Che cos’è il phishing?

Il significato e come difenderti

Phishing informatico

Proprio come i pescatori lanciano le reti per catturare il pesce, i phisher diffondono e-mail false nel “mare” di Internet per acquisire le tue informazioni personali. Se i pescatori usano le esche per attirare il pesce, i phisher usano la falsificazione e la manipolazione per raggiungere lo stesso risultato con te. Se diventi una vittima del phishing, potresti perdere la tua privacy, i tuoi guadagni e persino la tua identità.

Sommario: Il phishing è il tentativo di acquisire con l’inganno le informazioni personali di qualcuno; sfruttando e-mail e siti web fasulli, il phishing consente agli hacker di accedere alle credenziali di accesso, ai dati sull’home banking e sulle carte di credito o al numero di previdenza sociale della propria vittima. Continua a leggere per saperne di più sui tipi più comuni di attacchi di phishing e sui modi per rimanere al sicuro su Internet.

Phishing

Che cos’è il phishing?

Il phishing è un tentativo di acquisire con l’inganno informazioni personali o altri dati privati di qualcuno. Il phishing è forse il tipo di frode più diffuso su Internet; in genere, sfrutta e-mail fraudolente o siti web che mirano a ingannare la potenziale vittima e a spingerla a condividere le proprie informazioni sensibili con il truffatore. Molti truffatori vendono le informazioni acquisite sul dark web, principalmente a hacker e criminali informatici specializzati nel furto d’identità.

Con i progressi della sicurezza informatica, molte minacce informatiche vanno e vengono, ma il phishing va sempre forte. Il motivo principale per cui gli attacchi di phishing continuano ad essere così comuni è l’impiego di tecniche di falsificazione, manipolazione e ingegneria sociale per ingannare le potenziali vittime. Di norma, le e-mail di phishing hanno l’aspetto di notifiche urgenti (anche se false) inviate da Internet provider, portafogli digitali, istituti finanziari e altre organizzazioni; per sembrare più realistiche, in genere includono loghi e altre immagini ufficiali.

Comunemente denominati phisher, i truffatori responsabili di questi attacchi chiederanno alla potenziale vittima di fornire un’informazione personale importante, come il numero di previdenza sociale, i dati della carta di credito o le informazioni di accesso. Affinché il messaggio sembri particolarmente urgente, aggiungeranno un motivo importante per cui la vittima dovrebbe fornire tali informazioni: ad esempio, potrebbero perdere l’accesso al proprio conto bancario o potrebbero essere bloccati dal proprio profilo social se non forniscono le informazioni richieste entro il termine specificato.

Per raccogliere le informazioni di cui hanno bisogno, i phisher creano siti web fasulli dall’aspetto incredibilmente reale. Inoltre, anche l’URL è molto simile, quindi è ancora più difficile per le vittime capire che è falso. Secondo recenti statistiche, vengono creati ogni mese oltre un milione di nuovi siti di phishing, con una durata media che va da tre a cinque giorni per sito web. Ciò equivale a quasi 50.000 nuovi siti web ogni giorno: non siamo affatto sorpresi che il phishing sia la causa principale delle violazioni dei dati in tutto il mondo.

Quali sono i tipi di phishing?

Esistono diversi tipi di truffe di phishing, alcune delle quali sono possibili solo tramite telefono (ad es. phishing vocale o vishing) o messaggi di testo (ad es. phishing SMS o SMiShing). Per quanto riguarda le truffe di phishing online, le seguenti sono le più comuni:

1. Spray and Pray phishing

Lo spray e pray è il tipo di phishing online meno recente e più rudimentale. I phisher usano questa tecnica per inviare una serie di e-mail contrassegnate come “urgenti”, in cui chiedono alla potenziale vittima di aggiornare la propria password PayPal o di inserire i propri dati per richiedere una vincita alla lotteria. Queste e-mail contengono solitamente link a pagine di login false: quando una vittima inserisce i propri dati personali in questi moduli falsi, i dati vengono immediatamente memorizzati su un server remoto a cui il phisher ha accesso.

