Il 24 febbraio 2021, il Computer Security Incident Response Team (“CSIRT”) – istituito presso il Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri – ha reso nota una campagna di phishing finalizzata a carpire dati personali e bancari; ciò si inserisce in un contesto in cui gli attacchi informatici stanno diventando sempre più sofisticati e diffusi e, per difendersi, occorre comprendere i vari aspetti di tale insidioso fenomeno.

Di Ariella Fonsi


La campagna a tema INPS

Come anticipato, il CSIRT ha osservato l’invio di e-mail che – utilizzando il logo dell’INPS – si presentano come una notifica proveniente dall’Agenzia delle Entrate che comunica all’utente il mancato accredito di un rimborso fiscale e lo invita ad accedere a un dominio malevolo per confermare i propri dati personali e bancari al fine di avviare una finta procedura di rimborso.

Una volta compilato il form, la vittima viene infine indirizzata su una seconda pagina predisposta per l’inserimento di un codice OTP (one-time password) inviato via SMS al numero di telefono precedentemente indicato.

Il fenomeno del phishing

La segnalazione del CSRIT si inserisce in un momento storico in cui gli attacchi informatici stanno diventando sempre più mirati e difficilmente identificabili.

Due fattori hanno, da ultimo, significativamente contribuito a questi cambiamenti: da un lato, la pandemia COVID-19 che ha costretto l’adozione di tecnologie volte a gestire gli aspetti critici della crisi (e.g., l’adozione del telelavoro e l’apprendimento a distanza) e, dall’altro, l’aumento delle capacità degli attori delle minacce.

In particolare, tra il 2019 e il 2020, il modus operandi dei cyber-criminali si è concentrato sulla “personalizzazione” dei vettori di attacco, sfruttando l’onda dell’emotività legata alla diffusione del virus.

Si pensi, ad esempio, alla campagna segnalata dall’Organizzazione mondiale della sanità (“OMS”) nel febbraio 2020, nell’ambito della quale la vittima riceveva e-mail provenienti da fonti all’apparenza autorevoli come l’OMS stesso, che richiedevano l’iscrizione ai siti di tali organizzazioni per ottenere “nuove e sensazionali informazioni” sulla epidemia[1].

In tale contesto, l’Eurobarometer survey pubblicato dalla Commissione europea il 29 gennaio 2020 ha rivelato che le preoccupazioni per la sicurezza online hanno già portato più di 9 su 10 utenti a cambiare il loro comportamento sul web e, tuttavia, molti cadono ancora nelle frodi online e nelle “esche” di phishing.

Questo dato rivela un utilizzo di metodi sofisticati, più difficili da rilevare ed evitare. Per tale ragione, è importante comprendere i vari volti di un fenomeno così proteiforme e insidioso, al fine di implementare meccanismi utili a prevenirlo e a difendersi.

I volti del phishing

Il phishing è una forma di social engineering, ossia una tecnica di attacco cyber basata sullo studio del comportamento umano che, prendendo di mira le debolezze e le tare delle persone, consente di indurre le stesse a fornire informazioni personali, che saranno poi utilizzate per assumere l’identità dell’utente e compiere attività illecite[2].

Detta captazione può avvenire con diverse modalità[3], tra cui la più nota è l’invio massivo e casuale di messaggi di posta elettronica o SMS – in apparenza provenienti da un mittente reale – che inducono l’utente a cliccare sul link contenuto nel messaggio e a fornire le proprie informazioni su una pagina web identica a quella originale, per poi rivenderle su un mercato secondario.

A quella summenzionata si aggiungono numerose altre varianti, anche più insidiose, tra cui:

  • il malware-based phishing, che consiste nell’inoculazione di un malware che, entrando in esecuzione in background sul dispositivo, invia i dati personali dell’utente al phisher;
  • il search engine phishing, ossia la creazione di finte pagine web che vengono indicizzate sui motori di ricerca cosicché gli utenti, facendo per esempio un ordine di acquisto su detto sito, forniranno al phisher i propri dati;
  • il vishing, ossia l’invio di una e-mail, anch’essa apparentemente inviata da un ente reale, che invita a comporre un numero telefonico per risolvere una problematica fittizia e a fornire a un falso centralinista informazioni riservate.

Da un punto di vista prettamente giuridico, invece, il phishing può integrare reati diversi a seconda delle concrete modalità con cui viene perpetrato, non essendo possibile ricondurre lo stesso nell’alveo di tipicità di un’unica fattispecie.

