Che cos'è il phishing?
Il phishing è una forma di criminalità informatica in cui i criminali cercano di ottenere informazioni sensibili dall'utente tramite e-mail con link fraudolenti, spingendolo a compilare un modulo con i suoi dati personali. Possono quindi utilizzare queste informazioni per ottenere le vostre credenziali online per i profili dei social media, i conti bancari e altro ancora.
Come funziona il phishing?
Il phishing può avvenire tramite e-mail, telefonate o messaggi di testo. I truffatori inviano messaggi che sembrano reali e urgenti, chiedendo alla persona di agire. Ad esempio, un'e-mail potrebbe sembrare proveniente da una banca affidabile, che invita la persona ad aggiornare i dati del proprio conto per evitare problemi. Poiché il messaggio sembra urgente e reale, le persone possono condividere informazioni sensibili come password e numeri di carta di credito, che i truffatori possono poi utilizzare in modo improprio.
Fingendosi un'entità legittima, l'aggressore attira le vittime su un sito web contraffatto dove vengono convinte a inserire informazioni riservate. Questa facciata ben confezionata, unita a un senso di urgenza, consente alla truffa di phishing di raccogliere con successo dati personali preziosi, lasciando l'ignara vittima vulnerabile al furto d'identità e alle perdite finanziarie.
Il mittente: In un attacco di phishing, il mittente imita (o "spoofa") una persona fidata che il destinatario probabilmente conosce. A seconda del tipo di attacco di phishing, potrebbe trattarsi di una persona fisica, come un familiare del destinatario, l'amministratore delegato dell'azienda per cui lavora o persino una persona famosa che si presume stia regalando qualcosa. Spesso i messaggi di phishing imitano le e-mail di grandi aziende come PayPal, Amazon o Microsoft, nonché di banche o uffici governativi.
Il messaggio: Sotto l'apparenza di una persona fidata, l'aggressore chiede al destinatario di cliccare su un link, download un allegato o di inviare denaro. Quando la vittima apre il messaggio, si trova di fronte a un messaggio spaventoso che mira a superare la sua capacità di giudizio riempiendola di paura. Il messaggio può richiedere alla vittima di accedere a un sito Web e di intraprendere un'azione immediata o di rischiare qualche conseguenza.
La destinazione: Se gli utenti abboccano all'esca e cliccano sul link, vengono inviati a un'imitazione di un sito web legittimo. Da qui, viene chiesto loro di accedere con le proprie credenziali di nome utente e password. Se sono abbastanza ingenui da accettare, le credenziali di accesso vanno all'aggressore, che le usa per rubare identità, rubare conti bancari e vendere informazioni personali sul mercato nero. L'URL di destinazione dell'e-mail di phishing è spesso molto simile a quello legittimo, il che può ingannare ulteriormente la vittima.
Come riconoscere il phishing?
I tentativi di phishing sono attività fraudolente in cui i truffatori utilizzano e-mail o messaggi di testo con l'obiettivo di indurre le persone a rivelare informazioni sensibili come password, numeri di conti bancari o numeri del sito Security . Per riconoscere il phishing è necessario prestare attenzione ad alcuni segnali di allarme.
In genere, i messaggi di phishing possono sembrare provenire da fonti affidabili come banche, società di carte di credito o piattaforme online conosciute. Spesso creano un senso di urgenza, suggerendo attività sospette o problemi con il vostro conto, invitandovi ad agire rapidamente.
Alcuni indicatori comuni di phishing sono comunicazioni inaspettate che richiedono informazioni personali o finanziarie, indirizzi e-mail di mittenti sconosciuti, saluti generici, errori di ortografia e grammatica e URL ingannevoli. Se si è prudenti e si verificano le comunicazioni sospette direttamente con le istituzioni interessate prima di rispondere, ci si può proteggere meglio dai tentativi di phishing. Ora vogliamo approfondire i segnali del phishing e aiutarvi a individuarli.
Segni di phishing
Individuare i tentativi di phishing può essere una sfida, ma con un po' di vigilanza, linee guida di base e una dose di buon senso, è possibile ridurre significativamente i rischi. Cercate irregolarità o particolarità nelle e-mail. Utilizzate il "test dell'olfatto" per determinare se qualcosa non vi convince. Fidatevi del vostro istinto, ma non abbiate paura, perché le truffe di phishing spesso sfruttano la paura per compromettere il vostro giudizio.
