Lo spoofing è un attacco informatico in cui un malintenzionato finge di essere un'entità fidata – un nostro conoscente, un sito Web che siamo soliti consultare, etc. – utilizzando nomi e/o indirizzi a noi noti e essere perpetrato sfruttando vari strumenti, tra cui e-mail, numeri di telefono o alcuni particolari protocolli informatici, come ARP e DNS. Riconoscere un tentativo di spoofing potrebbe non essere semplice ma, con la giusta dose di attenzione, è assolutamente possibile. In questo articolo abbiamo voluto approfondire cos'è lo spoofing e come difendersi.
Cos’è e cosa si intende per “spoofing”
Lo spoofing (letteralmente “inganno”) è una tipologia di attacco informatico che può assumere varie forme e può essere perpetrato in un'infinità di modi. A prescindere dalle modalità adottate dai criminali informatici nell'usare questa tecnica, un qualsiasi attacco di spoofing è sempre caratterizzato da un elemento distintivo che lo rende particolarmente insidioso: viene sfruttata la fiducia delle potenziali vittime per accedere a dati, diffondere malware, sottrarre denaro, e perpetrare altri obiettivi malevoli dietro un inganno che, inizialmente, è tutt'altro che palese.
Prima di poter raggiungere i suoi obiettivi, il cybercriminale identifica la vittima da colpire, procede con l’analisi del dominio o della rete target e poi procede effettivamente con un primo tentativo di attacco. A proposito delle diverse modalità con cui lo spoofing viene perpetrato, vi riassumiamo quelle principali nei seguenti punti.
- E-mail spoofing: in questo caso il criminale maschera il nome del mittente dei messaggi inviati via e-mail. Per evitare che gli utenti più accorti notino qualcosa di strano nell'indirizzo del mittente, i criminali che ricorrono all'e-mail spoofing sono soliti modificare l'indirizzo cambiando pochi caratteri per massimizzare le probabilità di successo.
- Spoofing dell'ID chiamante o degli SMS: un bravo spoofer (con questo termine ci riferiamo ai criminali informatici che usano la tecnica dello spoofing appunto) può modificare il modo in cui appare il suo numero alle vittime contattate, così che a queste sembri che la chiamata provenga da un numero conosciuto (per esempio quello “ufficiale” della banca). Il criminale userà poi il numero camuffato con il falso ID chiamante per richiedere informazioni riservate alla potenziale vittima (per esempio accampando la scusa di dover effettuare alcune verifiche sulla sicurezza del proprio account di home banking).
- Spoofing del sito Web: uno spoofer può creare un sito Web falso che sembra del tutto simile a quello utilizzato da una certa azienda (per esempio un sito per prenotare voli e hotel) o da un certo ente, così da far credere alla vittima che non ci siano problemi nel fornire al sito Web in questione informazioni riservate, come il proprio nome utente e password o le proprie informazioni di pagamento.
- Spoofing IP: in questo caso lo spoofer tenta di celare l'identità di un client o di un server, ingannando le vittime facendo credere loro che i dati inviati o ricevuti provengano da una fonte attendibile, attraverso la simulazione dell'indirizzo IP di un altro dispositivo.
- DNS server spoofing: questa modalità di attacco è particolarmente insidiosa e permette di reindirizzare il traffico dati verso destinazioni diverse da quelle richieste dal browser della vittima. Il criminale può compromettere un server DNS modificando le tabelle degli indirizzi dei nomi e questo, tradotto in parole povere, significa che nel momento in cui un utente cerca un sito, verrà reindirizzato verso una “versione fraudolenta” di quest'ultimo, creata ad hoc dal criminale stesso per rubare credenziali di accesso, dati di pagamento, etc.
- Spoofing del protocollo ARP (Address Resolution Protocol): con questa tecnica, uno spoofer entra in una rete locale facendo apparire il proprio computer come un membro della stessa, infiltrandosi così nella rete locale (la cosiddetta LAN) e usando questa opportunità per perpetrare i propri obiettivi malevoli.
Come difendersi dallo spoofing
Per difendersi dallo spoofing, il primo passo da compiere è comprendere come vengono perpetrate le varie modalità di attacco ed è quello che avete appena fatto leggendo i punti presenti nel capitolo precedente.
Il secondo passo consiste nel diventare utenti di Internet più attenti. Se, ad esempio, ricevete un'e-mail da un indirizzo apparentemente conosciuto, non ignorate richieste potenzialmente “strane”, come cliccare su link e scaricare allegati che non avete richiesto. Approfondite la cosa cliccando sul nome del mittente per vedere effettivamente l'indirizzo e-mail da cui proviene il messaggio. Se l'e-mail sembra essere “autentica”, fate attenzione che non ci siano micro-modifiche realizzate “ad arte” dallo spoofer. Per intenderci, se anziché ricevere un messaggio dall'indirizzo mariorossi@e-mail.com appartenente a un vostro contatto lo ricevete dall'indirizzo mari0r0ssi@e-mail.com, è altamente probabile che siate oggetto di un tentativo di spoofing: non aprite alcun link e allegato presente nel messaggio in questione.
Per quanto riguarda possibili tentativi di falsificazione dell'ID chiamante, se al telefono vi vengono richieste informazioni personali da parte di una persona che si identifica come un operatore della vostra banca o di un qualsiasi altro ente, non fornite alcun dato telefonicamente (a meno che non siate stati voi a contattare l'ente per ricevere assistenza). Se ricevete chiamate di questo tipo, riagganciate immediatamente, contattate il customer care dell'istituto tramite il numero dedicato e segnalate l'accaduto. Ovviamente, usate lo stesso approccio anche per quanto riguarda SMS sospetti che vi chiedono in forma testuale le medesime informazioni.
Prima di immettere i vostri dati di accesso su un sito Web, controllate sempre l'URL nella barra degli indirizzi del browser e fate attenzione a possibili errori di ortografia nell'indirizzo: fate attenzione, per esempio, alla sostituzione della “l” con il numero “1”, della “m” con la “n” o altre sostituzioni analoghe. Prima di fornire dati di pagamento o dati di accesso, inoltre, accertatevi sempre che il sito a cui siete collegati usi il protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer) anziché il vecchio protocollo HTTP.