Che cos'è un attacco di spoofing?

Cos'è lo spoofing? Definizione di spoofing

Lo spoofing, nell'ambito della sicurezza informatica, è quando qualcuno o qualcosa finge di essere qualcos'altro nel tentativo di ottenere la nostra fiducia, accedere ai nostri sistemi, rubare dati, rubare denaro o diffondere malware. Gli attacchi di spoofing si presentano in molte forme, tra cui:

• Spoofing delle email
• Spoofing di siti web e/o URL
• Spoofing dell'ID chiamante
• Spoofing dei messaggi di testo
• Spoofing GPS
• Attacchi man-in-the-middle
• Spoofing delle estensioni
• Spoofing IP
• Spoofing facciale

Quindi, come ci ingannano i cybercriminali? Spesso, basta evocare il nome di una grande organizzazione fidata per convincerci a fornire informazioni o a compiere un'azione. Ad esempio, un'email spoofata da PayPal o Amazon potrebbe chiedere chiarimenti su acquisti che non hai mai fatto. Preoccupato per il tuo account, potresti sentirti spinto a cliccare sul link incluso.

Da quel link dannoso, i truffatori ti invieranno a una pagina web con un malware da scaricare o una pagina di accesso falsificata, completa di logo familiare e URL spoofato, al fine di rubare il tuo nome utente e la tua password.

Ci sono molti altri modi in cui un attacco di spoofing può avvenire. In tutti, i truffatori si affidano al fatto che le vittime cadano nel tranello. Se non dubiti mai della legittimità di un sito web e non sospetti mai che un'email sia fasulla, potresti diventare vittima di un attacco di spoofing.

A tal fine, questa pagina è tutta dedicata allo spoofing. Ti informeremo sui tipi di spoof, come funziona lo spoofing, come distinguere email e siti web legittimi da quelli falsi e come evitare di diventare un bersaglio per i truffatori.

"Lo spoofing, nel contesto della cybersecurity, è quando qualcuno o qualcosa finge di essere qualcos'altro per ottenere la nostra fiducia, accedere ai nostri sistemi, rubare dati, soldi o diffondere malware."

Tipi di spoofing

Spoofing delle email

Lo spoofing delle e-mail è l'invio di e-mail con indirizzi di mittente falsi, di solito come parte di un attacco di phishing progettato per rubare le informazioni, infettare il computer con malware o semplicemente chiedere denaro. I payload tipici delle e-mail dannose includono ransomware, adware, cryptojackers, Trojan (come Emotet) o malware che rendono il vostro computer schiavo di una botnet (vedi DDoS).

Ma un indirizzo e-mail contraffatto non è sempre sufficiente per ingannare la persona media. Immaginate di ricevere un'e-mail di phishing con quello che sembra un indirizzo Facebook nel campo del mittente, ma il corpo dell'e-mail è scritto in testo semplice, senza alcun design o HTML, nemmeno un logo. Non è una cosa che siamo abituati a ricevere da Facebook e dovrebbe far scattare qualche campanello d'allarme. Di conseguenza, le e-mail di phishing includono in genere una combinazione di caratteristiche ingannevoli:

• Indirizzo del mittente fasullo progettato per sembrare proveniente da qualcuno che conosci e di cui ti fidi, potrebbe essere un amico, un collega, un familiare o un'azienda con cui hai rapporti. 
• Nel caso di un'azienda o organizzazione, l'email può includere marchi familiari, ad esempio logo, colori, font, pulsante di call to action, ecc.
• Gli attacchi spear phishing prendono di mira un individuo o un piccolo gruppo all'interno di un'azienda e includeranno un linguaggio personalizzato e si rivolgeranno al destinatario per nome.
• Errori di battitura—molti. Per quanto possano provarci, i truffatori delle email spesso non spendono molto tempo per rileggere il loro lavoro. Le spoof email spesso hanno errori di battitura o sembrano essere state tradotte con Google Translate. Stai attento a costruzioni insolite delle frasi; aziende come Facebook o PayPal difficilmente commetterebbero tali errori nei loro email ai clienti. 

Lo spoofing delle email gioca un ruolo fondamentale nelle truffe di sextortion. Queste truffe ci ingannano facendoci credere che le nostre webcam siano state dirottate con spyware e usate per registrarci mentre guardiamo porno. Queste email spoofate diranno qualcosa come “Ti ho visto guardare porno”, che è una cosa incredibilmente strana da dire. Chi è il vero strano in questo scenario?

