Staipa’s Blog

Il Blog di Stefano Giolo

Esiste un modo per rispondere a un attacco informatico?

Tempo di lettura 4 minuti

La risposta incredibilmente è sì. Soprattutto se si tratta di social engineering (https://wp.me/pQMJM-2go).
Se tralasciamo quei tipi di attacco che vanno prevenuti attraverso l’uso di dispositivi aggiornati e di antivirus, come ho spiegato in Perché un criminale informatico dovrebbe scegliere proprio me? (https://wp.me/pQMJM-22w) esistono parecchi tipi di attacco che riguardano la sfera prettamente psicologica. Nell’articolo sul social engineering in particolare ho spiegato la filosofia di questo genere di attacco.

Ma c’è qualcosa che possiamo fare per opporci? Non solo per rendere inefficace il tentativo ma proprio per ritorcerlo contro l’attaccante?

Intanto dobbiamo iniziare con un veloce ripasso.

Come funziona un attacco di Phishing

Un attacco di phishing, in genere è il tentativo da parte di un malintenzionato di carpire dati e informazioni personali, spesso legate a conti bancari, account di servizi di pagamento o simili. Rientra in questa tipologia, anche se in quel caso si chiama vishing (voice phishing) anche il tentativo di carpire tali informazioni per via telefonica, proprio come fanno molti sedicenti operatori telefonici o di energia.

In tutti i casi lo scopo è quello di raccogliere una enorme quantità di dati sicuramente validi. Che siano user e password, indirizzi e-mail, indirizzi fisici, dati di carte di credito, o qualunque genere di dato a chi fa questo genere di dato serve che siano validi. Che voi inseriate i dati in questo genere di servizio è virtualmente ininfluente. Qualcuno lo farà e sarà sufficiente per raggiungere i loro scopi.

Avvelenamento del pozzo

Ma se invece di non inserire dati, tutti noi inserissimo volontariamente dati sbagliati?
Per come funziona questo genere di truffa si assume che inviando questo genere di richieste a milioni di persone, se anche solo l’1% ci dovesse cadere loro avrebbero raccolto decine di migliaia di dati validi. Ma se di quei milioni, anche solo un 5% invece di non inserire dati ne inserisse sbagliati quelle decine di migliaia di dati validi sarebbero mescolate a cinque volte più dati sbagliati.
L’elenco di dati raccolti dai malfattori sarebbe inutile. Se a fronte di 10.000 dati buoni ne ho 50.000 sbagliati il lavoro di distinguere quelli validi e quelli non validi diventerebbe talmente complesso da rendere svantaggioso fare del phising.

La tecnica si chiama avvelenamento del pozzo, ma va usata con moderazione e attenzione, soprattutto se non si ha una certa cognizione di causa.
In primo luogo, può essere un rischio per noi che la attuiamo. Non sempre è facile avere la certezza che il link che ci viene proposto sia di phishing, piuttosto che ci porti su qualche sito insicuro che ci possa installare un malware, o un virus. Per visitarlo in maniera sicura è possibile utilizzare un prodotto come Browserling (www.browserling.com), che permette di visitare un sito attraverso una speciale macchina virtuale che verrà distrutta dopo qualche secondo.

Nel farlo va tenuto conto del fatto che in molti casi è piuttosto semplice riconoscere in automatico dati falsi da dati veri, se ad esempio inseriti casualmente o se una grossa quantità di dati viene inserita dallo stesso computer, abbiamo viso alcune tecniche in La modalità in incognito del browser protegge la mia privacy? (https://wp.me/pQMJM-286), quindi se ognuno inserisse decine di dati probabilmente sarebbe del tutto inutile. Tuttavia, sarebbe interessante se ognuno inserisse un singolo dato sbagliato. Sarebbe probabilmente già una grande vittoria.

