Gli attacchi di phishing consistono nell'indurre con l'inganno una vittima a compiere determinate azioni. che producono un'utilità per l'autore dell'attacco. Questi attacchi possono essere molto semplici o estremamente complessi, ma un utente preparato e consapevole è in grado di individuarne una gran parte.
Dopo aver letto questo articolo sarai in grado di:
Copia link dell'articolo
Il termine "phishing" si riferisce al tentativo di sottrarre informazioni sensibili, in genere sotto forma di nomi utente, password, numeri di carte di credito, dati di conti bancari o altri dati importanti al fine di utilizzare o vendere le informazioni sottratte. Travestendosi da fonte attendibile con una richiesta allettante, un aggressore attira la vittima per ingannarla, in modo simile a come un pescatore usa l'esca per catturare un pesce.
Gli esempi più comuni di phishing vengono utilizzati per supportare altre azioni dannose, come acquisizioni di account, attacchi ransomware o compromissione di e-mail aziendali. Storicamente, gli attacchi di phishing si sono verificati in genere tramite e-mail o messaggistica istantanea. Oggi, gli attacchi di phishing si verificano su diversi media, dai messaggi SMS alle telefonate ai codici QR.
Gli aggressori possono utilizzare diverse tattiche per rendere più efficaci i loro tentativi di phishing:
La maggior parte degli attacchi di phishing può essere suddivisa in poche categorie. È utile acquisire dimestichezza con questi vettori di attacco per poterli individuare più facilmente.
Questo tipo di frode spesso viene perpetrata assieme ad altre, come la truffa della disattivazione del conto (vedi sotto). In questo attacco, l'autore crea un sito praticamente identico a quello, legittimo, di un'azienda utilizzata dalla vittima, ad esempio una banca. Quando l'utente visita la pagina contraffatta, alla quale può arrivare tramite un link fraudolento all'interno di un forum, un tentativo di phishing andato a buon fine o tramite un motore di ricerca, è convinto di visitare il sito legittimo invece di una copia fraudolenta. Tutte le informazioni inserite dalla vittima vengono quindi acquisite per essere messe in vendita o per essere usate per scopi illeciti.
Agli albori di Internet, questi tipi di pagine duplicate erano abbastanza facili da individuare perché spesso erano formattate male. Oggi i siti fraudolenti possono apparire come una rappresentazione perfetta dell'originale.
È possibile individuare un tentativo di frode controllando l'URL nel browser. Un URL che abbia un aspetto diverso dal solito è un segnale che deve indurre al sospetto. Se la pagina viene bollata come non sicura e il protocollo HTTPS non è attivo, vuol dire che con ogni probabilità si tratta di una truffa, e che l'utente sta o subendo un attacco di phishing, o visitando un sito compromesso.
Gli aggressori possono tuttavia utilizzare lo spoofing di dominio per imitare fedelmente l'URL effettivo di un sito web, e possono anche ricorrere a metodi quali l'hijacking di dominio per assumere il controllo dell'indirizzo effettivo di un sito. Anche gli utenti più smaliziati possono essere tratti in inganno. Per questo si consiglia di contattare la presunta fonte dell'e-mail (ad esempio, chiamando il servizio clienti della banca) per assicurarsi che il messaggio che ha condotto l'utente alla pagina web sia legittimo.
Giocando sull'urgenza creata in una vittima che crede che un conto importante verrà disattivato, gli autori di un attacco sono in grado di indurre alcune persone a rivelare informazioni importanti come le credenziali di accesso. Ecco un esempio: l'autore di un attacco invia un'e-mail che sembra provenire da un istituto importante come una banca e afferma che il conto bancario della vittima verrà disattivato se non interviene rapidamente. L'autore di un attacco richiederà quindi nome utente e password del conto bancario della vittima per impedirne la disattivazione. In una versione intelligente dell'attacco, una volta inserite le informazioni, la vittima verrà indirizzata al sito Web legittimo della banca in modo che nulla sembri fuori posto.
Questo tipo di attacco può essere contrastato visitando direttamente il sito Web del servizio in questione e verificando se il provider legittimo notifica all'utente lo stesso stato di urgenza relativamente al proprio conto. Si consiglia anche di controllare la barra degli URL e assicurarsi che il sito Web sia sicuro. Qualsiasi sito Web che richieda un accesso e una password non sicuri dovrebbe essere seriamente messo in discussione e non dovrebbe essere utilizzato senza quasi alcuna eccezione.
