giovedì 4 novembre 2010

Phishing su Facebook, un attacco ”omografico” si trasforma in furto di dati

Gli esperti dei G Data SecurityLabs mettono in guardia da un nuovo attacco di phishing nel quale gli utenti di Facebook ricevono un messaggio che sembra originato da Facebook Security. Si tratta invece di un’imitazione ben fatta. Chi riceve questo messaggio viene inviato a cliccare su un link per poi inserire il proprio nome, indirizzo e-mail, password e data di nascita al fine di evitare l’apparente disattivazione del proprio account. La ragione che viene data è che altri utenti hanno segnalato questo account come responsabile di comportamenti impropri.

Ad un primo sguardo questa truffa basata sul phishing non rappresenta nulla di nuovo. Tuttavia è solo quando si osserva attentamente che il mittente che crediamo essere Facebook Security è, in realtà, scritto in maniera leggermente differente come "Facebooĸ Securiƚy". Questo modo di scrivere decisamente elaborato e che, a prima vista, rischia di passare inosservato, consente al messaggio di essere comunque inviato, nonostante il fatto che l’originale Facebook Security sia naturalmente una funzione riservata allo stesso Facebook. Con questo approccio i criminali online si guadagnano surrettiziamente la fiducia degli utenti mascherandosi dietro una parvenza di ufficialità. Oltre a ciò risulta estremamente difficile per l’utente notare che si tratta solo di un’imitazione realizzata con la semplice ma subdola modifica di qualche lettera nel nome del mittente. Gli esperti dei G Data SecurityLabs si aspettano che ci sia già stato un elevato numero di persone vittima di questa forma di attacco che può essere tecnicamente definito come un “attacco omografico”.

http://www.gdata.it/
Per omografo si intende una parola caratterizzata da un'ortografia identica a quella di un'altra parola ma con un significato diverso. In ambito informatico, per attacco omografo si intende l'utilizzo di un indirizzo Web simile a uno noto ma che è stato in realtà alterato. Tale circostanza si verifica quando il nome di dominio è stato creato utilizzando caratteri dell'alfabeto di lingue diverse. L'indirizzo Web seguente, ad esempio, sembra legittimo ma la lettera "i" è un carattere cirillico dell'alfabeto ucraino www.microsoft.com/italy. I phisher eseguono lo spoofing dei nomi di dominio di banche e altre società allo scopo di indurre gli utenti a pensare che il sito Web visitato è quello effettivo. Per rilevare questi tipi di nomi di dominio oggetto di spoofing negli indirizzi Web, è necessario disporre di software speciale. Di solito i cyber criminali utilizzano questo metodo per falsificare nomi di determinati domini internet per farli apparire autentici, come per esempio nel caso ipotetico di un sito www.exampled0main.com in cui la “o” viene semplicemente sostituita con lo zero.


In altri esempi ancora la “o” può essere sostituita da un carattere cirillico molto simile alla “o” latina tant’è che cogliere ad occhio nudo la differenza risulta praticamente impossibile. Anche se in questo caso, a quanto pare, viene utilizzato il già noto dominio di primo livello .tk, messo a disposizione gratuitamente dall'isola di Tokelau come auto-promozione e che dovrebbe essere già un campanello d'allarme per i più attenti. G Data consiglia di fare molta attenzione all’indirizzo del mittente di ogni messaggio. I cyber criminali frequentemente usano errori di battitura che difficilmente vengono notati e, in questo caso, usano caratteri molti simili in sostituzione di quelli originali. Gli utenti dovrebbe essere sempre sospettosi di messaggi inviati da mittenti sconosciuti e non dovrebbero mai cliccare su link in essi contenuti, né aprire eventuali file allegati. Questi infatti potrebbero contenere codici maligni. Gli indirizzi dei siti Internet con un login utente dovrebbero essere digitati manualmente o si dovrebbe utilizzare la funzione “Preferiti” o “Segnalibro”del browser. È poi sempre opportuno avere una suite di sicurezza aggiornata, un firewall attivo e un filtro http.

2 commenti: