Che cos’è il phishing?
Gli attacchi di phishing sono una categoria di attacchi informatici che utilizzano tecniche ingannevoli di social engineering per indurre gli utenti a divulgare informazioni personali, trasferire somme di denaro e altro ancora.
I tentativi di phishing sono solitamente mascherati da intereazioni innocue solo all’apparenza, che inducono le vittime a fidarsi dell’aggressore e possono avere vari scopi, dal semplice profitto allo spionaggio aziendale.
Come funziona il phishing?
Potrebbe sembrare la battuta di un film: il modo più semplice per commettere una rapina è quello di convincere le vittime che non si tratta affatto di una rapina. Questo è il principio seguito dai cyber criminali per costruire le loro truffe di phishing.
Gli attacchi di phishing iniziano con un’e-mail, una telefonata, un messaggio whatsapp, un SMS, un post sui social media o simili che sembrano provenire da una fonte affidabile. Da qui, la truffa può avere ogni sorta di obiettivo finale, come indurre la vittima a fornire informazioni sul conto corrente, effettuare un bonifico PayPal, scaricare un malware camuffato e così via.
Un esempio comune.
Un cybercriminale entra in possesso dell’indirizzo e-mail o del numero di telefono di una vittima. Poi, la vittima riceve un’e-mail o un messaggio di testo da quella che sembra essere la sua banca.
Il messaggio di phishing menziona un’offerta speciale in scadenza, un sospetto furto d’identità o simili, e chiede alla vittima di accedere al proprio conto bancario. Il link rimanda a una finta pagina web di login e la vittima fornisce involontariamente le proprie credenziali di accesso.
Questo esempio, come la maggior parte degli attacchi di phishing, è caratterizzato da un senso di allarme e urgenza che inganna la vittima e la induce ad abbassare la guardia invece di prendersi il tempo necessario per valutare se il messaggio è sospetto.
In effetti, non cadere nel tranello può essere più facile a dirsi che a farsi, poiché strategie e modalità di phishing sono numerose e in continua evoluzione.
Tipi di attacchi di phishing
Nel tempo, i criminali informatici hanno inventato un’ampia varietà di tecniche di phishing per sfruttare tecnologie, tendenze, settori e utenti diversi.
Ecco una panoramica di alcuni tipi comuni:
Phishing via e-mail: un’e-mail proveniente da un mittente apparentemente legittimo cerca di indurre il destinatario a seguire un link dannoso e/o a scaricare un file infetto. L’indirizzo e-mail e qualsiasi URL in un’e-mail di phishing possono utilizzare lo spoofing per apparire legittimi.
Smishing, SMS phishing: in questo caso la minaccia arriva da un SMS col quale i truffatori cercano di indurre le vittime a fornire informazioni personali, rispondendo direttamente al messaggio, oppure, a cliccare un link malevolo.
Vishing, Voice phishing: essenzialmente simili allo smishing, ma effettuati tramite una telefonata, questi attacchi mirano a ottenere informazioni personali e altri dettagli sensibili.
Angler phishing: spacciandosi per organizzazioni legittime sui social media, i criminali chiedono informazioni personali alle vittime, spesso offrendo carte regalo, sconti, ecc.
Pop-up phishing: un attacco piuttosto comune su smartphone Apple, Android o altri, in cui un’offerta o un messaggio di avvertimento appare in un pop-up, generalmente contenente un link dannoso per indurre le vittime a divulgare dati personali.
Spear phishing: mentre molte truffe di phishing cercano vittime a caso, gli attacchi di spear phishing prendono di mira individui specifici di cui l’aggressore conosce già in qualche misura i dati personali. Questo dettaglio in più può aumentare notevolmente le probabilità di successo del phishing.
Whaling: vengono presi di mira dirigenti o dipendenti con ruoli importanti all’interno di un’azienda o ente ben precisi, con il tentativo di ottenere informazioni che consentano agli hacker un accesso privilegiato a dati particolarmente riservati.
Clone phishing: i phisher inviano alle vittime e-mail contraffatte che sembrano provenire da mittenti di cui la vittima si fida, come istituzioni finanziarie o aziende accreditate come Amazon. Si tratta di un fenomeno strettamente correlato allo spear phishing e di una tattica comune negli attacchi BEC (Business Email Compromission).
Evil twin phishing: gli aggressori attirano le vittime con un hotspot Wi-Fi dall’aspetto affidabile e poi effettuano attacchi man in the middle, intercettando i dati che le vittime trasferiscono attraverso la connessione.
Pharming: Gli aggressori dirottano la funzionalità di un server DNS (Domain Name System) in modo da reindirizzare gli utenti a un sito Web falso e dannoso anche se digitano un URL corretto.
Conclusioni
Le truffe on line sono più che mai una realtà con cui doversi confrontare quotidianamente e da cui doversi difendere, visto l’invio massiccio ed indiscriminato di e-mail, fake news, sms, link e tanto altro, tutti finalizzati ad avere accesso ai nostri dati personali.
È perciò imperativo che ciascuno di noi adotti misure proattive per proteggere la propria sicurezza online.
Mantenere un elevato livello di consapevolezza, educare se stessi e gli altri sulle tattiche utilizzate dai truffatori sono i primi passi essenziali per difendersi dalle insidie del phishing.