Il 2004 sarà ricordato, nel campo della sicurezza informatica, come l’anno del phishing. E sarà una minaccia destinata a restare a lungo. Una ricerca condotta dall’azienda inglese Messagelabs, produttrice sistemi per la sicurezza della posta elettronica, ha rilevato nell’ultimo periodo una crescente epidemia di attacchi di questo tipo. A settembre 2003 erano 279, un anno dopo erano già oltre due milioni. Ogni mese Messagelabs intercetta tra i 2 e i 5 milioni di messaggi di posta elettronica che presentano le caratteristiche del phishing.
Con la parola phishing (un gioco di parole su fishing, ossia ‘pescare’ il pesce che abbocca all’amo), gli esperti di sicurezza indicano i tentativi, solitamente inviati per e-mail, di intercettare password, numeri di carta di credito, informazioni personali dei navigatori. La tecnica utilizzata per frodare l’utente è sempre la stessa: e-mail che sembrano inviate da istituti di credito, da aziende che gestiscono servizi Internet, dalle più svariate organizzazioni richiedono dati personali agli utenti, millantando un rinnovo dei server, una verifica delle informazioni o qualsiasi scusa.
Il phishing è insidioso. Le e-mail solitamente vengono formattate ad arte, rappresentando loghi e stile delle e-mail ufficiali, mostrano il mittente camuffato e link verso finte pagine web anch’esse del tutto simili a pagine ufficiali. Spesso gli aggressori sfruttano errori dei browser e dei programmi di posta elettronica che consentono, come una vulnerabilità corretta di Internet Explorer, di visualizzare URL false, accentuando il pericolo della frode e facendo cadere in errore anche gli utenti più esperti.
Ma le tecniche diventano sempre più raffinate, accoppiano vulnerabilità e tecniche di social engineering. Uno degli esempi portati da Messagelabs è significativo: in alcune e-mail inviate alla fine di ottobre era contenuto uno script che, in modo del tutto invisibile per l’utente, poteva modificare i parametri con cui Windows risolve i nomi di dominio in indirizzi IP. Accedendo al sito della banca oggetto della frode, una banca brasiliana, si veniva reindirizzati su pagine del tutto simili ma gestite dai truffatori.
La stessa Microsoft, che con Outlook e Internet Explorer detiene il monopolio di fatto di programmi di posta elettronica e di browser, ha pubblicato alcune pagine di supporto per il navigatore. L’azienda di Redmond consiglia di non rispondere ad informazioni personali ricevute per e-mail, di scrivere a mano l’indirizzo, di verificare che il sito cui si inviano dati personali contenga protezioni crittografiche.
Ma il phishing è solo la punta di un iceberg. Il rapporto di Messagelabs riporta anche i dati relativi alle altre frodi informatiche. Lo spam non cessa di rappresentare una delle prime preoccupazioni per i navigatori. Nonostante le leggi repressive e gli arresti compiuti negli Stati Uniti e in altri paesi, le e-mail di spam registrate da Messagelabs rappresentano il 73,2 per cento del totale: 1 sola e-mail su 4 non è spam.
Stesso discorso per virus e worm che nel 2004 hanno cominciato a diffondersi in mille varianti. È diventata una pratica comune quella di ottenere il codice sorgente di un virus, riscriverne alcune parti e diffonderlo nuovamente, amplificandone la pericolosità. In questo caso tuttavia la percentuale è molto meno preoccupante di quella dello spam: il 6 per cento delle e-mail contiene un virus.
E il futuro non è roseo. Per il 2005 il report prevede un utilizzo più “personalistico” delle frodi via posta elettronica: veri e propri “pizzi” pagati da siti web minacciati di attacchi informatici oppure e-mail di spam indirizzate a screditare specifiche organizzazioni. In quest’ottica è necessario iniziare a prevedere reazioni, non solo legislative ma anche tecnologiche. In quest’ottica, Messagelabs critica il mancato accordo tra i provider e i rappresentanti dell’Internet Engineering Task Force (IETF) sull’utilizzo di tecnologie, come il Sender ID, in grado di rendere più robusto e sicuro l’utilizzo della posta elettronica.