Cosa sono gli attacchi di phishing?

Con un attacco di phishing gli hacker tentano di indurre la vittima a condividere informazioni sensibili. Il loro obiettivo è sottrarre login, numeri di carte di credito e informazioni aziendali sensibili. Potrebbero anche cercare di infettare il computer della vittima con del malware.

Che cos'è il phishing?

Il phishing fa riferimento al tentativo di furto tramite dispositivi connessi. L'azione può essere eseguita in modo manuale o attraverso uno strumento che automatizza il processo. Può anche trattarsi di una combinazione dei due approcci, che inizia con uno strumento basato su uno script che apre la porta all'hacker il quale completa successivamente l'attacco in modo manuale.

Il primo uso del termine "phishing" risale al 1994, quando un gruppo di adolescenti ribelli si mise al lavoro per sottrarre manualmente i numeri di carta di credito a ignari utenti su AOL. Nel 1995 crearono un programma chiamato AOHell affinché automatizzasse l'esecuzione del lavoro per loro conto. 

Da allora, gli hacker hanno continuato a inventare nuovi modi per sottrarre informazioni da chiunque sia connesso a internet. Questi malintenzionati hanno creato una serie di programmi e tipi di software malevoli in uso ancora oggi. Alcuni di questi strumenti sono stati creati al solo scopo di eseguire dei test di penetrazione, o "operazioni di hacking con permesso". Una volta che uno strumento esiste, tuttavia, i malintenzionati possono capire come usarlo in modo malevolo.

Negli anni successivi, gli hacker sono riusciti a creare software malevoli specificamente indirizzati alle applicazioni di phishing. Un esempio è PhishX, uno strumento progettato per sottrarre informazioni di tipo bancario. Usando PhishX, gli aggressori creano un falso sito web di una banca del tutto somigliante a quello di una vera banca presso la quale un utente potrebbe tenere un conto corrente. Personalizzano la pagina con il loro numero di telefono e l'indirizzo email. Cliccando su "Contatti" si entra in comunicazione diretta con gli hacker.

Phishing Frenzy è uno strumento di email phishing originariamente creato dai buoni per i test di penetrazione. Phishing Frenzy si è dimostrato di facile utilizzo e molti hacker l'hanno sfruttato per la sua facilità d'uso..

Un altro strumento di phishing è Swetabhsuman8, che permette agli aggressori di creare una falsa pagina di accesso per hackerare gli account Instagram. Quando un utente prova ad accedere, gli hacker sottraggono ID utente e password. 

Oltre a falsificare siti web, usare strumenti di phishing tramite email e pagine di accesso malevole per sottrarre i dati, gli hacker creano call center collegati a un numero di telefono che viene comunicato tramite le loro email, i siti web falsi o i messaggi di testo. 

I moderni operatori di ransomware prendono in genere di mira le grandi imprese per ottenere il massimo profitto. Essi tendono a dedicare una quantità significativa di tempo per conquistare ogni sezione della rete della vittima fino a quando arriva il momento di lanciare l'attacco ransomware. Questo tipo di attacco a più fasi spesso inizia con una singola email di phishing.

Esempi di attacchi di phishing

Anche se ci sono diversi attacchi di phishing, il phishing tramite email è il più diffuso e riconoscibile. Questo attacco è diventato sempre più sofisticato trasformandosi in spear phishing, whaling e attacco mirato. Gli attacchi di phishing si sono anche estesi dai programmi di posta elettronica alle piattaforme di comunicazione, compresi i messaggi di testo e i social media.

Gli attacchi di phishing includono:

  • Phishing tramite email – Un hacker invia un messaggio email contenente un collegamento con l'intenzione di generare interesse, preoccupazione o curiosità. Lo scopo dell'email è convincere il destinatario a cliccare sul collegamento.
  • Vishing – Un malintenzionato chiama un telefono fisso, mobile o VoIP per coinvolgere l'utente in una conversazione.
  • Smishing – Un criminale invia un messaggio di testo chiedendo all'utente di cliccare su un collegamento o di telefonare al mittente.
  • Pharming – Poiché sempre più persone sono diventate consapevoli dei pericoli di cliccare su collegamenti contenuti in email non richiesti, i malintenzionati hanno creato il pharming. Un attacco di pharming include un URL dannoso con la speranza che il destinatario lo copi e lo incolli all'interno del browser e acceda direttamente al sito web. Il pharming compromette la cache locale delle informazioni del DNS (Domain Name System) che le vittime utilizzano per raggiungere la destinazione corretta. Il collegamento malevolo conduce l'utente verso un sito web contraffatto.
  • Spear phishing – Un hacker invia un'email mirata e creata su misura a un'organizzazione o a un individuo. Le email di spear phishing prendono solitamente di mira i manager o coloro che operano nei reparti finanziari.
  • Whaling – Il whaling è simile allo spear phishing, ma prende generalmente di mira i top manager di un'organizzazione.

Attacchi di phishing online

Gli hacker amano sfruttare il nostro mondo online. Lo fanno creando siti web o pagine di accesso false con l'obiettivo di sottrarre dati sensibili. Oltre a ottenere l'accesso a numeri di carte di credito, conti bancari e credenziali dei social media, i malintenzionati cercano di prendere di mira i canali dei social media di amici o colleghi della vittima. Questo accade quando un criminale ottiene l'accesso a un account e invia attacchi di phishing ai relativi follower, agli amici o ai colleghi di lavoro tramite messaggi diretti. La diffusa popolarità dei social media ha reso questo metodo sempre più comune negli ultimi dieci anni.

Come prevenire il phishing

Ci sono molte cose che è possibile fare per proteggersi. La prima e più importante è essere prudenti.

  • Ispezionare attentamente le email prima di cliccare. Passare il mouse sull'indirizzo email di origine o sul collegamento sul quale si richiede di cliccare. Ciò può rivelare informazioni utili che indicano che si tratta di un'email di phishing.
  • Prima di digitare dati sensibili all'interno di un sito web, osservare attentamente l'URL nella parte superiore della pagina. Si tratta del sito web reale? Ci sono lettere aggiuntive nell'indirizzo? Ci sono lettere sostituite con numeri, come una O sostituita con uno 0? Può essere difficile notare la differenza.
  • Riflettere prima di cliccare sui post degli amici. Se sembra un affare troppo bello per essere vero, probabilmente è così.
  • Riflettere prima di rispondere a un post che sostiene che un proprio amico si trova nei guai e ha bisogno di soldi. È questo il modo in cui cercherebbe di mettersi in contatto?
  • Pensare bene prima di cliccare su un pop-up o pop-under.
  • Riflettere prima di aprire un allegato email. Ci si aspettava di ricevere un allegato da quella persona? In caso contrario è opportuno chiedere conferma.
  • Riflettere prima di rispondere ai messaggi di testo (SMS). È improbabile che una compagnia telefonica, banca, ecc. contattino un utente tramite SMS.
  • Non comunicare i propri dati personali se non si è sicuri di parlare con qualcuno di cui ci si fida.
     

La seconda cosa da fare è proteggere i propri account. Le password dovrebbero essere di una lunghezza vicina o superiore a 20 caratteri. Non è necessario includere tutti e quattro gli elementi suggeriti (maiuscolo, minuscolo, numero, simbolo) nella password. Due o tre di questi elementi sono sufficienti, ma è importante che questi elementi cambino ogni volta che viene creata una nuova password. Molte persone fanno fatica a ricordare le password. Creare un password lunga che si riesce a ricordare. Conservare il resto delle password al sicuro all'interno di un gestore di password come LastPass o Password Safe.

Quindi, cosa più importante, abilitare l'autenticazione a due fattori (2FA) su tutti gli account. Se l'unica scelta fornita dal sito è quella di utilizzare il telefono per ricevere un messaggio di testo con una password monouso, questo è comunque meglio dell'utilizzo della sola password per l'accesso.

Il National Institute of Standards and Technology (NIST) ha reso obsoleto il suo supporto per le password monouso comunicate tramite SMS. Una soluzione migliore è utilizzare uno strumento per creare una password monouso come Google Authenticator, Microsoft Authenticator, LastPass Authenticator. Cercare queste opzioni nelle "impostazioni" dei propri account.

Usare strumenti software che aiutino a prestare attenzione alle cose che mancano. Utilizzare un firewall, un antivirus, un antimalware e strumenti antiphishing. Scegliere attentamente il proprio browser. Quello utilizzato protegge individuando elementi come i tentativi di phishing? È possibile aggiungere un plug in? Se la risposta è no, scegliere un altro browser.

Le aziende, oltre alle raccomandazioni di cui sopra per il personale, dovrebbero:

  • Utilizzare un gateway di posta elettronica per bloccare le email di spam e rimuovere quelle che contengono collegamenti o allegati sospetti.
  • Installate un filtro per lo spam e per il phishing al fine di eliminare le email da mittenti sconosciuti e quelle con contenuti sospetti.
  • Usare uno strumento di autenticazione delle email DMARC (Domain-based Message Authentication, Reporting & Conformance) per impedire ai criminali di falsificare un indirizzo "da" in un messaggio di posta elettronica.
  • Usare metodi di filtraggio basati sull'intelligenza artificiale (IA) per individuare le email vettori di attacchi Business Email Compromise (BEC). Le email BEC sono inviate da criminali che si fingono membri della direzione di un'organizzazione e chiedono tipicamente ai dipendenti di trasferire fondi da un conto aziendale al conto falsificato dell'hacker.
  • Impiegare una soluzione di sicurezza integrata nel servizio per proteggersi dagli attacchi di phishing che provengono dall'interno dell'organizzazione.
  • Rendere i dipendenti consapevoli dei pericoli degli attacchi di phishing facendoli partecipare a regolari simulazioni di phishing e corsi di formazione.

Argomenti sul phishing