Che cos'è il phishing?

Il phishing è l'arte di rubare informazioni sull'utente o sull'azienda tramite email ben realizzate che si basano su tecniche di ingegneria sociale. Più sofisticato è l'attacco, meno l'utente si rende conto di essere stato ingannato.

Phishing

Il phishing è un metodo di attacco in circolazione dalla metà degli anni '90. È iniziato quando un gruppo di adolescenti ha deciso di utilizzare la funzione di chat room di AOL per impersonare gli amministratori di AOL. Questi volevano assicurarsi di godere di un accesso gratuito illimitato ad AOL, quindi avevano bisogno di numeri di carte di credito. 

AOL offriva una "chatroom per i nuovi membri" dove le persone potevano chiedere assistenza relativamente al loro accesso. Gli hacker, Da Chronic e i suoi amici, crearono quelli che sembravano essere nomi di amministratori AOL legittimi come "ContabilitàFatturazione" e informavano l'utente della presenza di un problema con il loro account. 

L'utente forniva un numero di carta per risolvere il problema. Gli hacker potevano così disporre di un numero di carta sulla quale addebitare il loro servizio. È a quel tempo che fu coniato il termine phishing. Ora è diventato principalmente associato alle truffe via email. Le truffe di phishing continuano ancora oggi a essere frequenti. Circa il 90% delle violazioni delle informazioni concluse con successo inizia con il phishing.

Poiché il phishing si basa principalmente sull'ingegneria sociale, è fondamentale che tutti gli utenti comprendano come operano gli aggressori per approfittare della natura umana. In primo luogo, l'ingegneria sociale è un inganno che gli hacker usano per convincere gli utenti a fare qualcosa che normalmente non avrebbero mai fatto.

L'ingegneria sociale potrebbe essere tanto semplice quanto qualcuno con le mani occupate che chiede di aprire una porta. Un altro attacco di ingegneria sociale consiste nel lasciare una chiavetta USB etichettata "foto di famiglia" per terra nel parcheggio.

La chiavetta USB può contenere un malware che viene installato sul computer compromettendo in qualche modo la sicurezza. Questa pratica è nota come offerta dell'esca.

Il termine phishing viene utilizzato principalmente in riferimento ad attacchi email generici in cui l'attaccante invia email a quanti più indirizzi possibile, facendo riferimento a servizi comuni come PayPal o Bank of America.

L'email afferma che l'account è compromesso e invita il destinatario a cliccare su un collegamento per verificare se tutto è a posto. Il collegamento fa solitamente una delle due seguenti cose o entrambe.

  1. condurre l'utente su un sito web malevolo che assomiglia molto al sito reale, ad esempio www.PayPals.com invece del vero www.PayPal.com. Si noti la "s" aggiuntiva sul primo URL. Se conduce l'utente su un sito web malevolo, potrebbe acquisire il suo ID e la password mentre costui tenta di accedere.

    L'hacker ora ha accesso al conto corrente bancario e può trasferire denaro ovunque. C'è però un secondo possibile vantaggio. L'hacker potrebbe ora avere la password utilizzata per tutti gli account di quella persona, come quelli su Amazon, eBay, ecc.
  2. infettare il computer dell'utente scaricando un malware (software malevolo). Una volta installato, potrebbe essere usato per attacchi futuri. Il malware potrebbe essere un keystroke logger che cattura i dati di accesso o i numeri delle carte di credito. Oppure potrebbe essere un ransomware che cripta il contenuto dell'unità e richiede un riscatto, di solito sotto forma di Bitcoin.

    Un possibile sviluppo a questo punto è l'utilizzo del computer infetto per estrarre Bitcoin. L'estrazione potrebbe essere attivata quando l'utente non lavora sul proprio computer o potrebbe occupare una parte della capacità della CPU dell'utente in modo continuativo. L'hacker ora può estrarre Bitcoin e l'utente si ritrova un computer che funziona più lentamente.

Il phishing si è evoluto nel corso degli anni fino a includere attacchi provenienti da molte fonti diverse. Gli hacker faranno tutto il possibile per ottenere qualcosa, di solito denaro.

Attacchi di phishing

Un attacco di phishing è l'azione o l'insieme di azioni che l'hacker intraprende per approfittare dell'utente. Il classico schema di phishing tramite email è spesso facile da individuare a causa delle email di scarsa qualità caratterizzate da una grammatica incerta o da parole con errori di ortografia.

Gli aggressori stanno migliorando e diventando tecnicamente più sofisticati negli attacchi che lanciano. Molti attacchi semplici funzionano ancora abbastanza bene, sfruttando le emozioni umane come il desiderio di controllo, lo sdegno o la semplice curiosità.

L'attacco contro RSA nel 2011 era rivolto a sole 4 persone all'interno dell'azienda. L'email in sé non era particolarmente sofisticata ma ha avuto successo per il fatto di aver preso di mira persone specifiche. Il contenuto era interessante per quegli individui, mentre non sarebbe stato così interessante per la maggior parte degli altri. Conteneva un allegato intitolato "Piano di assunzioni 2011.xls".

Ulteriori informazioni

Tipologie di phishing

Esistono molti tipi diversi di attacchi di phishing. Questi includono il classico attacco tramite email, gli attacchi sui social media e gli attacchi dai nomi strani come smishing e vishing. Le basi del phishing si fondano sulla creduloneria insita negli esseri umani.