I truffatori chiedono quindi una certa quantità di Bitcoin o di altre criptovalute, altrimenti invieranno il video a tutti i vostri contatti. Per creare l'impressione di legittimità, le e-mail possono anche includere una password obsoleta proveniente da una precedente violazione dei dati. Lo spoof entra in gioco quando i truffatori mascherano il campo del mittente dell'e-mail per far credere che sia stata inviata dal vostro account e-mail presumibilmente violato. State tranquilli, è probabile che nessuno vi stia osservando.

Spoofing di siti web

Lo spoofing dei siti web riguarda la realizzazione di un sito dannoso che sembri legittimo. Il sito falsificato sembrerà la pagina di accesso di un sito che frequenti, inclusi il marchio, l'interfaccia utente e persino un nome di dominio falsificato che sembra uguale a prima vista. I criminali informatici utilizzano siti web falsificati per catturare il tuo nome utente e password (aka spoofing di accesso) o per installare malware sul tuo computer (un download senza che te ne accorga). Un sito web falsificato generalmente viene utilizzato insieme a un'email spoof, in cui l'email rimanda al sito.

Vale anche la pena notare che un sito web spoofato non è lo stesso di un sito web hackerato. Nel caso di un hacking di un sito web, il vero sito è stato compromesso e preso in controllo dai cybercriminali — senza spoofing o falsificazioni. Allo stesso modo, il malvertising è un tipo di malware a sé stante. In questo caso i cybercriminali hanno sfruttato canali pubblicitari legittimi per mostrare annunci dannosi su siti web fidati. Questi annunci caricano segretamente malware sul computer della vittima.

Spoofing dell'ID chiamante

Lo spoofing dell'ID chiamante avviene quando i truffatori ingannano il tuo ID chiamante facendo sembrare che la chiamata provenga da un luogo diverso da quello reale. I truffatori hanno capito che sei più propenso a rispondere al telefono se l'ID chiamante mostra un prefisso della tua stessa zona o una vicina. In alcuni casi, i truffatori spoofano anche le prime cifre del tuo numero oltre il prefisso per creare l'impressione che la chiamata provenga dal tuo quartiere (spesso chiamato neighbor spoofing). 

Spoofing dei messaggi di testo

Lo spoofing dei messaggi di testo o SMS spoofing consiste nell'inviare un messaggio di testo con il numero di telefono o l'ID del mittente di qualcun altro. Se hai mai inviato un messaggio di testo dal tuo laptop, hai spoofato il tuo numero di telefono per inviare il testo, poiché il messaggio non è partito effettivamente dal tuo telefono.

Le aziende spesso falsificano i propri numeri, per scopi di marketing e comodità per il consumatore, sostituendo il numero lungo con un identificativo alfanumerico breve e facile da ricordare. I truffatori fanno la stessa cosa, nascondono la loro vera identità dietro un identificativo alfanumerico, spesso fingendosi un'azienda o un'organizzazione legittima. I messaggi falsificati includeranno spesso link a siti di phishing tramite SMS (smishing) o download di malware.

I truffatori dei messaggi di testo possono approfittare del mercato del lavoro fingendo di essere agenzie di collocamento, inviando alle vittime offerte di lavoro troppo belle per essere vere. In un esempio, una posizione di lavoro da remoto da Amazon includeva una “Toyota Corrola nuova di zecca”. Prima di tutto, perché qualcuno avrebbe bisogno di un'auto aziendale se lavora da casa? In secondo luogo, una Toyota “Corrola” è una versione generica della Toyota Corolla? Bel tentativo, truffatori.

Spoofing GPS

Lo spoofing GPS si verifica quando inganni il GPS del tuo dispositivo facendogli credere di essere in una posizione diversa da quella reale. Perché mai qualcuno dovrebbe desiderare lo spoofing GPS? Due parole: Pokémon GO.

Grazie allo spoofing GPS, i cheat di Pokémon GO riescono a far credere al famoso gioco per smartphone di trovarsi in prossimità di una palestra di gioco e prenderne il controllo (vincendo valuta di gioco). In realtà, i cheat si trovano in una posizione completamente diversa — o in un altro paese. Allo stesso modo, su YouTube si possono trovare video che mostrano giocatori di Pokémon GO che catturano diversi Pokémon senza mai lasciare la propria casa. Anche se lo spoofing GPS può sembrare roba da ragazzi, non è difficile immaginare che attori malevoli possano usare il trucco per atti più nefasti rispetto al guadagno di valuta di gioco.

