Lavora nel sommerso e in silenzio. Per questo si tendono a dimenticare la minaccia e il pericolo rappresentati dal phishing, uno dei crimini tecnologici più innovativi, sofisticati e organizzati dei nostri tempi. In realtà la frode online è un’attività in continua crescita. Secondo i dati recentemente rilasciati dall’Antifraud Command Center (AFCC) [1] di RSA, la divisione di sicurezza di EMC (NYSE:EMC), relativi agli ultimi due mesi, il phishing è in sensibile aumento: 209 attacchi mensili che hanno colpito in media 30 nuovi istituti finanziari (contro i 20 del mese precedente).

 A livello mondiale i frodatori non risparmiano nessun paese: uno dei casi più interessanti è la terza posizione nella “lista nera” del Brasile (9%), che dall’inizio dell’anno ha visto crescere in modo esponenziale il numero degli attacchi. Gli Stati Uniti – con il 53% - si confermano, per il diciassettesimo mese consecutivo, il paese più colpito dalle frodi online, mentre l’UK mantiene ben saldo il secondo posto con l’11%. L’Italia è uno dei paesi in cui la percentuale è in costante aumento: attualmente è attestata al 6% e in termini numerici si traduce in 10 istituti finanziari colpiti da 649 attacchi nel solo mese di Giugno.

Grafico1: Ripartizione degli Istituti WW colpiti dal phishing	Grafico2: Numero di attacchi per mese

Il costante incremento degli attacchi conferma che il phishing è un fenomeno in evoluzione e a favorirne lo sviluppo contribuiscono tecniche sempre più sofisticate per adescare potenziali vittime e lo studio di modalità che consentono di semplificare l’azione di furto.

Attenzione al “certificate.exe”

L’Antifraud Command Center, oltre a monitorare gli attacchi mondiali dei frodatori, studia e scopre le nuove frontiere del phishing per debellare gli attacchi. Uno dei gruppi di cyber criminali maggiormente monitorati è il Rock Phish, responsabile, a livello mondiale, del 50% delle truffe online per un valore stimato in decine di milioni di dollari.

Il nuovo imbroglio studiato dal Rock Phish è semplice: all’utente che naviga e visita per sbaglio il sito-frode viene chiesto di fare un aggiornamento, invitandolo a effettuare il download del file “certificate.exe”. Acconsentendo, viene scaricato un file che trasmette un virus al proprio computer. L’infezione non compromette le funzioni del PC  ma permette ai frodatori, in un secondo tempo, di accedere e rubare silenziosamente i dati personali dell’utente, comprese anche le credenziali dei conto correnti bancari.

Immagine 3: la richiesta di download del file “certicate.exe”

Recentemente, per agevolare l’archiviazione e la manipolazione dei dati catturati è stato progettata una nuova versione di Phishing Kit. Si tratta di una console di facile utilizzo che agevola la gestione delle informazioni, la creazione dei virus Trojan e il monitoraggio dello stato dell’infezione.

Con l’uso dei kit le informazioni sottratte posso essere gestite in due modi: inviate tramite una e- mail all’indirizzo del frodatore, come testo decodificato dal file PHP del kit; oppure vengono “rubate” e semplicemente archiviate sul proprio server (o eventualmente un altro esterno) con un testo contenente tutte le informazioni raccolte durante gli attacchi. In entrambi i casi i file si presentano in forma destrutturata, cioè non immediatamente consultabili e da decodificare. La nuova frontiera del crimine online è, dunque, la progettazione di un kit all’avanguardia che archivia i dati rubati in un MySQL Database facile da gestire e in cui le informazioni sono immediatamente visibili.

Immagine 4: il database della  nuova versione del Phishing Kit

La nuova versione del Phishing Kit non è da considerarsi un’ ulteriore minaccia per gli istituiti finanziari o gli utenti, ma un modo per rendere più semplice la vita al frodatore. Per queste ragioni il kit aumenta di giorno in giorno la propria popolarità nel mondo “sommerso” del phishing al punto da essere considerato ormai da tutti i cyber criminali una commodity.

^[1] L’Anti-Fraud Command Center (AFCC) di RSA, la divisione di sicurezza di EMC (NYSE: EMC), è una ‘macchina da guerra’ attiva 24 ore su 24 e 7 giorni su 7 che rileva, monitorizza, traccia e neutralizza gli attacchi derivanti da phishing, pharming e trojan perpetrati contro più di 200 istituti nel mondo. L’AFCC ha risolto oltre 42.000 attacchi di phishing e rappresenta una delle fonti chiave dell’industria nell’ambito del phishing e dei fenomeni emergenti di frode online.