Questo diffuso attacco di phishing via e-mail è diventato famoso dall'e-mail "principe nigeriano", in cui un presunto principe nigeriano in una situazione disperata si offre di dare alla vittima una grossa somma di denaro con un piccolo compenso anticipato. Non sorprende che quando l'anticipo viene versato, la grossa somma di denaro non si materializzi. È interessante notare che questo tipo di truffa viene perpetrata da oltre un secolo in forme diverse. In origine, alla fine dell'800, era nota come la truffa del prigioniero spagnolo, in cui un truffatore contattava una vittima e la manipolava facendo leva sulla sua avidità. Il truffatore, a suo dire, era impegnato nel tentativo di far fuggire da un carcere un facoltoso prigioniero spagnolo. Quest'ultimo avrebbe ricompensato profumatamente la vittima, se solo quest'ultima avesse anticipato i soldi necessari per corrompere le guardie.
Questo attacco (in tutte le sue forme) viene neutralizzato non rispondendo alle richieste di soggetti sconosciuti in cui è necessario dare denaro per ricevere qualcosa in cambio. Se un affare sembra troppo bello per essere vero, probabilmente è così. Una semplice ricerca su Google sul tipo di richiesta o su parte del testo della e-mail spesso farà affiorare tutti i particolari della truffa. È possibile inoltre addestrare i filtri antispam affinché intercettino anche questo tipo di e-mail.
Alcuni attacchi di phishing mirano semplicemente a raccogliere informazioni private dal maggior numero possibile di persone. Gli aggressori possono utilizzare tali informazioni per impossessarsi degli account degli utenti o rubare le loro identità. Oppure, possono venderle al miglior offerente.
Altri attacchi di phishing rientrano in iniziative di respiro più ampio, portate avanti da gruppi denominati "minacce persistenti avanzate" (APT, Advanced persistent threat). Una APT che desiderassw accedere alle informazioni riservate di un'azienda, infettare tale azienda con del ransomware o comprometterla in un altro modo, potrebbe iniziare con una campagna di phishing per accedere all'account di un dipendente dell'azienda. Una volta ottenuto questo punto di ingresso, potrebbe utilizzare diverse tecniche per penetrare più a fondo nella rete aziendale (questo processo è chiamato spostamento laterale). Molti attacchi informatici sono iniziati con e-mail di phishing piuttosto semplici.
Questo tipo di phishing è diretto a individui o aziende specifici: da qui il termine spear phishing. Raccogliendo dettagli o acquistando informazioni su una determinata vittima, un aggressore è in grado di organizzare una truffa personalizzata. Questo è attualmente il tipo di phishing più efficace.
Il clone phishing comporta l'imitare un'e-mail legittima spedita in precedenza e la modifica dei collegamenti o degli allegati in essa contenuti per indurre la vittima a visitare un sito web o un file dannoso. Ad esempio, prendendo un'e-mail e allegando un file dannoso con lo stesso nome del file allegato originale, e inviando nuovamente l'e-mail con un indirizzo e-mail contraffatto che sembra provenire dal mittente originale, degli aggressori possono sfruttare la fiducia nella comunicazione iniziale per indurre la vittima ad agire.
Per gli attacchi diretti specificamente agli alti dirigenti o ad altri utenti privilegiati all'interno di una azienda, viene comunemente utilizzato il termine whaling (letteralmente "caccia alle balene"). Questi tipi di attacchi in genere includono contenuti che attirano l'attenzione della vittima, come citazioni legali o altri documenti di competenza dirigenziale. Gli attacchi di whaling possono essere altamente personalizzati ed è probabile che il truffatore impersoni qualcuno che la vittima conosce, che si tratti di un altro leader all'interno dell'organizzazione o di un'altra persona di fiducia.
Gli aggressori muniti di risorse sufficienti possono condurre contemporaneamente campagne di phishing su più canali. Invece di inviare semplicemente delle e-mail ai loro obiettivi, inviano anche messaggi di testo, li chiamano al telefono, li contattano sui social media e così via. I modelli di IA generativa possono aiutarli a creare i contenuti di cui hanno bisogno, dai testi delle e-mail fino a deepfake di persone di cui le vittime si fidano. Questo articolo sul phishing multicanale spiega come la sicurezza Zero Trust può aiutare le organizzazioni a difendersi da questo tipo di campagne.
Il phishing può verificarsi con un'ampia gamma di vettori di attacco, ma uno dei più comuni è la posta elettronica. Molti provider di posta elettronica provano automaticamente a bloccare le e-mail di phishing, ma a volte queste riescono comunque a sfuggire a questi controlli, rendendo la sicurezza delle e-mail una grande problematica di cui tenere assolutamente conto.
Fortunatamente, esistono svariati segnali rivelatori che indicano che un'e-mail potrebbe essere parte di un attacco di phishing. Scopri come identificare questo tipo di e-mail.
Cloudflare Email Security offre una protezione avanzata contro il phishing grazie a una scansione sistematica di Internet e alla ricerca dell'infrastruttura di questo tipo di attacchi. In questo modo, è possibile individuare le campagne di phishing in anticipo. Scopri come funziona Cloudflare Email Security.