Con un attacco di phishing gli hacker tentano di indurre la vittima a condividere informazioni sensibili. Il loro obiettivo è sottrarre login, numeri di carte di credito e informazioni aziendali sensibili. Potrebbero anche cercare di infettare il computer della vittima con del malware.
Il phishing fa riferimento al tentativo di furto tramite dispositivi connessi. L'azione può essere eseguita in modo manuale o attraverso uno strumento che automatizza il processo. Può anche trattarsi di una combinazione dei due approcci, che inizia con uno strumento basato su uno script che apre la porta all'hacker il quale completa successivamente l'attacco in modo manuale.
Il primo uso del termine "phishing" risale al 1994, quando un gruppo di adolescenti ribelli si mise al lavoro per sottrarre manualmente i numeri di carta di credito a ignari utenti su AOL. Nel 1995 crearono un programma chiamato AOHell affinché automatizzasse l'esecuzione del lavoro per loro conto.
Da allora, gli hacker hanno continuato a inventare nuovi modi per sottrarre informazioni da chiunque sia connesso a internet. Questi malintenzionati hanno creato una serie di programmi e tipi di software malevoli in uso ancora oggi. Alcuni di questi strumenti sono stati creati al solo scopo di eseguire dei test di penetrazione, o "operazioni di hacking con permesso". Una volta che uno strumento esiste, tuttavia, i malintenzionati possono capire come usarlo in modo malevolo.
Negli anni successivi, gli hacker sono riusciti a creare software malevoli specificamente indirizzati alle applicazioni di phishing. Un esempio è PhishX, uno strumento progettato per sottrarre informazioni di tipo bancario. Usando PhishX, gli aggressori creano un falso sito web di una banca del tutto somigliante a quello di una vera banca presso la quale un utente potrebbe tenere un conto corrente. Personalizzano la pagina con il loro numero di telefono e l'indirizzo email. Cliccando su "Contatti" si entra in comunicazione diretta con gli hacker.
Phishing Frenzy è uno strumento di email phishing originariamente creato dai buoni per i test di penetrazione. Phishing Frenzy si è dimostrato di facile utilizzo e molti hacker l'hanno sfruttato per la sua facilità d'uso..
Un altro strumento di phishing è Swetabhsuman8, che permette agli aggressori di creare una falsa pagina di accesso per hackerare gli account Instagram. Quando un utente prova ad accedere, gli hacker sottraggono ID utente e password.
Oltre a falsificare siti web, usare strumenti di phishing tramite email e pagine di accesso malevole per sottrarre i dati, gli hacker creano call center collegati a un numero di telefono che viene comunicato tramite le loro email, i siti web falsi o i messaggi di testo.
I moderni operatori di ransomware prendono in genere di mira le grandi imprese per ottenere il massimo profitto. Essi tendono a dedicare una quantità significativa di tempo per conquistare ogni sezione della rete della vittima fino a quando arriva il momento di lanciare l'attacco ransomware. Questo tipo di attacco a più fasi spesso inizia con una singola email di phishing.
Anche se ci sono diversi attacchi di phishing, il phishing tramite email è il più diffuso e riconoscibile. Questo attacco è diventato sempre più sofisticato trasformandosi in spear phishing, whaling e attacco mirato. Gli attacchi di phishing si sono anche estesi dai programmi di email alle piattaforme di comunicazione, compresi i messaggi di testo e i social media.
Gli attacchi di phishing includono:
Gli hacker amano sfruttare il nostro mondo online. Lo fanno creando siti web o pagine di accesso false con l'obiettivo di sottrarre dati sensibili. Oltre a ottenere l'accesso a numeri di carte di credito, conti bancari e credenziali dei social media, i malintenzionati cercano di prendere di mira i canali dei social media di amici o colleghi della vittima. Questo accade quando un criminale ottiene l'accesso a un account e invia attacchi di phishing ai relativi follower, agli amici o ai colleghi di lavoro tramite messaggi diretti. La diffusa popolarità dei social media ha reso questo metodo sempre più comune negli ultimi dieci anni.
Ci sono molte cose che è possibile fare per proteggersi. La prima e più importante è essere prudenti.
La seconda cosa da fare è proteggere i propri account. Le password dovrebbero essere di una lunghezza vicina o superiore a 20 caratteri. Non è necessario includere tutti e quattro gli elementi suggeriti (maiuscolo, minuscolo, numero, simbolo) nella password. Due o tre di questi elementi sono sufficienti, ma è importante che questi elementi cambino ogni volta che viene creata una nuova password. Molte persone fanno fatica a ricordare le password. Creare un password lunga che si riesce a ricordare. Conservare il resto delle password al sicuro all'interno di un gestore di password come LastPass o Password Safe.
Quindi, cosa più importante, abilitare l'autenticazione a due fattori (2FA) su tutti gli account. Se l'unica scelta fornita dal sito è quella di utilizzare il telefono per ricevere un messaggio di testo con una password monouso, questo è comunque meglio dell'utilizzo della sola password per l'accesso.
Il National Institute of Standards and Technology (NIST) ha reso obsoleto il suo supporto per le password monouso comunicate tramite SMS. Una soluzione migliore è utilizzare uno strumento per creare una password monouso come Google Authenticator, Microsoft Authenticator, LastPass Authenticator. Cercare queste opzioni nelle "impostazioni" dei propri account.
Usare strumenti software che aiutino a prestare attenzione alle cose che mancano. Utilizzare un firewall, un antivirus, un antimalware e strumenti antiphishing. Scegliere attentamente il proprio browser. Quello utilizzato protegge individuando elementi come i tentativi di phishing? È possibile aggiungere un plug in? Se la risposta è no, scegliere un altro browser.
Le aziende, oltre alle raccomandazioni di cui sopra per il personale, dovrebbero: