Phishing: identikit di un attacco di cognitive hacking

di Fabio Capone

In passato, nella maggior parte dei documenti che si sono occupati di classificare gli attacchi informatici, veniva privilegiata una distinzione basata sulla tecnica e sulla descrizione del danno cagionato, indipendente dalla condotta umana: gli attacchi erano cioè descritti come una serie di operazioni informatiche, interamente connesse alla tecnologia e ad essa dirette, la cui esecuzione non richiedeva alcun tipo di interpretazione, in quanto era esclusivamente il risultato dei passaggi logici contenuti nelle istruzioni scritte in un determinato linguaggio di programmazione.

Diversi autori (M.C. Libicki, B. Schneier e G. Cybenko, citando i principali) hanno definito gli attacchi in questione come di natura “sintattica”; questo, perché – da una parte – essi risultano legati indissolubilmente alle proprietà logico-sintattiche degli artefatti tecnologici e – dall’altra – scevri da ogni vincolo interpretativo da parte dell’uomo in fase di loro esecuzione.

Peraltro, anche qualora gli attacchi richiedano una qualche interazione dell’utente su un sistema informatico preda di un malicious code (il c.d. malware), l’azione umana è puramente meccanica, priva di un significativo quid intellettivo.

Una più recente letteratura, per altro verso, ha evidenziato nell’alveo della sicurezza informatica anche una serie di attacchi caratterizzati dalla presenza dell’intermediazione dell’uomo con il sistema informatico o telematico, giungendo così a distinguere:

  • attacchi “fisici”: consistenti nella distruzione, manipolazione o danneggiamento materiale delle componenti fisiche e dell’ambiente tecnologico, per i quali non è richiesta interazione umana e che sono diretti ad ambienti fisici o alle persone;
  • attacchi “sintattici”: consistenti – come anticipato – in procedure connotate da proprietà logico-sintattiche nel cui ambito i comportamenti umani sono sostanzialmente assenti o connotati da meccanicità, ossia diretti alla tecnologia informatica senza alcun apporto umano rilevante;
  • attacchi “semantici” o “cognitivi”: implicanti un’interpretazione di natura semantica delle informazioni e che mirano fondamentalmente al cambiamento di tre principali dimensioni dell’interazione uomo-ambiente ovvero percettive, semantiche o relative alle credenze e, infine, comportamentali sulle azioni.

È dunque possibile operare una distinzione più generale tra attacchi informatici legati al general hacking di stampo tecnologico e quelli definiti con il termine cognitive hacking (pirateria informatica cognitiva o attacchi cognitivi), che creano o sfruttano scenari ingannevoli tramite false informazioni che le vittime ritengono vere o che vengono comunicate come tali. Da un’analisi empirica dei dati, emerge chiaramente la presenza sistematica dell’elemento dell’ “inganno” (definito dal codice penale come «artifizio o raggiro»), che osservata sotto il profilo della psicologia della comunicazione, presuppone la capacità di raffigurazione mentale del comportamento di un altro individuo sulla base di una rappresentazione dei suoi stati mentali, quali le sue intenzioni, i suoi desideri e le credenze.

Tra le forme più diffuse e pericolose di attacchi a base cognitiva, pertanto, particolare attenzione è riposta al c.d. phishing, ovvero all’insieme di tecniche fraudolente finalizzate a carpire dati o informazioni personali e sensibili (dati anagrafici, user-id, password, ecc.), accomunate dall’effetto finale di trarre profitto sfruttando, per un verso, le debolezze che i confini delle giurisdizioni statali determinano sui sistemi di investigazione e repressione, per un altro, la rete di contatti e l’anonimato garantiti dalla rete Internet, la vulnerabilità di singoli elaboratori o di sistemi aziendali e l’ignoranza o l’ingenuità degli utenti.

L’opinione di alcuni autori, è che l’etimologia della parola phishing risulti proprio da un adattamento del verbo inglese to fish, evocante l’immagine del “pescare utenti in Internet”; per altri, invece, è la risultanza della crasi delle parole inglesi (p)assword, (h)arvesting e f(ishing), indicante la raccolta (metaforicamente effettuata pescando) di parole chiave e codici di accesso a servizi economico-finanziari; infine, per altri ancora, deriverebbe più semplicemente dall’unione dei termini (ph)reaking (attività di studio, sperimentazione o sfruttamento dei telefoni, delle compagnie telefoniche e dei sistemi che compongono o sono connessi alla rete telefonica generale) e f(ishing).

