fbpx

Cos’è il Phishing e come difendersi

2812 0

Il Phishing è una frode informatica ormai di attualità negli ultimi anni. Ha l’obiettivo di estorcere dati personali tramite una richiesta esplicita al suo possessore. In questo articolo vediamo cos’è, come riconoscerlo, come proteggersi da questi attacchi e quali le sue tipologie.

Phishing definizione

Il phishing è una truffa informatica che avviene attraverso l’invio di una falsa e-mail che di solito riporta al suo interno un logo contraffatto. Può riportare quindi il logo di un istituto di credito o di una società di commercio elettronico.

La mail presenta al suo interno motivazioni di ordine tecnico per la risoluzione delle quali invita il destinatario a fornire i propri dati che di solito possono essere le proprie credenziali di accesso alla banca online oppure i dati delle proprie carte di credito.  

E’ un tipo di attacco informatico semplice, eppure è anche il più pericoloso ed efficace. Obiettivo del è quello di estorcere dati personali.

Phishing: come funziona

Nelle e-mail phishing, si richiede di cliccare su un link presente nel testo al fine di aggiornare i propri dati, ma nel momento in cui si clicca sul link, l’altra parte entra in possesso dei dati del soggetto.

Incappare in una truffa è semplicissimo, cascarci decisamente meno, ma è comunque necessario prestare molta attenzione e sapere come riconoscere le e-mail di phishing.

A differenza di altri tipi di minacce, questa non richiede competenze tecniche sofisticate, ci sono tool che si possono utilizzare senza appunto essere un esperto informatico.

I phisher non provano a sfruttare le vulnerabilità tecniche presenti nel sistema operativo attaccato, ma fanno ricorso alla famosa ingegneria sociale.

Qualsiasi dispositivo come Windows, iPhone, Mac e Android possono essere soggetti agli attacchi di phishing a prescindere dalla solidità del sistema di sicurezza.

I cyber criminali spesso ricorrono a questa tecnica proprio perché non riescono a rilevare nessuna vulnerabilità tecnica sul target da attaccare.

Le diverse tipologie di Phishing

Vediamo insieme le più frequenti tipologie di phishing:

Bancario

Molto frequentemente l’email phishing si maschera da istituto bancario. In questo caso i truffatori riportano nella mail i loghi della banca e provano ad ingannare il destinatario attraverso un tipo di comunicazione che è tipica della banca. L’obiettivo appunto è quello di indurli a cedere i propri dati bancari: codici della banca online, dati degli strumenti di pagamento o informazioni personali.

Nel caso di dubbio è sempre bene non procedere e contattare la propria banca per chiedere informazioni.

Social phishing

Il Phishing, però, non si limita solo all’invio di una mail. Oggi infatti il fenomeno si sta allargando al mondo dei social network.

In questo particolare contesto, chi truffa utilizza lo stesso metodo:

  • crea una pagina di un social network identica a quella ufficiale
  • cerca di trarre in inganno i soggetti invitandoli a condividere i propri dati personali.

Amazon

Molto frequenti sono le email false Amazon. Per riconoscerle è utile controllare le informazioni dell’intestazione dell’e-mail. La maggior parte dei programmi di posta elettronica consente di esaminare l’origine dell’e-mail.

E’ bene ricordare inoltre che le comunicazioni via e-mail, SMS o telefono da parte di Amazon non includono mai richieste di informazioni personali e/o proposte di investimenti finanziari finalizzati a opportunità di guadagno.

Nel proprio sito Amazon invita a segnalare un’e-mail fraudolenta inoltrando l’email a stop-spoofing@amazon.com.

Facebook

Diffuso anche il phishing su Facebook. In questo caso, il truffatore prova ad accedere all’account Facebook inviando un messaggio o un link in cui chiede informazioni personali. Se una persona entra nell’ account, può poi usarlo per inviare spam.

Per evitare di cadere nella trappola su facebook è necessario:

  • Prestare attenzione a e-mail o messaggi sospetti
  • Non cliccare su link sospetti
  • Non rispondere a e-mail nelle quali vengono richiesti dati personali

Quali sono le tecniche di Phishing?

Vediamo insieme le principali tecniche di Phishing:

E-mail di phishing

La maggior parte dei messaggi di phishing viene recapitata tramite e-mail e non sono personalizzati o mirati a un individuo o un’azienda specifici: questo è definito phishing “bulk” . Il contenuto di un messaggio di phishing in blocco varia ampiamente a seconda dell’obiettivo dell’attaccante.