Attacco man-in-the-Middle (MitM)

Gli attacchi Man-in-the-Middle (MitM) possono verificarsi quando si utilizza il Wi-Fi gratuito nella caffetteria locale. Avete pensato a cosa succederebbe se un criminale informatico violasse il Wi-Fi o creasse un'altra rete Wi-Fi fraudolenta nello stesso luogo? In entrambi i casi, si avrebbe una configurazione perfetta per un attacco man-in-the-middle, così chiamato perché i criminali informatici sono in grado di intercettare il traffico web tra due parti. Lo spoof entra in gioco quando i criminali alterano la comunicazione tra le parti per dirottare i fondi o richiedere informazioni personali sensibili come numeri di carte di credito o login.

Nota a margine: mentre gli attacchi MitM di solito intercettano dati nella rete Wi-Fi, un'altra forma di attacco MitM intercetta i dati nel browser. Questo è chiamato attacco man in the browser (MitB).

Spoofing delle estensioni

Lo spoofing delle estensioni si verifica quando i cybercriminali devono camuffare i file eseguibili malware. Un comune trucco di spoofing delle estensioni che i criminali amano usare è quello di nominare il file qualcosa come “nomefile.txt.exe.” I criminali sanno che le estensioni dei file sono nascoste di default in Windows, così per l'utente medio di Windows questo file eseguibile apparirà come “nomefile.txt.”

Spoofing di IP

Lo spoofing di IP viene utilizzato quando qualcuno vuole nascondere o camuffare la posizione da cui sta inviando o richiedendo dati online. Per quanto riguarda le minacce informatiche, lo spoofing del indirizzo IP viene utilizzato negli attacchi di negazione del servizio distribuita (DDoS) per impedire che il traffico dannoso venga filtrato e per nascondere la posizione dell'attaccante.

Spoofing facciale

Lo spoofing facciale potrebbe essere il più personale, a causa delle implicazioni che porta per il futuro della tecnologia e delle nostre vite personali. Al momento, la tecnologia di riconoscimento facciale è piuttosto limitata. Usiamo il nostro viso per sbloccare i nostri dispositivi mobili e laptop, e poco altro. Tuttavia, presto potremmo trovarci a fare pagamenti e firmare documenti con il nostro viso. Immagina le conseguenze quando puoi aprire una linea di credito con il tuo viso. Roba da brividi.

I ricercatori hanno dimostrato come modelli facciali tridimensionali costruiti dalle tue foto sui social media possono già essere utilizzati per hackerare un dispositivo bloccato tramite ID facciale. Facendo un ulteriore passo avanti, Malwarebytes Labs ha riportato l'uso della tecnologia deepfake per creare video di notizie false e falsi video a sfondo sessuale, con le voci e l'aspetto di politici e celebrità, rispettivamente.

Come funziona lo spoofing?

Abbiamo esplorato le varie forme di spoofing e sfiorato i meccanismi di ciascuna. Nel caso dello spoofing email, tuttavia, c'è qualcosa in più che vale la pena esaminare. Ci sono alcuni modi in cui i cybercriminali sono in grado di nascondere la propria vera identità in uno spoof email. L'opzione più sicura è hackare un server di posta insicuro. In questo caso l'email è, da un punto di vista tecnico, proveniente dal mittente dichiarato.

L'opzione meno tecnologica è quella di inserire semplicemente qualsiasi indirizzo nel campo "Da". L'unico problema è che se la vittima risponde o l'e-mail non può essere inviata per qualche motivo, la risposta arriverà a chiunque sia indicato nel campo "Da", non all'aggressore. Questa tecnica è comunemente utilizzata dagli spammer per utilizzare e-mail legittime e superare i filtri antispam. Se vi è capitato di ricevere risposte a e-mail che non avete mai inviato, questo è uno dei possibili motivi, oltre all'hackeraggio del vostro account e-mail. Si tratta del cosiddetto backscatter o spam collaterale.

Un altro modo comune in cui gli attaccanti spoofano le email è registrare un nome di dominio simile a quello che stanno cercando di spooffare in quello che viene chiamato un attacco omografico o spoofing visivo. Ad esempio, “rna1warebytes.com”. Nota l'uso del numero “1” invece della lettera “l”. Nota anche l'uso delle lettere “r” e “n” per simulare la lettera “m”. Questo ha il vantaggio aggiuntivo di dare all'attaccante un dominio che può usare per creare un sito web spoofato.

