Phishing è evidentemente una parola derivata dall'inglese to fish, letteralmente pescare. Il significato in informatica è proprio quello "andare a pesca".

In questo articolo ho indicato le motivazioni sul perchè bisogna porre molta attenzione nello scegliere le password elencando anche una serie di consigli per renderle inviolabili. Il Phishing è una tecnica, ormai non più tanto innovativa, che consente a male intenzionati di recuperare password senza fare troppi sforzi.

Il Phishing non è una vera e propria truffa ma piuttosto una specie di preparazione. L'idea è quella di carpire codici di accesso personali di determinati servizi e successivamente portare a termine una qualche tipo di frode.

Dapprima il male intenzionato individua il servizio sul quale vuole effettuare una truffa, lo studia a fondo e cerca di capire quali sono i dati esatti che gli servirebbero per sfruttarlo.

Individuati come dati necessari ad esempio la username e la password procede con il creare una pagina web identica a quella del servizio reale, ma con del codice che generalmente memorizza le credenziali e ridireziona sulla pagina reale.

La pagina in questione viene tipicamente caricata su di un server web, anche questo individuato in fase di studio, sul quale si ha accesso.

In alcuni casi vengono presi di mira siti internet che presentano vulnerabilità: vengono portati a termine attacchi destinati a prendere il controllo al fine di caricare la pagina di phishing. In questo caso la pagina viene caricata all'insaputa del legittimo proprietario del sito.

In altri casi invece le pagine vengono caricate su domini di proprità dei "cattivi", ma residenti in uno stato diverso da quello di residenza degli utenti individuati come vittime. In questo modo le autorità locali avranno difficoltà ad agire in termini di legge.

Una volta creata la pagina e posizionata in Internet è arrivato il momento di indurre gli utenti a inserire nei form i propri dati, è arrivato il momento di "Andare a pesca".

E' quindi arrivato il momento di spedire mail di massa spacciandosi per i titolari del servizio e chiedendo ai vari utenti di cliccare sul link presente nella mail e di inserire i dati necessari.

Le motivazioni indicate su tali mail possono essere diverse. Tra le più comuni:

1. Account in scadenza: "reinserire i dati se si vuole continuare ad accedere al servizio".
2. Controllo anti-phishing, "inserire i dati per evitare frodi".
3. Siete vincitori di un premio di 250,00€ basta inserire i dati di accesso.

Spedire la mail a 1000 persone è istantaneo ma bisogna avere la fortuna che i destinatari della mail siano di fatto utenti del servizio. Supponiamo che questi ultimi siano un centinaio, sicuramente tra questi c'è qualcuno che ci casca: clicca sul link presente nella mail e si ritrova in una pagina identica a quella del proprio servizio, inserisce le sue credenziali e viene reindirizzato alle pagine del servizio reale e non si accorge di nulla finche'....bhe questo dipende dal tipo di frode che si sta mettendo in atto: se tutto va bene ci si ritrova con il conto corrente prosciugato.

Infatti tipicamente i servizi presi di mira dai truffatori sono quelli relativi agli Home Banking di qualche istituto di credito: Banche, Poste, o altro.