Gli obiettivi comuni per la rappresentazione includono banche e servizi finanziari, provider di produttività di posta elettronica e cloud e servizi di streaming. Gli aggressori possono utilizzare le credenziali ottenute per rubare direttamente denaro a una vittima, sebbene gli account compromessi siano spesso usati come punto di partenza per eseguire altri attacchi, come l’installazione di malware o lo spearphishing di ad altre persone all’interno dell’organizzazione del target.

Spear-phishing

Lo spear phishing coinvolge un utente malintenzionato che prende di mira direttamente un’organizzazione o una persona specifica con comunicazioni di phishing personalizzate. Si tratta essenzialmente della creazione e dell’invio di e-mail a una determinata persona per far credere alla persona che la mail sia legittima. Di solito attacchi mirati su commissione.

A differenza del phishing di massa , gli aggressori di spear phishing spesso raccolgono e utilizzano informazioni personali sul loro obiettivo per aumentare le probabilità di successo dell’attacco.

Lo spear phishing in genere prende di mira i dirigenti o coloro che lavorano nei dipartimenti finanziari che hanno accesso ai dati e ai servizi finanziari sensibili dell’organizzazione.

Whaling and CEO fraud

Caccia alle balene e frode del CEO. La caccia alle balene si riferisce agli attacchi di spearphishing diretti specificamente a dirigenti senior e altri obiettivi di alto profilo. Il contenuto sarà probabilmente creato per essere di interesse per la persona o il ruolo preso di mira, come una citazione o un reclamo del cliente.

La frode del CEO implica la creazione di e-mail contraffatte da dirigenti senior per convincere i dipendenti della propria organizzazione a eseguire un’azione specifica, (come il trasferimento di denaro a un conto offshore).

Questo tipo di attacco ha un tasso di successo basso, i cyber criminali però possono guadagnare somme di denaro molto elevate dai pochi tentativi che hanno successo.

Clona il phishing

La clonazione del phishing è un tipo di attacco di phishing dove viene presa una mail legittima, precedentemente consegnata contenente un allegato o un collegamento, e utilizzata per creare un’e-mail quasi identica o clonata.

Ovviamente l’allegato o il collegamento presente nella mail viene sostituito con una versione dannosa e quindi inviato da un indirizzo e-mail falsificato in modo che sembri provenire dal mittente originale.

Phishing vocale

Il phishing vocale (o  detto anche vishing) , è l’uso della telefonia “spesso telefonia Voice over IP” per condurre attacchi di phishing . Gli aggressori comporranno un gran numero di numeri di telefono e riprodurranno registrazioni automatizzate, spesso realizzate utilizzando sintetizzatori di sintesi vocale, che fanno false affermazioni di attività fraudolente sui conti bancari o sulle carte di credito della vittima.

Il numero di telefono del chiamante verrà falsificato per mostrare il numero reale della banca o dell’istituto impersonato e la vittima viene quindi indirizzata a chiamare un numero controllato dagli aggressori, che li inviterà automaticamente a inserire informazioni sensibili per “risolvere” la presunta frode, o li collegherà a una persona dal vivo che tenterà di utilizzare l’ingegneria sociale per ottenere informazioni.

SMS di phishing

Il phishing  o  lo smishing tramite SMS  è concettualmente simile al phishing tramite e-mail, gli aggressori utilizzano i messaggi di testo del cellulare per consegnare l’esca.

Gli attacchi smishing in genere invitano l’utente a fare clic su un collegamento, chiamare un numero di telefono o contattare un indirizzo e-mail fornito dall’attaccante tramite messaggio SMS. La vittima è quindi invitata a fornire i propri dati privati; spesso, credenziali ad altri siti web o servizi. Inoltre, a causa della natura dei browser mobili gli URL potrebbero non essere visualizzati completamente (in modo da verifiare l’affidabilità).

Dirottamento della pagina

Il dirottamento della pagina implica la compromissione di pagine Web legittime per reindirizzare gli utenti a un sito Web dannoso o a un kit di exploit tramite scripting incrociato.

Un cyber criminale può compromettere un sito Web ed inserire un exploit in modo da compromettere gli utenti legittimi che visitano il server Web ora compromesso.

Una delle forme più semplici di dirottamento della pagina consiste nell’alterare una pagina Web per contenere un frame inline dannoso che può consentire il caricamento di un exploit.

