Email, telefono, IP e DNS, persino il GPS può essere veicolo di spoofing, una tecnica fraudolenta che può causare pericoli a privati e ad aziende. Cosa c’è da sapere e come difendersi
Lo spoofing è uno dei diversi tipi di attacchi informatici che vengono messi a segno in tutto il mondo, causando danni economici a persone, enti e aziende.
È una tecnica di social engineering il cui nome trae origine dal termine inglese spoof che significa “beffa, raggiro, inganno”. Con questi intenti i cyber delinquenti la mettono in atto: per truffare uno o più malcapitati fingendosi un loro conoscente o un contatto noto e ottenere così dati sensibili. Per indurre la vittima a divulgare informazioni personali lo spoofing può essere effettuato tramite e-mail, messaggi di testo, ID chiamante, indirizzo IP e persino ricevitori GPS. Ecco perché è bene conoscere questa tecnica subdola.
Una recente notizia di cronaca fa capire quanto sia ampiamente diffusa e pericolosa: nel Regno Unito, la Cyber Crime Unit di Scotland Yard, insieme all’Europol e alle forze di polizia dei Paesi Bassi hanno smascherato e bloccato un sito web di spoofing telefonico. Inoltre hanno arrestato 120 persone in quella che è considerata la più grande operazione antifrode mai condotta in UK, come riporta l’edizione online di The Mirror. La maxi truffa ha fruttato circa 48 milioni di sterline. Secondo le prime ricostruzioni, sarebbero circa 70mila le persone vittime della truffa, ma si stima che in tutto il mondo siano 200mila i truffati e 59mila i potenziali sospetti che avrebbero utilizzato il sito web per “mascherare” il proprio numero di telefono in modo da attuare operazioni fraudolente.
Cos’è lo spoofing
Lo spoofing è un tipo di truffa in cui un criminale camuffa un indirizzo e-mail, un nome visualizzato, un numero di telefono, un messaggio di testo o un URL di un sito web per convincere il bersaglio che sta interagendo con una fonte nota e affidabile.
Può essere utilizzato per ottenere l’accesso alle informazioni personali di un obiettivo, diffondere malware attraverso link o allegati infetti, aggirare i controlli di accesso alla rete o ridistribuire il traffico per condurre un attacco Denial of Service.
Lo spoofing è spesso il modo in cui un malintenzionato ottiene l’accesso per eseguire un attacco informatico più ampio. Esso può indurre l’utente a rivelare informazioni personali e finanziarie, a inviare denaro e a scaricare programmi malevoli, il che può portare a computer infetti, frodi finanziarie e furti di identità. Può essere utilizzato per diffondere virus informatici tramite link e allegati, aggirare i controlli di accesso alla rete e limitarlo tramite attacchi Denial of Service (DoS). A livello aziendale, lo spoofing può infettare sistemi e reti informatiche infette, causare violazioni dei dati e perdite di reddito.
Le tecniche di spoofing variano in base al tipo di attacco. Per esempio, nell’email spoofing, l’avversario può violare un server di posta non protetto per nascondere la sua vera identità. Inoltre, i criminali informatici possono falsificare i messaggi di posta elettronica per conto della organizzazione per cui operano utilizzando un indirizzo mittente falso (fake sender) a scopo di lucro.
I criminali che praticano lo spoofing cercano di guadagnarsi la fiducia dell’utente e contano sul fatto di fargli credere che le comunicazioni truffaldine siano legittime. Spesso viene utilizzato il nome di una grande azienda di fiducia (una banca, una realtà di e-commerce ecc.) per fornire alla potenziale vittima una parvenza legale e indurre gli utenti a fidarsi e a rivelare dati o informazioni personali.
Le diverse tipologie
Lo spoofing si manifesta sotto varie forme e livello di complessità, motivando così la diffusione e pericolosità di questo attacco. Vediamo, di seguito, i principali tipi.
Email spoofing
È una delle forme più comuni di spoofing. Si verifica quando un aggressore si finge una persona conosciuta, modificando il nome dell’indirizzo mittente di un contatto noto. Basta una cifra, una lettera in più, una maiuscola al posto di una minuscola. Questo tipo di attacco viene chiamato omografo o visual spoofing.
Nella maggior parte di email spoofing, il messaggio contiene collegamenti a siti web dannosi o allegati infetti. L’aggressore può anche utilizzare questa o altre tecniche di social engineering per convincere il destinatario a divulgare dati personali o altre informazioni sensibili.
