La risposta incredibilmente è sì. Soprattutto se si tratta di social engineering (https://wp.me/pQMJM-2go).
Se tralasciamo quei tipi di attacco che vanno prevenuti attraverso l’uso di dispositivi aggiornati e di antivirus, come ho spiegato in Perché un criminale informatico dovrebbe scegliere proprio me? (https://wp.me/pQMJM-22w) esistono parecchi tipi di attacco che riguardano la sfera prettamente psicologica. Nell’articolo sul social engineering in particolare ho spiegato la filosofia di questo genere di attacco.
Ma c’è qualcosa che possiamo fare per opporci? Non solo per rendere inefficace il tentativo ma proprio per ritorcerlo contro l’attaccante?
Intanto dobbiamo iniziare con un veloce ripasso.
Come funziona un attacco di Phishing
Un attacco di phishing, in genere è il tentativo da parte di un malintenzionato di carpire dati e informazioni personali, spesso legate a conti bancari, account di servizi di pagamento o simili. Rientra in questa tipologia, anche se in quel caso si chiama vishing (voice phishing) anche il tentativo di carpire tali informazioni per via telefonica, proprio come fanno molti sedicenti operatori telefonici o di energia.
In tutti i casi lo scopo è quello di raccogliere una enorme quantità di dati sicuramente validi. Che siano user e password, indirizzi e-mail, indirizzi fisici, dati di carte di credito, o qualunque genere di dato a chi fa questo genere di dato serve che siano validi. Che voi inseriate i dati in questo genere di servizio è virtualmente ininfluente. Qualcuno lo farà e sarà sufficiente per raggiungere i loro scopi.
Avvelenamento del pozzo
Ma se invece di non inserire dati, tutti noi inserissimo volontariamente dati sbagliati?
Per come funziona questo genere di truffa si assume che inviando questo genere di richieste a milioni di persone, se anche solo l’1% ci dovesse cadere loro avrebbero raccolto decine di migliaia di dati validi. Ma se di quei milioni, anche solo un 5% invece di non inserire dati ne inserisse sbagliati quelle decine di migliaia di dati validi sarebbero mescolate a cinque volte più dati sbagliati.
L’elenco di dati raccolti dai malfattori sarebbe inutile. Se a fronte di 10.000 dati buoni ne ho 50.000 sbagliati il lavoro di distinguere quelli validi e quelli non validi diventerebbe talmente complesso da rendere svantaggioso fare del phising.
La tecnica si chiama avvelenamento del pozzo, ma va usata con moderazione e attenzione, soprattutto se non si ha una certa cognizione di causa.
In primo luogo, può essere un rischio per noi che la attuiamo. Non sempre è facile avere la certezza che il link che ci viene proposto sia di phishing, piuttosto che ci porti su qualche sito insicuro che ci possa installare un malware, o un virus. Per visitarlo in maniera sicura è possibile utilizzare un prodotto come Browserling (www.browserling.com), che permette di visitare un sito attraverso una speciale macchina virtuale che verrà distrutta dopo qualche secondo.

Nel farlo va tenuto conto del fatto che in molti casi è piuttosto semplice riconoscere in automatico dati falsi da dati veri, se ad esempio inseriti casualmente o se una grossa quantità di dati viene inserita dallo stesso computer, abbiamo viso alcune tecniche in La modalità in incognito del browser protegge la mia privacy? (https://wp.me/pQMJM-286), quindi se ognuno inserisse decine di dati probabilmente sarebbe del tutto inutile. Tuttavia, sarebbe interessante se ognuno inserisse un singolo dato sbagliato. Sarebbe probabilmente già una grande vittoria.
L’avvelenamento del pozzo è comunque una tecnica che viene usata dai professionisti per fermare questo genere di attacchi, loro però utilizzano parecchie VPN, sistemi per mascherare il computer e renderlo irriconoscibile e set di dati credibili per rendere maggiormente difficile ai malfattori distinguere i dati inseriti da loro da quelli delle vittime.
Re:scam
Un altro sistema interessante è il rescam, ossia intrattenere conversazioni con chi manda le mail di phising, ma soprattutto nel caso di tentativi di truffa alla nigeriana. Ne abbiamo parlato in Come riconoscere un profilo falso? (https://wp.me/pQMJM-2bD).
In questo caso si tratta in genere di persone reali che rispondono a mail reali per cercare di ottenere informazioni e raggirare e il modo migliore per rompergli le uova nel paniere è quello di fargli perdere tempo inutilmente, proteggendo così le vittime reali. Il sito Re:scam (www.rescam.org), anche se al momento sembra essere fermo per miglioramenti tecnici, si occupa di questo. Inoltrando una mail di un tentativo di attacco a [email protected] l’intelligenza artificiale del sito si occupa (o si occupava) di rispondere e di intessere una lunga conversazione di botta e risposta studiate per essere credibili e far perdere tempo.
Secondo le statistiche del sito sono state inviate circa un milione di mail e fatti perdere cinque anni di tempo agli scammers.
Come rendere semplice la vita di un truffatore
Va tenuto conto però che sono più le persone che con le proprie azioni rendono facile la vita ai truffatori rispetto a quelle che si impegnano contro.
- Le mail catena in cui le persone fanno inoltra per inviarle a altre persone spesso contengono un elenco di indirizzi validi e di nomi e cognomi validi che possono essere usati per truffe.
- Se quando si mandano mail si mette tante persone in copia (CC) ognuno di loro avrà gli indirizzi e i nomi di tutti gli altri. Se uno di questi verrà in futuro attaccato saranno in pericolo tutti gli altri. Se non si tratta di un gruppo di amici e di persone che devono avere l’uno i contatti dell’altro meglio usare BCC o CCN, così chi riceve la mail non vede l’indirizzo degli altri
- Molte catene in cui vi si chiede di inviare a tutti qualcosa, soprattutto se contengono offerte o in generale Link hanno proprio lo scopo di diffondere dati e mettere in pericolo altre persone
Voi fare una domanda per uno dei prossimi articoli? Falla qui!
Qui puoi trovare tutte le domande semplici: https://short.staipa.it/ledomandesemplici
Lascia un commento