Il dirottamento della pagina viene spesso utilizzato in tandem con un attacco di irrigazione alle entità aziendali per compromettere gli obiettivi.

Phishing del calendario

Il phishing del calendario si verifica quando i collegamenti di phishing vengono inviati tramite inviti del calendario. Vengono inviati gli inviti del calendario, che per impostazione predefinita vengono aggiunti automaticamente a molti calendari. Questi inviti spesso prendono la forma di RSVP e altre richieste di eventi comuni.

Come si riconosce il phishing

Per riconoscere il phishing è necessario prestare attenzione a piccoli segnali:

  • queste mail non sono personalizzate e contengono un messaggio generale di richiesta di informazioni personali attraverso un linguaggio intimidatorio
  • danno un limite di tempo per l’invio delle informazioni.

Attenzione anche a non rispondere a queste mail. Infatti anche attraverso una risposta, il criminale informatico potrebbe essere in grado di risalire a dati personali e riservati.

Qual è la miglior difesa contro il phishing?

Fortunatamente utilizzando dei piccoli accorgimenti possiamo non cadere nel tranello, vediamo quali:

  1. Informarsi sempre prima di aprire un qualsiasi link se non siete sicuri al 100%. Fate una ricerca su internet per vedere se è già capitato anche ad altri utenti.
  2. Leggere il corpo della mail “Origine del messaggio”.
  3. Posizionarsi sul link con il mouse e vedere che link viene visualizzato.
  4. Contattare il reale supporto, nel nostro caso il supporto Apple spiegando l’accaduto.

Bisogna fare attenzione a tutte le mail che richiedono l’inserimento di dati riservati:

  •  dati della carta di credito,
  • credenziali d’accesso al portale della banca
  • altri dati personali.

Come Proteggersi

Nell’era 2.0, quella di internet, le truffe avvengono online; non solo navigando sui siti web, ma anche via posta elettronica. La sicurezza informatica mette a disposizione diversi sistemi per la tutela degli utenti: efficientissimi filtri antivirus e antispam per l’e-mail.

Per proteggersi dal phishing esistono software specifici.

Il software anti-phishing è costituito da programmi per computer che identificano il contenuto di phishing in siti web, e-mail o altro.  Si tratta di programmi di sicurezza che intercettano i messaggi sospetti ed impediscono di aprire link sospetti o allegati bloccandone il contenuto, di solito con un avviso all’utente.

Anche i gestori di password possono essere utilizzati anche per difendersi dal phishing, così come alcune tecniche di autenticazione reciproca.

  1. Cos’è il Phishing?

    Il phishing è un crimine informatico che inganna le vittime inducendole a condividere informazioni sensibili come ad esempio le password, i numeri di carte di credito etc….
    Se prendiamo come esempio lo sport della pesca,  il fishing (in inglese), utilizza diversi modi per indurre il pesce (in questo caso la vittima) ad abboccare all'amo.

  2. Come avviene un attacco di Phishing?

    La vittima riceve un'e-mail o un messaggio di testo che imita una organizzazione o una persona di cui si fida, (potrebbe essere un collega, un istituto bancario o un ufficio governativo).
    La mail o il messaggio ricevuto contiene informazioni di solito volte a spaventare la povera vittima, con la richiesta di visitare un sito web e intraprendere azioni nell’immediato per evitare conseguenze negative.
    Se la vittima abbocca all'amo e fa clic sul link riportato all’interno del messaggio, viene reindirizzato su un sito fake. All'utente viene richiesto di accedere all’area riservata inserendo le proprie credenziali, come “nome utente e password”.
    Se non vengono attivati dei controlli specifici e vengono inserite le informazioni richieste, tutti dati verranno trasmessi al criminale che potrà utilizzarle per rubare l’identità, intercettare accessi a conti bancari e vendere informazioni personali sul dark web.

Altri articoli sull’argomento

Consulta altri articoli sul tema del phishing pubblicati sul portale InSic:

Phishing: una Guida Informativa del Garante per la Protezione dei Dati

Malware e Phishing: come proteggere le credenziali

Il Phishing e la truffa via sms

Aggiornati con i corsi di formazione dell’Istituto Informa

Consulta i volumi di EPC editore

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi – oro, argento, diamanti e orologi di prestigio –

presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.

Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.

Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi - oro, argento, diamanti e orologi di prestigio - presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati. Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica. Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.