  • Phishing: di solito condotto tramite email
  • Spear phishing: email attentamente mirate
  • Whaling: email estremamente mirate, solitamente rivolte ai dirigenti
  • Phishing interno: attacchi di phishing originati dall'interno di un'azienda
  • Vishing: attacchi condotti tramite telefonate
  • Smishing: attacchi condotti tramite messaggi di testo
  • Phishing sui social media: post su Facebook o altri social media
  • Pharming: compromissione della cache del DNS
     

Ulteriori informazioni

Phishing interno

Gli attacchi di phishing interno sono una preoccupazione crescente. Si verificano quando un utente fidato invia un'email di phishing a un altro utente della stessa azienda. Poiché l'utente mittente è attendibile, è più probabile che i destinatari clicchino su un collegamento, aprano un allegato o rispondano con le informazioni richieste. 

Per inviare email di phishing interno, un aggressore controlla l'account email dell'utente con credenziali compromesse. Un aggressore può anche ottenere il controllo del dispositivo di un utente sia fisicamente, in seguito alla perdita o al furto del dispositivo stesso, sia attraverso l'installazione di un malware. Le email di phishing interne fanno parte di un attacco in più fasi con l'obiettivo finale di estorsione, ad esempio per mezzo di ransomware, o furto di risorse finanziarie o intellettuali.

Smishing

Lo smishing è un attacco particolare che sfrutta i dispositivi mobili. Al giorno d'oggi si vendono più dispositivi mobili che personal computer. Gli hacker si sono rivolti a questa piattaforma per sottrarre dati personali. Inviano un messaggio di testo a numeri di telefono informando gli utenti che c'è un problema con il loro account e che devono chiamare per chiarire le cose. 

È anche abbastanza sorprendente che, chiamando il numero, gli hacker rispondano alla chiamata. Non ci sono miriadi di opzioni da selezionare solo per essere messi in coda per parlare con qualcuno. Gli hacker hanno in effetti creato aziende che pagano regolarmente i loro dipendenti per questo lavoro, che include le attività di risposta alle chiamate telefoniche.

Se gli utenti non si fanno ingannare dal messaggio di testo, gli hacker potrebbero semplicemente chiamare e dire qualcosa come "il suo account è stato attaccato, abbiamo bisogno che confermi i dettagli a scopo di verifica". Se compongono una quantità sufficiente di numeri di telefono, troveranno sicuramente qualcuno che risponde. Questo attacco è noto come vishing.

Ulteriori informazioni sullo smishing.

Phishing sui social media

I social media sono una parte così importante del nostro mondo online che gli hacker li usano contro gli utenti. Al giorno d'oggi ci sono tantissime alternative, da Facebook a LinkedIn,a Instagram e molti altri. Gli hacker creano moltissimi problemi anche su queste piattaforme. 

Un attacco comune su Facebook sono i post nell'account di amici che parlano di una fantastica svendita di qualcosa come occhiali da sole di fascia alta e affermano che, cliccando su uno specifico collegamento, anche l'utente può approfittare di un ottimo affare. 

Ciò richiede che l'hacker ottenga prima il controllo di un account Facebook. Tale obiettivo può essere raggiunto in modo semplice nel caso di molti account. Se si è verificata una violazione nei server online di un'altra azienda a cui segue una sottrazione delle password degli utenti, gli hacker provano a usare le stesse combinazioni di email e password su altre piattaforme popolari come Facebook o LinkedIn.

Ulteriori informazioni sul phishing sui social media.

Pharming

Poiché gli utenti hanno migliorato la loro capacità di non cadere preda di attacchi di phishing, gli aggressori hanno sviluppato nuovi tipi di attacchi. Il pharming compromette la cache DNS (Domain Name System) nel computer dell'utente. Questo viene fatto tramite l'utilizzo di download guidati. 

Mentre un utente naviga tra i siti web e clicca passando da uno all'altro, l'aggressore sfrutta la mancanza di sicurezza che si riscontra spesso sui siti. È abbastanza facile alterare il testo HTML che costituisce un sito web in modo che includa il download di informazioni quando un utente raggiunge il sito web stesso o clicca su di esso.

Se l'utente non clicca sull'email che informa che il proprio conto corrente bancario è compromesso, l'attaccante attenderà semplicemente che l'utente si connetta alla propria banca. Le informazioni alterate della cache del DNS indirizzano l'utente alla versione del sito web della banca dell'utente creata dall'hacker . L'utente inserisce il proprio ID e la password e, voilà, l'attaccante ora dispone delle sue credenziali e può accedere al conto corrente bancario e ripulirlo.

Come si previene il phishing?

Ci sono alcune cose molto specifiche che possiamo fare come individui:

  • Abilitare l'autenticazione a due fattori (2FA) su ogni account che lo consente
  • Usare programmi anti-malware
  • Usare i firewall
  • Diffidare di pop-up e pop-under
  • Diffidare degli allegati di email provenienti da fonti note e sconosciute
  • Diffidare di messaggi di testo o IM provenienti da fonti note e sconosciute che desiderano che l'utente clicchi su una destinazione o che contengono una richiesta di informazioni personali
  • Non fornire informazioni personali. Punto. A meno che non ci sia una valida ragione per cui qualcuno ne abbia bisogno

Le aziende, oltre alle raccomandazioni di cui sopra per il personale, dovrebbero:

  • Applicare filtri per le email di phishing e traffico web malevolo a livello di gateway
  • Autenticare i mittenti di email utilizzando DMARC
  • Filtrare le email di phishing in base al mittente e al contenuto e analizzare URL e allegati alla ricerca di attributi dannosi utilizzando tecniche statiche e dinamiche
  • Adottare tecniche di filtraggio avanzate che utilizzano l'intelligenza artificiale per individuare le email BEC e gli attacchi che mirano al furto di credenziali.
  • Prevenire gli attacchi interni di phishing con una soluzione di sicurezza integrata nel servizio che si aggancia alla piattaforma di email in cloud o on-premise tramite API. Tali soluzioni sono disponibili per i server Microsoft Office 365, Google G Suite, Microsoft Exchange Server e IBM Domino

Argomenti sul phishing