Ecco altri segnali di tentativi di phishing:
Segno 1: l'e-mail presenta un'offerta che sembra troppo bella per essere vera.
Potrebbe affermare che avete vinto il jackpot, un premio stravagante o altre ricompense improbabili.
Segno 2: il mittente è riconoscibile, ma non è una persona con cui si interagisce abitualmente.
Anche se riconoscete il nome del mittente, fate attenzione se non si tratta di una persona con cui comunicate abitualmente, soprattutto se il contenuto dell'e-mail non è correlato alle vostre mansioni abituali. Allo stesso modo, diffidate se vi viene dato un cc su un'e-mail insieme a persone sconosciute o a colleghi di reparti non collegati.
Segno 3: il messaggio induce paura.
Fate attenzione se l'e-mail utilizza un linguaggio carico o allarmante per infondere un senso di urgenza, esortandovi a cliccare e "agire immediatamente" per evitare la chiusura dell'account. Ricordate che le organizzazioni legittime non richiedono informazioni personali via e-mail.
Segno 4: il messaggio contiene allegati inaspettati o strani.
Questi allegati possono contenere malware, ransomware o altre minacce online.
Segno 5: Il messaggio contiene link che sembrano dubbi.
Anche se gli indicatori di cui sopra non destano sospetti, non fidatevi mai ciecamente dei collegamenti ipertestuali incorporati. Passate il cursore sul link per scoprire l'URL effettivo. Prestate particolare attenzione ai sottili errori di battitura nell'URL di un sito web apparentemente familiare, in quanto si tratta di una bandiera rossa per l'inganno. È sempre più sicuro inserire manualmente l'URL nel browser invece di cliccare sul link incorporato.
Chi viene preso di mira dal phishing?
Il phishing è una minaccia per tutti, che prende di mira diversi individui e settori, dai dirigenti aziendali agli utenti quotidiani dei social media e ai clienti delle banche online. L'ampia portata del phishing rende fondamentale la cautela online e l'adozione di misure preventive. Essere vigili e proattivi può ridurre significativamente il rischio di cadere vittima di truffe di phishing, garantendo a tutti un'esperienza online più sicura.
Come proteggersi dagli attacchi di phishing
Come già detto, il phishing è una minaccia di pari opportunità, in grado di presentarsi su desktop, laptop, tablet e smartphone. La maggior parte dei browser Internet ha la possibilità di verificare se un link è sicuro, ma la prima linea di difesa contro il phishing è il vostro giudizio. Allenatevi a riconoscere i segnali di phishing e cercate di praticare l'informatica sicura ogni volta che controllate la posta elettronica, leggete i post su Facebook o giocate al vostro gioco online preferito.
Malwarebytes Labs ha condiviso alcune delle pratiche chiave per proteggersi dagli attacchi di phishing:
- Non aprite le e-mail di mittenti che non conoscete.
- Non cliccate mai su un link all'interno di un'e-mail a meno che non sappiate esattamente dove vi porterà.
- Se vi viene chiesto di fornire informazioni sensibili, controllate che l'URL della pagina inizi con "HTTPS" invece che con "HTTP". La "S" sta per "sicuro". Non è una garanzia che un sito sia legittimo, ma la maggior parte dei siti legittimi utilizza HTTPS perché è più sicuro. I siti HTTP, anche quelli legittimi, sono vulnerabili agli hacker.
- Abilitare l'autenticazione a più fattori (MFA): Utilizzate l'MFA ogni volta che è possibile per aggiungere un ulteriore livello di sicurezza. Anche se i phisher riescono a ottenere la vostra password, dovranno superare ulteriori passaggi di verifica per accedere al vostro account.
- Cercate il certificato digitale di un sito web.
- Per aumentare la protezione, se ricevete un'e-mail da una fonte di cui non siete sicuri, visitate il link fornito manualmente inserendo l'indirizzo del sito web legittimo nel vostro browser.
- Passate il mouse sul link per vedere se è un link legittimo.
- Se sospettate che un'e-mail non sia legittima, prendete un nome o un testo dal messaggio e inseritelo in un motore di ricerca per vedere se esistono attacchi di phishing noti che utilizzano gli stessi metodi.
Raccomandiamo vivamente di utilizzare soluzioni antivirus/anti-malware affidabili come Malwarebytes Premium per migliorare la vostra sicurezza digitale. La maggior parte dei moderni strumenti di cybersecurity, dotati di algoritmi intelligenti, è in grado di identificare link o allegati dannosi, fornendo uno scudo vigile anche contro gli abili tentativi di phishing.
Se una tattica di phishing vi sfugge, il nostro robusto software di sicurezza mantiene le vostre informazioni sotto il vostro controllo. Offriamo una versione di prova gratuita di Malwarebytes, che consente di sperimentare la sua protezione superiore prima di effettuare un acquisto.
Diversi tipi di attacchi di phishing
Gli attacchi di phishing utilizzano metodi ingannevoli per raccogliere illegalmente informazioni sensibili e si presentano in varie forme, ciascuna con caratteristiche uniche. Questi sono i modi specifici in cui gli aggressori di phishing mirano a ingannare i loro obiettivi:
Spear Phishing
Lo spear phishing è una forma di phishing mirato in cui gli aggressori adattano i messaggi a persone o organizzazioni specifiche, utilizzando i dati raccolti per rendere l'inganno più convincente. Richiede una ricognizione pre-attacco per scoprire nomi, titoli di lavoro, indirizzi e-mail e simili.
Gli hacker setacciano Internet per confrontare queste informazioni con altre conoscenze ricercate sui colleghi dell'obiettivo, insieme ai nomi e alle relazioni professionali dei dipendenti chiave delle loro organizzazioni. Con queste informazioni, il phisher crea un'e-mail credibile.
Esempio: I truffatori possono impersonare i dirigenti per indurre i dipendenti ad autorizzare pagamenti fraudolenti.
Phishing con le balene
Il whale phishing prende di mira individui di alto profilo, come dirigenti, celebrità o uomini d'affari di livello C. Il tentativo è quello di indurli a rivelare informazioni personali o dettagli professionali.
Comprendere e identificare le diverse forme di attacchi di phishing è fondamentale per implementare misure di protezione efficaci, garantendo la sicurezza e l'integrità delle risorse personali e organizzative.
Phishing via e-mail
Comunemente riscontrate fin dalla nascita della posta elettronica, le e-mail di phishing comportano l'invio di e-mail ingannevoli che sembrano provenire da fonti affidabili (ad esempio, banche, rivenditori online) e che invitano i destinatari a fare clic su link o allegati download .
Esempi:
- Compromissione della posta elettronica aziendale (BEC): Un attacco BEC (Business Email Compromission) prende di mira una persona del reparto finanziario di un'organizzazione, spesso il direttore finanziario, e tenta di ingannarla e di convincerla a inviare ingenti somme di denaro. Gli aggressori spesso utilizzano tattiche di social engineering per convincere il destinatario che l'invio di denaro è urgente e necessario.
- Clone phishing: in questo attacco, i criminali fanno una copia, o un clone, di e-mail precedentemente consegnate ma legittime che contengono un link o un allegato. Poi, il phisher sostituisce i link o i file allegati con sostituti dannosi camuffati da veri e propri file. Gli utenti ignari cliccano sul link o aprono l'allegato, il che spesso consente di requisire i loro sistemi. In seguito, il phisher può contraffare l'identità della vittima per mascherarsi da mittente affidabile ad altre vittime della stessa organizzazione.
- Truffe 419/Nigeriane: Una verbosa e-mail di phishing da parte di qualcuno che afferma di essere un principe nigeriano è una delle prime e più longeve truffe di Internet. Questo "principe" vi offre del denaro, ma dice che dovete prima inviargli una piccola somma per reclamarlo, oppure dice di essere nei guai e di aver bisogno di fondi per risolverli. Il numero "419" è associato a questa truffa. Si riferisce alla sezione del Codice penale nigeriano che tratta della frode, delle accuse e delle sanzioni per i trasgressori.
Vishing (Voice Phishing)
Gli aggressori impersonano figure autoritarie (ad esempio, funzionari di banca, forze dell'ordine) al telefono per spaventare le persone e indurle a condividere informazioni sensibili o a trasferire fondi.
Smishing (SMS Phishing)
Simile al vishing, ma condotto tramite SMS, smishing invia messaggi fraudolenti che invitano i destinatari a cliccare su link dannosi o a condividere dati personali.
Catphishing
Una tattica ingannevole in cui gli aggressori creano falsi personaggi online per attirare gli individui in relazioni romantiche a scopo di sfruttamento monetario o di accesso a informazioni personali.
Esempi di attacchi di phishing
Ecco un esempio di tentativo di phishing che simula un avviso di PayPal, chiedendo al destinatario di fare clic sul pulsante "Conferma ora". Passando il mouse sul pulsante si scopre la vera destinazione dell'URL nel rettangolo rosso.
Ecco un'altra immagine di attacco di phishing, che questa volta sostiene di provenire da Amazon. Si noti la minaccia di chiudere l'account in caso di mancata risposta entro 48 ore.
Cliccando sul link si accede a questo modulo, che invita a consegnare ciò che serve al phisher per saccheggiare i vostri oggetti di valore:
Perché il phishing è efficace?
Il phishing è particolarmente efficace perché sfrutta la psicologia umana piuttosto che affidarsi a advanced tattiche tecniche. Spesso mascherate da comunicazioni urgenti provenienti da figure autorevoli, le truffe di phishing fanno leva sulla fiducia e sulla paura degli individui.
Adam Kujawa, ex di Malwarebytes Labs , riassume il concetto: "Il phishing si distingue come l'attacco informatico più semplice e al tempo stesso più potente, che prende di mira soprattutto l'elemento più suscettibile e potente: la mente umana". La mancanza di sofisticazione tecnica e la possibilità di evocare reazioni immediate evidenziano il motivo per cui il phishing rimane una minaccia online diffusa e seria.
"Il phishing è il tipo di attacco informatico più semplice e, allo stesso tempo, il più pericoloso ed efficace".
I phisher non stanno cercando di sfruttare una vulnerabilità tecnica nel sistema operativo del vostro dispositivo: stanno usando l'ingegneria sociale. Da Windows e iPhone a Mac e Android, nessun sistema operativo è completamente al sicuro dal phishing, indipendentemente dalla sua sicurezza. Infatti, gli aggressori spesso ricorrono al phishing perché non riescono a trovare alcuna vulnerabilità tecnica.
Perché perdere tempo a superare i livelli di sicurezza quando si può ingannare qualcuno per farsi consegnare la chiave? Spesso l'anello più debole di un sistema di sicurezza non è un difetto nascosto nel codice del computer, ma un essere umano che non controlla due volte la provenienza di un'e-mail.
Ora che abbiamo esplorato cos'è il phishing e come funziona, diamo un'occhiata a dove tutto è iniziato, risalendo agli anni '70 con l'hacking dei sistemi telefonici, noto anche come "phreaking".
La storia del phishing
Il termine "phishing" fa pensare ai tentativi di truffa come alla pesca, dove si usa un'esca per attirare le vittime. Si ritiene che abbia avuto origine dalla cultura del "phreaking" degli anni '70, che prevedeva l'hackeraggio dei sistemi telefonici. Prima che il termine "phishi
Il termine "ng" è stato coniato perché una tecnica simile è stata presentata in una conferenza tecnologica del 1987. Il primo utilizzo noto del termine risale al 1996, associato all'hacker Khan C Smith, che ha messo in atto una truffa ai danni degli utenti di America Online (AOL), sfruttando la popolarità di AOL impersonando il personale di AOL per raccogliere informazioni sugli utenti.
Negli anni 2000, i phisher hanno spostato l'attenzione sui sistemi di pagamento online, sulle banche e sulle piattaforme di social media. Hanno creato domini falsi convincenti, in particolare spoofing di eBay e PayPal, inducendo gli utenti a condividere informazioni sensibili. Il primo attacco di phishing mirato alle banche è stato segnalato nel 2003. A metà degli anni 2000, il phishing era diventato una minaccia informatica importante, con campagne sofisticate e organizzate, che causavano perdite finanziarie significative.
I danni sono aumentati nel corso degli anni, con incidenti degni di nota come una campagna sponsorizzata dallo Stato nel 2011, la massiccia violazione dei dati di Target nel 2013 e tentativi di phishing di alto profilo politico nel 2016. La tendenza è proseguita nel 2017, con una truffa che ha portato al trasferimento di oltre 100 milioni di dollari da colossi tecnologici come Google e Facebook.