Qualunque sia lo spoofing, non è sempre sufficiente lanciare un sito web o un'e-mail fasulli nel mondo e sperare per il meglio. Il successo di uno spoofing richiede una combinazione di spoofing stesso e social engineering. L 'ingegneria sociale si riferisce ai metodi utilizzati dai criminali informatici per indurci a fornire informazioni personali, a cliccare su un link dannoso o ad aprire un allegato carico di malware.

Ci sono molti trucchi nel libro dell'ingegneria sociale. I cybercriminali contano sulle vulnerabilità che tutti portiamo come esseri umani, come la paura, la ingenuità, l'avidità e la vanità, per convincerci a fare qualcosa che non dovremmo davvero fare. Nel caso di una truffa sextortion, ad esempio, potresti inviare Bitcoin al truffatore perché temi che il tuo presunto sporco bucato venga esposto per tutti da vedere.

Anche le vulnerabilità umane non sono sempre negative. La curiosità e l'empatia sono generalmente buone qualità, ma i criminali amano prendere di mira le persone che le manifestano.

Per esempio, la truffa del nipote bloccato, in cui un caro amico viene presumibilmente arrestato o ricoverato in un ospedale in un paese straniero e ha bisogno di soldi urgenti. Un'email o un messaggio potrebbe dire: “Nonno Joe, sono stato arrestato per traffico di droga in [inserire il nome del paese]. Per favore invia fondi, oh e a proposito, non dire a mamma e papà. Sei il migliore [tre emoji sorridenti con occhiolino]!” Qui i truffatori contano sulla generale mancanza di conoscenza del nonno su dove si trovi il nipote in qualsiasi momento.

"Uno spoofing di successo richiede una combinazione tra lo spoof stesso e l'ingegneria sociale. L'ingegneria sociale si riferisce ai metodi che i cybercriminali usano per ingannarci nel fornire informazioni personali, nel cliccare su un link dannoso o nell'aprire un allegato carico di malware."

Come posso rilevare lo spoofing?

Ecco i segnali che indicano che sei vittima di spoofing. Se vedi questi indicatori, cancella, chiudi la pagina o il browser, e non procedere oltre.

Spoofing di siti web

• Nessun simbolo di lucchetto o barra verde. Tutti i siti web affidabili e sicuri devono avere un certificato SSL, il che significa che un'autorità di certificazione di terze parti ha verificato che l'indirizzo web appartiene effettivamente all'organizzazione. Ricorda, i certificati SSL ora sono gratuiti e facili da ottenere. Anche se un sito ha un lucchetto, non significa che sia autentico. Ricorda, niente è sicuro al 100% su Internet.
• Il sito non utilizza la crittografia dei file. HTTP, o Hypertext Transfer Protocol, è antico quanto Internet e si riferisce alle regole usate per condividere file sul web. I siti legittimi utilizzeranno quasi sempre HTTPS, la versione criptata di HTTP, per trasferire dati. Se sei su una pagina di accesso e vedi "http" invece di "https" nella barra degli indirizzi del browser, dovresti sospettare.
• Utilizzate un gestore di password. Un gestore di password come 1Password compila automaticamente le credenziali di accesso a qualsiasi sito web legittimo che salvate nel vostro archivio di password. Tuttavia, se si accede a un sito web contraffatto, il gestore di password non riconosce il sito e non compila i campi del nome utente e della password, segno che si tratta di una contraffazione.

Spoofing delle email

• Ricontrolla l'indirizzo del mittente. Come detto, i truffatori registrano domini falsi che assomigliano molto a quelli legittimi.
• Cerca su Google il contenuto dell'email. Una ricerca rapida potrebbe mostrarti se un'email di phishing nota sta girando sul web.
• I link incorporati hanno URL insoliti. Verifica gli URL passandoci sopra con il cursore prima di fare clic.
• Errori di battitura, grammatica errata e sintassi insolita. I truffatori spesso non correggono il loro lavoro.
• Il contenuto dell'email è troppo bello per essere vero.
• Ci sono allegati. Stai attento agli allegati, specialmente quando provengono da un mittente sconosciuto.

