor
Parlando ancora di Eye Pyramid, stamattina la compagnia specializzata TrendMicro ha aggiunto: “Si stimano circa di 87 GB di dati, che ovviamente vanno oltre quanto elencato dagli organi di stampa. Le analisi rilevano intrusioni certe dal 2012 ad oggi ma ci sono precedenti versioni del malware impiegate già nel 2008, 2010, 2011 e 2014 in diverse campagne di spear phishing. La minaccia compromette (non si sa bene come) alcune caselle email (almeno 15 quelle note), collegandosi alla rete Tor (per quanto informazione poco utile) e inviando tramite un server le email alle vittime (così da tener oscuro l’IP mandante ndr.) usando come mittente un vero indirizzo email di altre caselle compromesse. Dentro al messaggio c’è un allegato malevolo (c’è chi sostiene che si tratti di un .pdf) che, una volta insediato nel computer, invia i dati sottratti ad account di posta gestiti dall’aggressore.
Collaborazione con gli USA
Ma allora come ha fatto la polizia ad arrivare a Occhionero? Grazie a un errore, l’unico forse commesso in tutti questi anni. Come spiega oggi Il Sole 24 Ore, il 26 gennaio 2016 un funzionario dell’Enav ha fatto presente a un’agenzia di sicurezza un messaggio di posta secondo lui fasullo, pur proveniente da un indirizzo validato. Da qui, la collaborazione del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale e l’FBI (già all'opera per "HackInItaly"), ha permesso di risalire ad alcuni server, localizzati negli USA, sui quali erano presenti gli archivi sottratti dai due fratelli a cui si è arrivati andando a ritroso con le infezioni causate da Eye Pyramid. Se l’ingegnere avesse lasciato tutto in Italia probabilmente non saremmo giunti a questo punto, non così presto almeno.
