Il Search Engine Phishing è una tattica di attacco informatico che sfrutta la frenesia e la fiducia degli utenti nei risultati dei motori di ricerca. Con il progresso della tecnologia e l’aumento degli utenti che si affidano ai motori di ricerca per ottenere risposte rapide e pertinenti, i cybercriminali hanno colto l’opportunità di manipolare i risultati per ingannare gli utenti.
Questo tipo di phishing consiste nell’inserire link malevoli tra i risultati di ricerca, facendoli apparire come fonti legittime. Gli utenti, senza sospettare nulla, possono cliccare su questi link e cadere vittime di truffe o infezioni da malware.
Ma come avviene esattamente il Search Engine Phishing? In questo articolo, gli esperti di Cyberment descrivono in dettaglio il funzionamento di questa tecnica, le modalità di attacco e le misure di protezione che è possibile adottare per difendersi efficacemente.
Due parole sui motori di ricerca
«Prima di addentrarci nel cuore dell’argomento, è necessario effettuare una breve introduzione sullo strumento scelto dai cybercriminali: il motore di ricerca.
Si tratta di uno strumento client-server automatico che permette a tutti gli utenti di effettuare ricerche sul web. Tra gli esempi più popolari e principalmente usati oggi si citano:
- DuckDuckGo
- Bing
- Yahoo!
- Baidu
- Ecosia
- Qwant
- Yandex
La ricerca viene effettuata mediante l’analisi di un insieme di dati collezionati e classificati dallo stesso, in base a una formula statistico-matematica che determina la rilevanza degli stessi in base al termine fornito di input dall’utente. Il risultato finale è un indice di indirizzi e dei contenuti disponibili sul web.
Affinché un sito web sia raggiungibile e ben indicizzato dal motore di ricerca, subentra un processo intrinseco allo stesso motore di ricerca chiamato SEO, acronimo di Search Engine Optimization. Più il valore SEO è alto e maggiori sono le possibilità che il sito sia indicizzato tra i risultati più pertinenti, con l’utente maggiormente invogliato a cliccare sul suo link.
La visibilità non è il solo elemento da tenere conto quando si parla di un sito web, ma soprattutto l’engagement, rappresentato appunto dagli utenti che accedono al sito e ne esplorano i contenuti. Se il SEO è elevato, si può sperare di ottenere un numero alto di engagement e conseguente fidelizzazione degli utenti, interessati a scoprire futuri contenuti.
I risultati che si ottengono prendono il nome di SERP (Search Engine Results Page) o più semplicemente risultati di ricerca e sono rappresentati da più pagine contenenti un elenco di URL ordinati in base alla loro pertinenza. C’è da mettere in evidenza che solo lo 0.63% degli utenti va oltre la prima pagina dei risultati. Questa è la ragione per cui le compagnie e le imprese cercano in tutti i modi di apparire imperativamente in prima pagina.
Proprio in questo frangente i cybercriminali si insinuano, sfruttando il punto debole degli utenti ormai fidelizzati a determinati siti web e risultati di ricerca.
Come funziona il Search Engine Phishing?
Conosciuto anche come SEO Poisoning, il Search Engine Phishing è la truffa informatica che sfrutta il SEO di un motore per apparire tra i primi risultati di ricerca, al fine di condurre gli utenti verso un sito web falso. Quest’ultimo è realizzato in maniera certosina dai criminali stessi, in modo da apparire quasi indistinguibile da quello vero.
L’obiettivo finale è sempre lo stesso: spingere l’utente a inserire i propri dati sensibili e le proprie credenziali in un finto form di login, al fine di impadronirsene e sfruttarli a proprio vantaggio, senza che questi se ne possa accorgere.
La sua messa in atto inizia appunto con una ricerca su un qualsiasi motore di ricerca. A prescindere da quale sia l’esigenza, qualsiasi utente si collega direttamente al proprio motore di riferimento e digita nel form di ricerca la richiesta.
Sfruttando il SEO a proprio vantaggio, i cybercriminali sono in grado di scalare i ranghi dei risultati forniti dai motori di ricerca, apparendo così nella prima pagina e facendo sì che i loro siti falsi possano essere maggiormente notati dagli incauti utenti.
Sebbene gli schemi fraudolenti possano variare a seconda del collettivo criminale alle sue spalle, fra gli esempi noti di SEO Poisoning si citano:
Portali bancari
L’utente inconsapevolmente viene dirottato su un falso sito che riproduce fedelmente il portale della banca presso cui questi è registrato. Mediante un finto form di login, i cybercriminali si appropriano delle credenziali di accesso e possono ripulire in maniera rapida il conto bancario del malcapitato.
Offerte a tempo imperdibili
Molti siti di e-commerce, come Amazon, ePRICE, eBay o Subito, presentano molto spesso delle offerte vantaggiose per gli utenti. La tattica malevola sta proprio nell’ingolosire gli utenti più incauti verso quella che in realtà è una truffa architettata a tavolino. Il malcapitato finisce per fornire anche in questo caso ai criminali le proprie credenziali, senza rendersi conto di essere finito in realtà su una copia di un popolare e-commerce, o, peggio ancora, su uno completamente inventato.
