• Varie
  • Posted
  • Hits: 498

Norman: dopo il Phishing il Vishing

Uno degli strumenti più diffusi già utilizzati dai pirati informatici agli albori delle comunicazioni remote tra PC è il cosiddetto war-dialling. Il pirata informatico utilizza un programma mediante il quale il suo Computer chiama (tramite modem) sequenze semi-casuali di numeri telefonici in una determinata area. Nel caso in cui un modem risponda, può supporre con un buon margine di sicurezza la presenza di un altro Computer. L’elenco di risposte dei modem (Computer) può diventare per il pirata informatico una buona opportunità per conseguire i suoi obiettivi. 
Poiché i modem sono ormai poco utilizzati, per ottenere gli stessi risultati si ricorre alla scansione delle porte del protocollo di rete TCP/IP. Utilizzando un normalissimo Computer, l’intruso effettua la scansione di un intervallo di indirizzi IP alla ricerca di altri PC ove determinate porte risultino aperte. Quelli che forniscono una risposta positiva possono essere oggetto di nuovi tentativi di accesso che potrebbero consentire il controllo della macchina. A quel punto il Computer diventa utilizzabile per qualunque obiettivo: spamming (invio di posta indesiderata con possibilità di virus allegati), botnet (reti di PC interconnessi tra loro per il raggiungimento di un obiettivo / attacco pirata pianificato), e così via.
In aggiunta all’ormai noto Phishing, che può essere genericamente definito come un attacco di social engineering con cui si cerca di indurre con l’inganno a rivelare informazioni personali quali password e numeri di carta di credito, con l’intento di commettere frode, troviamo quindi ora anche il Vishing, ossia la combinazione di VoIP (Voice over IP) e Phishing stesso. 

Funzionamento del vishing
1. Utilizzo di un Computer per chiamare sequenze di numeri (la parte 'V') 
La fase iniziale prevede la configurazione del Computer affinché attraverso la tecnologia VoIP possa chiamare una grande quantità di numeri telefonici in una determinata area. 
A differenza delle vecchie tecniche di war-dialling, la distanza in questo caso non costituisce un problema poiché il costo della telefonata è irrisorio; tuttavia, come si vedrà al punto 2 riportato di seguito, la lingua utilizzata nell’area potrebbe essere determinante ai fini del risultato positivo dello schema di Vishing. 
2. Riproduzione di un messaggio pre-registrato (la parte 'ishing') 
Presumibilmente, alcuni dei numeri chiamati risponderanno. La persona che ha messo in atto lo schema avrà già pre-registrato un testo di phishing, come ad esempio un messaggio, in apparenza proveniente dal reparto antifrodi della società emittente della carta di credito, in cui viene richiesto di chiamare un altro numero allo scopo di risolvere alcuni potenziali problemi riscontrati.
In genere il messaggio pre-registrato utilizza la stessa lingua dell’area in cui ha luogo il Vishing. Un messaggio automatico in tedesco che si rivolge a francesi e che si dice inviato da un dipendente della banca non è esattamente un messaggio credibile e riuscirà a ingannare solo gli utenti più ingenui (il che ovviamente potrebbe essere comunque un obiettivo sufficiente). 
3. Raccolta di informazioni sensibili 

Se la truffa descritta al punto 2 è convincente, alcuni di coloro che hanno risposto alla chiamata automatica e ascoltato il messaggio richiameranno al numero indicato. 
In questa fase, l’autore del Vishing può scegliere tra varie possibilità. 
• Può utilizzare le proprie capacità personali di social engineering e rispondere personalmente alla telefonata, cercando di indurre con l’inganno l’interlocutore a rivelare alcune informazioni personali, ad esempio il numero della carta di credito, il codice PIN, la data di nascita e così via. 
In questa fase, il contatto telefonico personale ha la maggiore probabilità di successo; per contro, ha come svantaggio il fatto che l’autore del Vishing può parlare a una sola persona per volta e non ultimo essere riconosciuto dal timbro di voce nel caso dovesse in seguito venire scoperto.
• In alternativa, può invece pre-registrare un secondo messaggio col quale indurre con l’inganno chi effettua la chiamata a fornire le proprie informazioni personali. 
Può dire, ad esempio, che si è verificato un crollo del database del reparto carte di credito della banca e contemporaneamente alcuni numeri di carta di credito sono stati rubati. Poiché il database e le informazioni del cliente non sono disponibili chiede a chi effettua la telefonata di fornire il numero di carta di credito e il numero di telefono in modo che la banca possa richiamare nel caso in cui tali numeri rientrassero tra quelli che sono stati oggetto di furto. 
Le tecniche di persuasione utilizzabili dall’autore del Vishing hanno come limite solo la sua immaginazione. D’altra parte devono essere il più possibile generiche, affinché risultino efficaci per il maggior numero di persone. 
4. Frode e/o ottenere altre informazioni 
Le informazioni raccolte seguendo i tre punti riportati sopra possono poi essere utilizzate dall’autore del vishing per commettere la vera e propria frode. Nell’esempio riportato sopra la frode si riferisce alla carta di credito ma potrebbe riguardare qualunque aspetto.
In questa fase le informazioni raccolte possono essere utilizzate per ottenere altre informazioni e, nel caso estremo, per quanto remoto, riuscire anche ad impossessarsi a tutti gli effetti dell’identità dell’altra persona per poi commettere azioni illegali sotto false spoglie o fornire false generaltà per qualche operazione poco pulita. 

Alcune osservazioni generali
“La nostra tesi è che la particolare efficacia dimostrata dalla messaggistica istantanea sia attribuibile alla novità del mezzo e che, per questo motivo, gli utenti non vi hanno prestato lo stesso grado di attenzione rivolto, ad esempio, all’utilizzo dell’email quale strumento per la diffusione di codice nocivo” afferma Walter Brambilla, Country Manager Norman Italia. 
“Il Vishing può essere considerato esattamente allo stesso modo. L’attenzione nei confronti del Phishing da parte di organizzazioni per la sicurezza, finanziarie e media è stata piuttosto intensa per un certo periodo di tempo e si è rivolta principalmente ai tentativi effettuati mediante le email. Il phishing effettuato mediante un nuovo canale di comunicazione, ossia il VoIP, avrà per un certo periodo di tempo una probabilità di successo molto più elevata rispetto a quello effettuato con canali più tradizionali” continua Brambilla, che poi conclude dicendo che “Si tratta di un fenomeno destinato presumibilmente a ripetersi ogni volta che vengono adottati nuovi canali.
Indipendentemente dai supporti e dalle tecniche utilizzate dalla persona fraudolenta, il consiglio generale è di utilizzare lo scetticismo intelligente in qualunque situazione in cui viene chiesto di rivelare informazioni personali.”
- Jacopo P. -