Spoofing dell'ID chiamante

• L'ID del chiamante è facilmente falsificabile. È triste che i nostri telefoni fissi siano diventati un focolaio di chiamate truffa. È particolarmente preoccupante se si considera che la maggior parte delle persone che hanno ancora un telefono fisso sono gli anziani, il gruppo più suscettibile alle chiamate truffa. Lasciate che le chiamate al telefono fisso da parte di sconosciuti rispondano alla segreteria telefonica.

Come posso proteggermi dallo spoofing?

Prima di tutto, dovresti imparare a riconoscere un attacco di spoofing. Se hai saltato la sezione "Come rilevo lo spoofing?", torna indietro e leggi ora.

Attiva il filtro antispam. Questo fermerà la maggior parte delle email spoofed prima che arrivino nella tua casella di posta.

Non cliccare sui link o aprire allegati nelle email se l'email proviene da un mittente sconosciuto. Se c'è la possibilità che l'email sia legittima, contatta il mittente attraverso un altro canale e conferma il contenuto dell'email.  

Accedi tramite un'altra scheda o finestra. Se ricevi un'email o un messaggio di testo sospetto che ti chiede di accedere al tuo account e compiere un'azione, come verificare le tue informazioni, non cliccare sul link fornito. Invece, apri un'altra scheda o finestra e vai al sito direttamente. In alternativa, accedi tramite l'app dedicata sul tuo telefono o tablet.

Prendi il telefono. Se hai ricevuto un'email sospetta, apparentemente da qualcuno che conosci, non esitare a chiamare o mandare un messaggio al mittente per confermare che effettivamente ha inviato l'email. Questo consiglio è particolarmente vero se il mittente fa una richiesta fuori dal comune come, "Ehi, compreresti 100 carte regalo iTunes e inviami i numeri delle carte? Grazie, Il tuo capo."

Mostra le estensioni dei file in Windows. Windows non mostra le estensioni dei file di default, ma puoi modificare questa impostazione cliccando sulla scheda "Visualizza" in Esplora risorse e selezionando la casella per mostrare le estensioni dei file. Anche se questo non impedirà ai cybercriminali di camuffare le estensioni dei file, almeno sarai in grado di vedere le estensioni falsificate ed evitare di aprire quei file dannosi.

Investite in un buon programma antivirus. Nel caso in cui clicchiate su un link o un allegato sbagliato, non preoccupatevi: un buon programma antivirus sarà in grado di avvisarvi della minaccia, di bloccare il download e di impedire che il malware prenda piede nel vostro sistema o nella vostra rete. Malwarebytes, ad esempio, offre prodotti antivirus/anti-malware che potete provare gratuitamente prima di abbonarvi.

Notizie sullo spoofing

• I truffatori stanno falsificando i numeri di telefono delle banche per derubare le vittime.
• I phisher falsificano una società affidabile di formazione sulla sicurezza informatica per ottenere clic.
• Indirizzi falsificati e invio anonimo: nuovi bug di Gmail facilitano le truffe.
• Quando tre non è una folla: spiegati gli attacchi Man-in-the-Middle (MitM).
• Trucchi meno noti per camuffare le estensioni.

Per ulteriori letture sullo spoofing e tutte le ultime novità sulle minacce informatiche, visita il blog di Malwarebytes Labs.

Storia dello spoofing

Non c'è nulla di nuovo nello spoofing. In realtà, la parola "spoof" come forma di inganno risale a oltre un secolo fa. Secondo il dizionario online Merriam-Webster, la parola "spoof" è attribuita al comico inglese del 19° secolo Arthur Roberts in riferimento a un gioco di inganno e inganno creato da Roberts. Le regole del gioco si sono perse nel tempo. Possiamo solo supporre che il gioco non fosse molto divertente o che gli inglesi di allora non amassero essere presi in giro. Qualunque sia il caso, il nome è rimasto anche se il gioco è scomparso.

Non è stato fino all'inizio del 20° secolo che lo spoof divenne sinonimo di parodia. Per diversi decenni, ogni volta che qualcuno menzionava "spoof" o "spoofing" si riferiva a qualcosa di divertente e positivo, come l'ultimo film parodia di Mel Brooks o album comico di "Weird Al" Yankovic.

Oggi, lo spoofing viene utilizzato principalmente quando si parla di crimine informatico. Ogni volta che un truffatore o una minaccia informatica finge di essere qualcun altro o qualcosa d'altro, è spoofing.