Il 24 Aprile ho discusso la mia tesi di laurea in Sicurezza dei Sistemi e delle Reti Informatiche presso l’Università degli Studi di Milano.
Obiettivo della tesi di laurea è descrivere l’evoluzione delle campagne di phishing dagli anni ’90 ad oggi, diverse nuove tecniche e vettori di attacco vengono usati negli ultimi anni per aggirare tecniche di prevenzione o filtraggio implementate per prevenire la diffusione di questo fenomeno.
Il phishing è un tentativo fraudolento di ottenere informazioni sensibili ingannando la vittima attraverso la ricezione di una comunicazione apparentemente affidabile. Generalmente in un attacco di phishing su larga scala vengono carpiti nomi utenti, indirizzi email, password e dettagli delle carte di credito; invece, per attacchi di phishing mirati ad utenti o ad aziende il tentativo fraudolento potrebbe carpire altre informazioni riservate.
Il vettore storico per le campagne di phishing sono le email ma data la crescente consapevolezza da parte degli utenti di comunicazioni illegittime inviate tramite la posta elettronica i criminali hanno iniziato a sfruttare nuovi vettori di attacco; tra i più diffusi vi sono i brevi messaggi di testo (SMS), che se sfruttati per inviare comunicazioni di Phishing prendono il nome di Smishing (short message phishing), o le chiamate vocali, denominate Vishing qualora vengano usate per attività illecite. Una comunicazione telefonica migliora l’efficacia di un attacco in modo significativo data la possibilità di coinvolgere maggiormente la possibile vittima. Altri vettori più recenti sono i Social Network e le piattaforme di Instant Message che vantano oltre 2 miliardi di utenti attivi al mese, oppure le campagne pubblicitarie targhettizzate per individuare il pubblico idoneo all’attività malevola.
Esistono diverse tipologie di attacchi di phishing, le quali si differiscono principalmente per metodica e target. Un attacco tradizionale di Phishing viene eseguito su una larga platea di possibili vittime senza alcuna verifica accurata del target; una campagna mirata verso una società o un individuo viene definita Spear Phishing; l’utilizzo di una precedente comunicazione lecita alternando alcune parti delle comunicazioni viene definito un attacco di Clone Phishing ed infine il Whaling è un attacco mirato a figure di spicco all’interno di una società o della scena politica di un paese.
Diverse soluzioni tecniche sono state implementate per mitigare la diffusione del phishing o l’utilizzo illecito di eventuali informazioni carpite. Per esempio l’introduzione di codici One-time password (OTP) da prima diffusi in formato cartaceo, e successivamente tramite token proprietari in grado di mostrare il codice temporaneo in un piccolo display ed infine implementati in apposite applicazioni per smartphone. Anche il progetto di Safe Browsing adottato dai principali browser desktop o mobile ha il compito di allertare un utente qualora visiti un sito malevolo mediante la visualizzazione di avviso. Queste ed altre soluzioni di contrasto possono essere limitate o rese inefficaci attraverso alcune tecniche di evasione sempre più sfruttate dai criminali.
La creazione di domini Ad Hoc mediante la tecnica di Typosquatting, ovvero domini che variano nel nome di pochi caratteri rispetto a quelli ufficiali, permette di ingannare maggiormente la possibile vittima che leggendo velocemente il nome del dominio non si accorge di visitare un sito differente dall’ufficiale. Inoltre l’attaccante ha la possibilità di configurare in maniera opportuna il dominio per inviare le campagne di phishing via email evitando di essere rilevate dai filtri anti-spam.
La gestione dell’esperienza della vittima su un sito di phishing è cruciale per poter interagire in real time con essa e potergli richiedere ulteriori informazioni sensibili utili a completare l’attacco, come un eventuale codice OTP o contatto telefonico per poter proseguire l’attacco telefonicamente. Un portale di Command and Control (C&C) permette al criminale di gestire l’interazione con l’utente ma anche di verificare l’esattezza delle informazioni carpite, come username e password.
Il contrasto alle campagne di phishing viene effettuato attraverso l’inserimento dei domini, url o IP coinvolti nelle blacklist e nelle Real-time Blackhole List (RBL); inoltre vengono usualmente contattati i provider che ospitano il materiale malevolo e gli eventuali provider che hanno provveduto alla registrazione del dominio sfruttato per la divulgazione della campagna di phishing.
La tesi è disponibile in formato PDF cliccando qui oppure è possibile consultare le slides di presentazione cliccando qui.
Oltre ai doverosi ringraziamenti ai miei famigliari che mi hanno sostenuto nelle nottate di studio vorrei ringraziare il professore Nello Scarabottolo che mi ha seguito nel percorso di scrittura della tesi, Sabrina Papini fedele tutor del corso universitario, tutti i miei colleghi in D3Lab che mi hanno permesso di approfondire e conoscere la tematiche trattate nella tesi, Stefano Zanero e Antonio Gammarota che mi hanno spronato a riprendere gli studi per conseguire la laurea dopo aver abbandonato gli studi al termine della scuola superiore.
beh , inanzitutto complimenti per il raggiungimento del tuo obiettivo, sono capitato per caso sul tuo blog ed ho anche scaricato la tua tesi che leggero con attenzione.
Buona fortuna per il tuo lavoro
Grazie Mille Maurizio!
Congratulazioni. Ho approfitttato per leggerla…
Grazie!