Il panorama ipotizzabile è vasto e variegato, tuttavia in questa sede – lungi dall’effettuare una disamina completa sul punto[4] – si sottolinea che, astrattamente, è possibile bipartire il fenomeno in due distinte qualificazioni giuridiche: la truffa “classica” prevista dall’art. 640 del Codice Penale[5] e la frode informatica di cui al successivo art. 640 ter[6].

Quest’ultima potrebbe considerarsi integrata, in particolare, laddove il reo abbia fraudolentemente operato sul sistema informatico della vittima, alterandone il funzionamento mediante software autoinstallanti.

Diversamente, il fatto potrà inquadrarsi nella fattispecie di cui all’art. 640 laddove il cyber-criminale induca in errore la vittima mediante l’invio di e-mail false o link a siti-clone nei quali inserire i propri dati.

Difendersi dagli attacchi phishing

La regola generale per difendersi dagli attacchi in oggetto è quella di “prendersi cura” dei propri dati, diffondendoli in maniera oculata e, in ogni caso, il meno possibile.

Ciò posto, si segnala che l’European Union Agency for Cybersecurity (“ENISA”), nel reportThreat Landscape – 2020” ha fornito delle best practice per la mitigazione dei rischi legati al phishing, tra cui:

  • usare sistemi di crittografia quando si scambiano informazioni sensibili;
  • evitare di cliccare su link casuali, specialmente quelli brevi che si trovano sui social media o se non si è sicuri della fonte (e-mail o SMS);
  • evitare di condividere eccessive informazioni sul web, in quanto vengono utilizzate dai phisher per i loro obiettivi;
  • controllare il dominio dei siti web per individuare eventuali errori di battitura;
  • abilitare l’autenticazione a due fattori per preservare i propri account;
  • utilizzare una password forte e specifica per ogni servizio online.

Infine, con specifico riferimento a contesti aziendali, l’ENISA consiglia di:

  • educare il personale a identificare le e-mail false;
  • lanciare finte campagne di phishing per testare l’infrastruttura IT e la reattività del personale;
  • considerare l’uso di un gateway che filtri automaticamente le e-mail inviate all’e-mail aziendale;
  • implementare soluzioni di apprendimento automatico per identificare i siti malevoli in tempo reale;
  • utilizzare degli standard (quali il Sender Policy Framework[7]) per ridurre lo spamming.

[1] Si segnala che l’OMS ha fornito attraverso il suo sito informazioni utili ad evitare di cadere nella rete del phishing. La pagina è disponibile al seguente URL: https://www.who.int/about/communications/cyber-security.

[2] Per un approfondimento sul punto, “Tecniche di social engineering: contromisure e strategie di difesa”, M. Sforza, disponibile al seguente URL: https://www.cybersecurity360.it/nuove-minacce/tecniche-di-social-engineering-contromisure-e-strategie-di-difesa/.

[3] Per un approfondimento sul punto, “Le principali tipologie di phishing attack”, F. Capone, disponibile al seguente URL: https://www.cyberlaws.it/2018/tipologie-di-phishing-attack/ – _edn10.

[4] Per un inquadramento giuridico completo del fenomeno, G. Minicucci, “Le frodi informatiche”, in Cybercrime, UTET Giuridica, 2019.

[5] Art. 640, Codice Penale: Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549: 1) se il fatto è commesso a danno dello Stato o di un altro ente pubblico o dell’Unione europea o col pretesto di far esonerare taluno dal servizio militare;  2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’autorità; 2 bis) se il fatto è commesso in presenza della circostanza di cui all’articolo 61, numero 5).  Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal capoverso precedente o la circostanza aggravante prevista dall’articolo 61, primo comma, numero 7.

[6] Art. 640 ter, Codice Penale: Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.  Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o taluna delle circostanze previste dall’articolo 61, primo comma, numero 5, limitatamente all’aver approfittato di circostanze di persona, anche in riferimento all’età, e numero 7.

[7] Il Sender Policy Framework (“SPF”) è un sistema di validazione delle email progettato per individuare tentativi di e-mail spam e phishing al fine di ingannare il destinatario circa l’origine del messaggio.


Immagine di Markus Spiske su Unsplash

Author Ariella Fonsi

More posts by Ariella Fonsi