Offerte di lavoro
Le truffe legate alle offerte di lavoro hanno conosciuto una rapidissima impennata nel post-pandemia, in particolare tra i giovani compresi tra i 18 e i 35 anni, disposti a qualsiasi cosa pur di lavorare. In questo caso i siti web falsificati sono quelli delle principali agenzie di job placement, come Adecco, Manpower, Lavoropiù e perfino le inserzioni lavorative presenti su LinkedIn.
Poiché anche queste sono soggette ad un’indicizzazione sui motori di ricerca, i cybercriminali sfruttano proprio il loro SEO per creare inserzioni e URL falsi, al fine di ingannare quanti sono alla ricerca di un impiego.
Situazioni di emergenza
Spesso e volentieri molti siti web che a prima vista possono apparire come sicuri e legittimi, nascondono al loro interno dei link esterni malevoli, che si manifestano all’utente sotto forma di pop-up, o inserzioni pubblicitarie.
Tra le soluzioni più gettonate della categoria, ci sono gli alert legati alla compromissione della sicurezza del proprio PC. Una volta cliccato, il pop-up reindirizza automaticamente ad un URL malevolo mascherato da sito web legittimo, in cui l’utente viene invitato a fornire i propri dati sensibili per ottenere la soluzione alla propria problematica.
Gli attacchi search engine sono una variante del phishing in-session
Gli attacchi search engine NON sono una variante del phishing in-session. Mentre gli attacchi search engine sfruttano i risultati dei motori di ricerca per indirizzare gli utenti verso siti fraudolenti ottimizzati per apparire legittimi, il phishing in-session avviene durante una sessione di navigazione autentica, utilizzando pop-up o messaggi all’interno della sessione attiva per ottenere informazioni sensibili.
Sebbene entrambi siano tecniche di ingegneria sociale mirate a rubare dati personali, utilizzano metodi diversi per raggiungere questo scopo.
Come ci si può difendere dal Search Engine Phishing?
Alla luce di quanto discusso, la soluzione migliore per evitare di cadere vittime del Search Engine Phishing è mantenere alta l’attenzione, in modo da distinguere un URL vero, da uno fasullo. Di seguito sono riportati ulteriori approfondimenti e consigli in merito.
- Prestare attenzione all’indirizzo
I motori di ricerca ci hanno abituato a cliccare automaticamente sui risultati, facendoci mettere da parte l’indirizzo web. Per verificare la veridicità di un qualsiasi sito, è bene accertarsi che l’URL inizi sempre con https://. Se il prefisso è assente, o il dominio presenta errori ortografici, allora si è innanzi ad un sito web falsificato.
- Usare la barra degli indirizzi
Piuttosto che dipendere esclusivamente dal motore di ricerca e dai suoi risultati, è bene inserire l’URL del sito web che ci occorre direttamente nella barra degli indirizzi del browser. In tal modo le possibilità di incappare in un sito web falsificato si riducono drasticamente.
- Sfruttare gli strumenti integrati del browser
I moderni browser, in particolare Mozilla Firefox, integrano al loro interno degli strumenti di sicurezza in grado di identificare potenziali siti web malevoli e notificarli all’utente.
- Proteggere il proprio dispositivo
Dotarsi di una soluzione antivirus professionale, è sempre la miglior soluzione per proteggersi. Questo perché tali software integrano un modulo anti-phishing in grado di bloccare la connessione ai siti web considerati non sicuri, ancora prima che l’utente possa cliccare sull’URL fornito.
- Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza
Ci si deve sempre assicurare che siano adottate robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità.
- Adottare la MFA per tutti i propri account
L’uso dell’autenticazione a più fattori previene il furto di credenziali da parte dei cybercriminali, in quanto la sicurezza degli account viene notevolmente rafforzata.
- Usare una VPN
Attraverso una Virtual Private Network è possibile aggiungere un ulteriore strato di sicurezza alla propria connessione di rete, in quanto l’attività online viene criptata. Ciò rende molto difficile la manipolazione dei dati di navigazione da parte degli attori malevoli.
In conclusione
Il Search Engine Phishing rappresenta una tecnica subdola che fa leva sulla nostra dipendenza dai risultati ottenuti tramite un motore di ricerca, al fine di spingere gli utenti più incauti su siti malevoli che scimmiottano in toto quelli legittimi.
Ecco perché ci si deve prodigare affinché la nostra attenzione sia sempre al massimo nel momento in cui effettuiamo una ricerca online. Questo perché si potranno anche avere a disposizione tutte le migliori tecnologie e i migliori strumenti per contrastare le minacce, ma la vera responsabilità di ciò che accade nei nostri sistemi, è sempre e solo nostra».