Il phishing non ha una conformazione fattuale precisa, né tantomeno un target determinato: è un fenomeno in continua evoluzione, che subisce metamorfosi continue non solo per la necessità di individuare tecniche di inganno sempre più nuove e credibili, ma dettate altresì dallo sviluppo delle tecnologie tali da rendere in breve tempo obsoleti gli strumenti in uso e da permettere ai criminali di avvalersi di risorse sempre più sofisticate e pericolose.

Il phishing può colpire qualsiasi tipo di utente: si immagini, ad esempio, il cittadino inesperto davanti al proprio PC, o il dipendente della piccola, media o grande impresa, di istituto di credito o assicurativo, di agenzie di money transfer, ed enti pubblici. Tutti, senza distinzione, possono rimanere vittima di condotte fraudolente di questo tipo il cui unico obiettivo è quello di generare indebiti profitti attraverso l’utilizzo delle informazioni altrui.

Gli obiettivi del phishing attack sono infatti sia quello di portare l’utente a fornire informazioni e dati personali – riguardanti principalmente le credenziali di autenticazione per accedere ad aree informatiche esclusive o servizi bancari online, numeri di carte di credito, identificativi per le abilitazioni all’accesso a siti di vario genere, numero di conto corrente, numero ed estremi della carta di identità o della patente – sia di utilizzare i dati ottenuti per conseguire l’abilitazione all’accesso ai servizi online, assumendo virtualmente l’identità del legittimo titolare o utente.

Il fenomeno in parola rientra quindi tra le forme di hacking non tecnologico, ovvero a tecniche di social engineering, attraverso le quali il saper mentire è la chiave per carpire fraudolentemente informazioni attraverso tecniche basate su processi cognitivi di influenzamento, inganno e manipolazione psicologica, che si sostanziano nell’invio di messaggi di posta elettronica ingannevoli, nella creazione di falsi siti web e malicious software, per mezzo dei quali le vittime designate sono indotte a fornire volontariamente all’estraneo proprie informazioni confidenziali. È in tale contesto che, secondo alcuni autori (R. Dhamija, J.D. Tygar, M. Hearst), i phisher operano efficacemente manipolando la credibilità delle loro prestazioni in modo tale da guadagnarsi la fiducia da parte della vittima: infatti, tale credibilità è il risultato di una “presenza” virtuale capace di presentare un’identità di tale effetto da indurre l’utente, da un lato, a sottovalutare il rischio generato dai propri comportamenti e, dall’altro, ad un mancato riconoscimento delle misure di sicurezza utilizzate dai comuni browser web.

In questo modo i phisher non corrono il rischio – tendenzialmente molto elevato – insito nel tentativo di forzare il sistema informatico centrale di un istituto di credito, una grande impresa o un ente pubblico, affrontandone le misure di sicurezza ed i sistemi di rilevazione di effrazione digitale: semplicemente spostando il bersaglio dell’attacco sull’anello debole delle transazioni telematiche, ossia il consumatore-utente telematico, le possibilità di raggiungere l’obiettivo rappresentato dal profitto dell’operazione sono maggiori, ed allo stesso tempo il pericolo di fallimento ne risulta sensibilmente ridotto. Difatti le maggiori possibilità di guadagno derivano dal fatto che il phisher, una volta ottenute le informazioni personali delle vittime, non dovrà compiere un accesso intrinsecamente fraudolento o trovare il modo di aggirare le misure di sicurezza del sistema: disponendo della “chiave”, i movimenti patrimoniali saranno posti in essere in maniera apparentemente legittima, proprio grazie all’utilizzo di credenziali fornite dalla vittima, soggetto passivo del reato.

In conclusione, il fenomeno di phishing appena descritto è difficilmente inquadrabile in una determinata fattispecie astratta, poiché si tratta di un fenomeno socio-criminologico di derivazione empirica. Tale difficoltà emerge dagli ostacoli incontrati nella delimitazione aprioristica delle condotte tipiche che da sole conducono al risultato che il phisher si prefigge, nonché perché  (spesso nei fatti) tale condotta è spesso una fattispecie a condotta composita, che assume rilevanza penale nella forma del reato associativo, necessariamente continuato, a più condotte illecite astrattamente distinguibili a seconda della fase dell’attacco, teleologicamente orientate alla realizzazione del «medesimo disegno criminoso» ex art. 81 c.p.

 


Bibliografia

I. Enrici, La dimensione psicologica nella sicurezza informatica: un approccio cognitivo, Santarcangelo di Romagna, Maggioli Editore, 2011.

R. Flor, Phishing, Identity theft e identity abuse: le prospettive applicative del diritto penale vigente, in Riv. It. Dir. Proc. Pen., 2007.

 


Autore:


 

en_USEnglish
it_ITItaliano en_USEnglish