Caller ID spoofing
Con questa tecnica fraudolenta, traducibile con “spoofing dell’ID del chiamante”, gli aggressori possono far credere che le loro telefonate provengano da un numero specifico, noto o comunque affidabile per il destinatario, o che indichi una specifica posizione geografica. Gli aggressori possono quindi impiegare, anche in questo caso, tecniche di ingegneria sociale (per esempio, fingendosi un rappresentante di un ente noto) per convincere la vittima a fornire per telefono informazioni sensibili come password, informazioni sul conto, numeri di previdenza sociale e altro ancora.
Website / domain spoofing
Per spoofing di siti web o di domini si intende la tecnica di progettazione di un sito web (o dominio) finalizzata a imitare un sito esistente conosciuto e di cui l’utente si fida. Gli aggressori utilizzano questi siti per ottenere informazioni sensibili o personali dagli utenti.
L’obiettivo di questi attacchi è far sì che gli utenti tentino di accedere al proprio account, a quel punto l’aggressore può registrare le credenziali dell’account o altre info utili. Gli aggressori possono poi utilizzare le credenziali su un sito web affidabile o vendere questi dati. Di solito è innescato tramite email spoofing.
IP Spoofing
Mediante questa tecnica, i cybercriminali possono utilizzare lo IP spoofing per alterare l’indirizzo IP di un computer, nascondendo così l’identità del mittente. Uno degli scopi di questa tecnica è ottenere l’accesso a reti che autenticano gli utenti in base agli indirizzi IP.
Spesso, gli aggressori falsificano l’indirizzo IP di un bersaglio in un attacco DoS per sovraccaricare la vittima di traffico. L’attaccante invia pacchetti a più destinatari della rete e, quando i destinatari dei pacchetti trasmettono una risposta, vengono instradati verso l’indirizzo IP del bersaglio che ha subito lo spoofing.
Questa tecnica, comunemente utilizzata in un attacco DoS, viene impiegata per inondare di traffico il sito della vittima, limitando l’accesso agli utenti autentici.
GPS Spoofing
Scopo di questa forma di spoofing è alterare il GPS di un dispositivo in modo da far identificare la propria posizione in maniera diversa, ingannando così la vittima dell’attacco. Il GPS spoofing può essere utilizzato per reindirizzare i sistemi di navigazione di veicoli di ogni tipo. È utilizzato in ambito civile, ma è spesso usato dagli hacker in attività militari.
DNS Spoofing
I server DNS (Domain Name System) risolvono gli URL e gli indirizzi e-mail agli indirizzi IP corrispondenti. Lo spoofing DNS consente agli aggressori di deviare il traffico verso un indirizzo IP diverso, conducendo le vittime a siti che diffondono malware.
Attacco Man in the Middle
Conosciuto anche con l’acronimo MITM, Man in the Middle è un tipo di attacco informatico in cui una terza parte si infiltra in una conversazione tra un utente della rete e un’applicazione web. L’obiettivo per chi lo scatena è raccogliere di nascosto informazioni e dati personali della vittima e di impersonarlo in modo da richiedere informazioni o per stimolare un’azione, come la modifica delle credenziali di accesso, il completamento di una transazione o l’avvio di un trasferimento di fondi. Questo tipo di attacco spesso include email spoofing, o anche quello di siti web per avviare l’attività fraudolenta ed effettuare il trasferimento di dati.
Prevenire lo spoofing
Per ridurre sensibilmente i pericoli di incorrere in un attacco spoofing è possibile mettere in atto alcune precauzioni utili.
- Evita di aprire allegati da fonti sconosciute. Il rischio, elevato, è di aprire un file infetto. Nel dubbio è meglio non farlo.
- Non rispondere a email o chiamate da mittenti ignoti. Se l’oggetto della email può anche ingannare, l’indirizzo del mittente e il contenuto dell’email, osservato attentamente, smaschera spesso e volentieri un tentativo di email spoofing.
- Usa password complesse. La ragione per cui i siti web validi richiedono sempre di impostare una password con lettere, numeri e anche caratteri speciali è proprio per rendere difficile la possibilità a un cyber delinquente di individuare la chiave di accesso. È bene usare password complesse per i propri indirizzi email o siti web.
