È allarme phishing a livello globale: questa tecnica usata dagli hacker per rubare le informazioni personali, e spesso anche i dati bancari, agli utenti tramite meccanismi truffaldini è ormai talmente in crescita da aver creato un mercato dei "kit" di phishing, prodotti da una vera e propria industria del raggiro informatico.
È quanto emerge dal rapporto "State of the Internet Security dal titolo Phishing: Baiting the Hook" di Akamai, azienda americana che fornisce la piattaforma di distribuzione di contenuti via Internet usata, tra gli altri, da big del Web come Apple, Adobe, Microsoft, Verizon, Nintendo, IBM e persino la Nasa. Secondo l'azienda statunitense, infatti, ormai possiamo parlare di "Phishing as a Service" (PaaS).
Cosa è il Phishing as a Service
Con questo termine si intende il fatto che è oggi possibile trovare sul mercato, neanche tanto "dark" visto che chi li sviluppa li pubblicizza addirittura sui social, dei veri e propri kit per fare phishing di massa. Ci sono infatti sviluppatori che li creano per mestiere: sono delle vere e proprie suite software, che servono per lanciare massicce campagne di phishing.
Chi le vuole usare può farlo a prezzi irrisori e in abbonamento: un "kit di phishing" completo può costare anche solo 99 dollari al mese, con offerte ancora più vantaggiose in caso di abbonamenti lunghi. Dopo essersi abbonati a uno di questi kit è sufficiente caricare il database contenente gli indirizzi email, i profili social o gli account Office, PayPal, Neftlix (etc etc) da colpire e lanciare la campagna. Di database del genere se ne trovano a centinaia, tra le pieghe del dark Web.
Come funzionano i kit per il PaaS
Akamai è andata a cercare informazioni sul PaaS direttamente nella tana del lupo: ha sottoscritto alcuni di questi abbonamenti per capire come funzionavano e quali possibilità ha un malintenzionato truffatore che le usa. Oltre ai kit, spesso l'hacker offre anche un servizio di posta con una serie di opzioni, tra cui impostazioni di priorità, messaggi con ID casuali e tre tipi di crittografia, nonché la randomizzazione dell'indirizzo di posta elettronica e del nome del mittente. Tutti i kit venduti da questo sviluppatore hanno caratteristiche di sicurezza e tecniche di evasione, ma il punto di forza è il tipo di dati che possono essere raccolti e gli aggiornamenti costanti.
Molti kit sono anche "responsive", il che significa che il messaggio di phishing verrà visualizzato perfettamente sia su un PC che su un dispositivo mobile. Per coloro che desiderano una demo, esiste anche un video che guida i potenziali clienti attraverso il kit e le sue funzionalità.
C'è poi un pannello di amministrazione completo di statistiche di base, comprese le funzioni di tracking delle vittime in tempo reale. Il pannello d'amministrazione, inoltre, è personalizzabile e consente al truffatore di customizzare la raccolta dei dati in base alla posizione della vittima e di impostare un modello di pagina Web per garantire che venga raccolto il tipo corretto di informazioni prima che la vittima possa passare ad altre parti del kit.
È chiaro, quindi, che dietro tutto questo c'è un lavoro di alto livello da parte di programmatori esperti. Secondo Akamai molti sviluppatori di kit di phishing hanno un lavoro legittimo nel settore tecnologico, ma scelgono di sviluppare pagine di truffe altri strumenti utili alle cybertruffe per affinare le loro abilità e per arrotondare lo stipendio.
I domini più colpiti dal Phishing as a Service
Il rapporto "State of the Internet Security dal titolo Phishing: Baiting the Hook" di Akamai indica anche che i truffatori sono saliti di livello e, grazie anche a kit come quelli appena descritti, prendendo di mira i principali brand globali e i loro utenti, con operazioni altamente organizzate e sofisticate e, per di più, con una estrema furbizia. Secondo Akamai, infatti, i criminali cambiano in continuazione kit per evitare di essere scoperti e bloccati: il 60 % dei kit di phishing osservati è stato attivo per 20 giorni o meno durante il periodo analizzato.
Per quanto riguarda i domini maggiormente presi di mira, infine, secondo Akamai sono quelli del settore tecnologico con 6.035 domini colpiti e 120 variazioni di kit registrati. A seguire ci sono i domini del settore dei servizi finanziari (3.658 domini e 83 varianti di kit) e poi gli e-commerce (1.979 domini, 19 varianti di kit) e i media (650 domini, 19 varianti di kit). Nel periodo analizzato dal rapporto di Akamai sono stati oltre 60 i marchi globali colpiti dalle campagne di phishing.