Settimana 51: Modalità adottate dai truffatori per aggirare l’NCSC e altri fornitori di servizi di sicurezza

Service navigation

Ricerca

Navigazione

Settimana 51: Modalità adottate dai truffatori per aggirare l’NCSC e altri fornitori di servizi di sicurezza

27.12.2023 - Ogni giorno l’NCSC riceve numerose segnalazioni di siti Internet fraudolenti, diversi casi di phishing o pagine web sospette. Talvolta, tuttavia, quando il Centro verifica le pagine segnalate, visualizza siti Internet del tutto normali che non destano sospetti. In questi casi vale la pena approfondire la questione e non credere a un possibile errore degli autori della segnalazione o al fatto che il provider abbia già disattivato la pagina. Infatti un’analisi più attenta rivela che di frequente i truffatori utilizzano varie tecniche per non essere identificati dalle autorità di sicurezza il più a lungo possibile.

Il controllo dell’indirizzo IP

Spesso i tentativi di truffa o di phishing sono fatti su misura per un singolo Paese. Ad esempio, le e-mail di phishing a nome di istituti finanziari elvetici si rivolgono esclusivamente a internauti svizzeri. Gli aggressori limitano l’accesso in modo tale che il sito Internet fraudolento possa essere consultato soltanto se si utilizza un indirizzo IP svizzero. Quando gli accessi provengono da indirizzi IP non attribuiti alla Svizzera, viene visualizzata una pagina non sospetta o, ad esempio, si viene reindirizzati a un motore di ricerca. Anche il provider dei servizi di hosting, sui cui server è salvata la pagina Internet fraudolenta e che solitamente si trova all’estero, vede solo una pagina innocua, poiché anch’esso vi accede con un indirizzo specifico al di fuori della Svizzera. Nel peggiore dei casi esso non adotta alcuna contromisura. Anche gli analisti spesso non lavorano con il loro vero indirizzo IP, ma utilizzano cosiddette connessioni VPN. Le pagine web sono in grado di riconoscerle e quindi l’analista visualizza un sito innocuo.

Il controllo del «referrer»

Alcuni siti Internet fraudolenti verificano anche il cosiddetto «referrer», che viene fornito ogni volta che si visita una pagina. Il referrer contiene l’informazione da quale sito l’utente ha raggiunto la pagina corrente. Se, tuttavia, quest’ultimo accede a una pagina immettendo direttamente l’URL nella barra degli indirizzi del browser, esso non viene fornito. Il web server sa che l’accesso è avvenuto in maniera diretta, e non tramite un link. Quindi esistono pagine che si comportano in modo innocuo se le si aprono in tal modo. Accedendo alla medesima pagina tramite un motore di ricerca, un link contenuto in una pubblicità fraudolenta o i social media viene invece presentato il contenuto sospetto.

Il controllo del browser

Soprattutto nel contesto privato, oggigiorno si accede a una gran parte dei siti Internet tramite smartphone. I truffatori ne approfittano facendo sì che la pagina fraudolenta venga visualizzata soltanto su questo dispositivo. Infatti, quando si consulta un sito Internet, viene trasmesso anche il cosiddetto «user agent». Lo user agent include informazioni sul sistema operativo e sul tipo di browser dell’utente e il server è in grado di riconoscere se la richiesta proviene, ad esempio, da un dispositivo Android o da un iPhone, oppure se il sito è stato consultato su un notebook o un PC. Mentre la maggior parte delle potenziali vittime utilizza uno smartphone, per l’analisi viene solitamente impiegato un dispositivo d’ufficio.

Quando si apre l’URL con Windows, la pagina apparentemente non si trova, mentre quando la si apre con Android viene visualizzata una pagina di phishing.
Quando si apre l’URL con Windows, la pagina apparentemente non si trova, mentre quando la si apre con Android viene visualizzata una pagina di phishing.

L’analisi è comunque fattibile

Questi provvedimenti tecnici dei truffatori mirano a far sì che i siti Internet non vengano scoperti per un periodo di tempo possibilmente lungo e che, anche in caso di segnalazione alle autorità competenti, non siano identificati come dannosi e vengano eliminati. La buona notizia: questi tentativi dei truffatori di aggirare l’analisi possono essere facilmente sventati. Con gli strumenti adeguati è possibile manipolare i dati trasmessi relativi al sistema operativo, al referrer e al tipo di browser. Talvolta, per raggiungere l’obiettivo, occorre fare diversi tentativi con impostazioni diverse. Ovviamente è anche possibile selezionare gli indirizzi IP in base alle esigenze. Si lasciano così cadere nel nulla i tentativi degli aggressori e, anche in questi casi, i siti Internet fraudolenti vengono rapidamente analizzati, verificati e, se possibile, disattivati affinché la popolazione svizzera sia protetta nel migliore dei modi.

Ciononostante è importante che osserviate alcune semplici regole, in modo tale che non siate nemmeno tentati di cliccare sul link fraudolento.

  • Diffidate delle e-mail in cui vi si chiede di eseguire un’azione.
  • Siate prudenti quando vi viene chiesto di eseguire un’azione, come ad esempio cliccare su un link o aprire un allegato. Non inserite mai i vostri dati personali in moduli che avete aperto cliccando su link ricevuti per e-mail.
  • Siate vigili:
    I truffatori inventano sempre nuovi scenari per spingere la vittima ad agire in maniera incauta e per farlo ricorrono alla tecnica dell’ingegneria sociale («social engineering»): con questo procedimento cercano di portare la vittima a eseguire le azioni volute senza che quest’ultima se ne renda conto. Pertanto, non lasciatevi sorprendere, bensì riflettete con calma e in caso di dubbi chiedete ad amici, colleghi o all’NCSC come giudicare un determinato comportamento.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 27.12.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_51.html