L’avvelenamento del pozzo è comunque una tecnica che viene usata dai professionisti per fermare questo genere di attacchi, loro però utilizzano parecchie VPN, sistemi per mascherare il computer e renderlo irriconoscibile e set di dati credibili per rendere maggiormente difficile ai malfattori distinguere i dati inseriti da loro da quelli delle vittime.

Re:scam

Un altro sistema interessante è il rescam, ossia intrattenere conversazioni con chi manda le mail di phising, ma soprattutto nel caso di tentativi di truffa alla nigeriana. Ne abbiamo parlato in Come riconoscere un profilo falso? (https://wp.me/pQMJM-2bD).
In questo caso si tratta in genere di persone reali che rispondono a mail reali per cercare di ottenere informazioni e raggirare e il modo migliore per rompergli le uova nel paniere è quello di fargli perdere tempo inutilmente, proteggendo così le vittime reali. Il sito Re:scam (www.rescam.org), anche se al momento sembra essere fermo per miglioramenti tecnici, si occupa di questo. Inoltrando una mail di un tentativo di attacco a [email protected] l’intelligenza artificiale del sito si occupa (o si occupava) di rispondere e di intessere una lunga conversazione di botta e risposta studiate per essere credibili e far perdere tempo.

Secondo le statistiche del sito sono state inviate circa un milione di mail e fatti perdere cinque anni di tempo agli scammers.

Come rendere semplice la vita di un truffatore

Va tenuto conto però che sono più le persone che con le proprie azioni rendono facile la vita ai truffatori rispetto a quelle che si impegnano contro.

  • Le mail catena in cui le persone fanno inoltra per inviarle a altre persone spesso contengono un elenco di indirizzi validi e di nomi e cognomi validi che possono essere usati per truffe.
  • Se quando si mandano mail si mette tante persone in copia (CC) ognuno di loro avrà gli indirizzi e i nomi di tutti gli altri. Se uno di questi verrà in futuro attaccato saranno in pericolo tutti gli altri. Se non si tratta di un gruppo di amici e di persone che devono avere l’uno i contatti dell’altro meglio usare BCC o CCN, così chi riceve la mail non vede l’indirizzo degli altri
  • Molte catene in cui vi si chiede di inviare a tutti qualcosa, soprattutto se contengono offerte o in generale Link hanno proprio lo scopo di diffondere dati e mettere in pericolo altre persone

Leggendo questo articolo ti sono venute delle domande a cui potrei rispondere nei prossimi articoli?

Qui puoi trovare tutte le domande semplici: https://short.staipa.it/ledomandesemplici


Conferenze

Sono disponibile per l'organizzazione di conferenze su Uso consapevole delle tecnologie, e su Come riconoscere le Fake News, o altri temi analoghi. Potete contattarmi attraverso i miei contatti su questo sito. Le conferenze possono essere declinate per formazione per adolescenti, formazione per genitori o formazione per insegnanti. Potete visitare l'apposita pagina Conferenze e Corsi per maggiori informazioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa cookies per fornirti la migliore esperienza. Se sei d'accordo clicca sul tasto 'Accetta cookies', altrimenti controlla la privacy cookies policy e scegli nel dettaglio.

Impostazioni Cookie

Di seguito puoi scegliere quale tipo di cookie consentire su questo sito Web. Fai clic sul pulsante "Salva impostazioni cookie" per applicare la tua scelta.

FunzionaliQuesto sito utilizza cookie funzionali. Questi cookie sono necessari per farlo funzionare.

AnaliticiQuesto sito utilizza cookie analitici per consentire di analizzarne l'uso e le visite alle pagine allo scopo di migliorare l'esperienza utente.

Social mediaQuesto sito web inserisce cookie di social media per mostrarti contenuti di terze parti come YouTube e Twitter. Questi cookie possono tracciare i tuoi dati personali.

AltriQuesto sito inserisce cookie di terze parti da altri servizi di terze parti che non sono analitici, social media o pubblicitari.