- Cambia periodicamente la password. Altra buona abitudine è di modificare la password, rendendo più sicuro l’accesso a dati o informazioni personali rintracciabili in caselle email o altro.
- Non fornire informazioni personali online. Sembra strano, ma è più facile di quanto si pensi. Basti pensare che il 44% degli utenti di Internet rende pubbliche le proprie informazioni.
- Rivedi le impostazioni sulla privacy via web. È benenon dare per scontato che la propria privacy sia al sicuro nei vari siti che si usa. Oltre allo spoofing, si può incorrere nel rischio di essere vittima di shoulder surfing.
- Non divulgare informazioni sensibili/private via email, chat o social. Vale quanto detto prima: chat o social, in particolare, sono ormai utilizzati per inviare anche documenti personali col rischio che qualcuno li intercetti.
- Aggiorna i software e i programmi. Oltre a migliorare le prestazioni, l’aggiornamento consente di mantenere elevati i livelli di sicurezza.
Come difendersi
Fare attenzione ai dettagli è il primo e più importante consiglio da fornire per difendersi dal pericolo spoofing. Significa, in pratica, esaminare qualsiasi particolare che possa far pensare a un tentativo fraudolento di impossessarsi di dati personali. Un’email scritta in modo scorretto o incoerente dal punto di vista stilistico e ortografico è un segnale di spoofing via posta elettronica.
Le telefonate da numeri sconosciuti (a volte segnalate sullo smartphone come spam) possono preludere a una comunicazione nella quale chi chiama cerca di indurre la potenziale vittima a fornire dati o, comunque, essere truffato.
Quando si viene contattati da un rappresentante del servizio clienti via telefono o email, è bene effettuare una ricerca su Google per determinare se il numero o l’indirizzo è associato a qualche truffa.
Una efficace arma di difesa è un software di sicurezza informatica. Oltre ad avvisare su potenziali minacce, blocca i download e impedisce alle minacce informatiche di prendere il sopravvento. Occorre solo tenerlo aggiornato e usarlo regolarmente perché sia funzionante ed efficace.
Per chi è stato vittima di spoofing ci sono enti o realtà che possono essere di aiuto: le forze dell’ordine, innanzitutto o le associazioni consumatori. Negli Stati Uniti, le vittime possono presentare un reclamo al Consumer Complaint Center della Federal Communications Commission (FCC), agenzia governativa indipendente responsabile dell’attuazione e dell’applicazione della legge e dei regolamenti americani sulle comunicazioni.
FCC spiega in questo video come i truffatori usino spoofing per falsificare i numeri identificativi che appaiono sul telefono della potenziale vittima
Come riconoscere un attacco
È possibile rilevare lo spoofing? In alcuni casi è abbastanza semplice. Comunque, è possibile mettere in atto pratici stratagemmi per riconoscere ed evitare di cadere vittime di questa tecnica fraudolenta.
Nel caso delle email, come detto, è possibile riconoscere un tentativo di spoofing osservando con attenzione l’indirizzo del mittente. Occorre considerare che i cyber delinquenti utilizzano domini falsi molto simili a quelli legittimi. È bene ribadirlo: gli errori di battitura, la cattiva grammatica e la sintassi insolita di un’e-mail sono segnali di allarme.
Qualsiasi richiesta di password o di informazioni sensibili a mezzo posta elettronica è da considerare altamente sospetta. Aziende ed enti governativi affidabili non chiedono mai di condividere informazioni sensibili o password.
Se si riceve un’email di reimpostazione della password senza averla richiesta, potrebbe trattarsi di un tentativo di spoofing, come pure la presenza di un link cui viene richiesto di accedere. Banche, istituti sanitari o altri fornitori di servizi legittimi non reindirizzano mai attività o comunicazioni attraverso un URL che non corrisponde al loro dominio attuale.
Per quanto riguarda i tentativi di spoofing telefonico, è bene essere molto cauti nel rispondere a qualsiasi richiesta di informazioni personali di identificazione.
Per esempio, una chiamata da un numero sconosciuto è un campanello d’allarme, oppure una telefonata in cui il chiamante, o una registrazione, chiede di premere un pulsante oppure pone domande cui occorre rispondere a domande, specie quelle che richiedono un “Sì” o “No” come risposta.
In ogni caso, non vanno mai fornite informazioni personali al telefono.