2. Spear phishing

Lo spear phishing è molto più sofisticato dello spray and pray per il semplice motivo che è personalizzato: piuttosto che inviare un messaggio generico, i phisher mirano a organizzazioni, gruppi o individui specifici con l’obiettivo di ottenere le loro informazioni personali; raccolgono nomi, indirizzi e-mail e altre informazioni personali da social network come LinkedIn o registri e-mail hackerati.

Questo tipo di phishing si rivolge principalmente alle aziende e alle organizzazioni, quindi le e-mail di spear phishing sono in qualche modo diverse dalle e-mail spray and pray: sebbene seguano uno schema simile, le e-mail di spear phishing di solito includono false richieste o fatture da partner commerciali. I phisher a volte allegano un presunto documento importante e chiedono alla vittima di scaricarlo sul proprio computer: in caso affermativo, la vittima installerà software malevolo in grado di spiare l’attività e raccogliere le informazioni personali.

3. CEO phishing

Il CEO phishing è una forma molto sofisticata di phishing online, a cui il phisher generalmente dedica molto tempo. Qui il criminale informatico prende di mira il personale nelle risorse umane o in dipartimenti finanziari di un’organizzazione, facendo finta di essere il CEO della società o un altro dirigente di alto livello. Il criminale scambia diversi messaggi con il proprio obiettivo maturando gradualmente un rapporto di fiducia.

Dopo un po’ di tempo, il phisher chiederà all’improvviso all’impiegato preso di mira di inviare le informazioni personali dei dipendenti o, più spesso, di trasferire fondi su un conto da lui specificato. Nella maggior parte dei casi, sosterrà di aver bisogno dei fondi per un nuovo contratto sottolineando l’urgenza del bonifico. Per quanto possa sembrare assurdo, le aziende di tutto il mondo hanno perso più di 5 miliardi di dollari a causa del CEO phishing.

4. Phishing di file hosting

Molte persone utilizzano servizi di hosting online come Dropbox e Google Drive per il backup dei file, nonché per poter accedere ad essi e condividerli facilmente. I phisher lo sanno bene: i tentativi di compromettere le credenziali di accesso sono innumerevoli. Lo schema della truffa è molto simile allo spray and pray phishing in quanto implica pagine di login false. Tuttavia, invece di cercare qualcosa di specifico, gli hacker vogliono accedere all’archivio dei file online delle loro vittime per acquisire eventuali informazioni preziose.

5. Phishing di criptovaluta

Il phishing di criptovaluta è una forma piuttosto nuova di frode online. Gli hacker creano pagine di accesso false ai siti web di criptovaluta. Quando gli utenti ignari inseriscono le loro credenziali all’interno delle pagine false, gli hacker ottengono immediatamente l’accesso agli account digitali delle loro vittime, potendo così prelevare fondi in pochi secondi. Finora c’è stato solo un attacco di phishing di criptovaluta importante, ma visto che la valuta digitale è in ascesa, è lecito ritenere che ce ne saranno altri in futuro.

Esempi di attacchi di phishing

Tra alcuni degli attacchi di phishing più distruttivi degli ultimi anni:

  • Alla fine del 2014, gli hacker hanno utilizzato le e-mail di spear phishing per raccogliere gli Apple ID di numerosi dipendenti della Sony Pictures. Ipotizzando che la maggior parte dei dipendenti utilizzasse la stessa password per più account online, gli hacker hanno quindi utilizzato le credenziali per accedere alle loro e-mail aziendali. Le loro previsioni erano corrette, quindi sono riusciti a scovare (e poi pubblicare) migliaia di e-mail personali e altri documenti riservati, causando una tempesta mediatica senza precedenti a Hollywood.
  • Nel 2014 e nel 2015, gli hacker hanno preso di mira Anthem, un’assicurazione sanitaria statunitense. Hanno utilizzato e-mail di phishing per infettare i computer di cinque dipendenti utilizzando un keylogger, cioè uno spyware che registra le sequenze di tasti. In questo modo, gli hacker hanno potuto rubare quasi 80 milioni di cartelle cliniche dai server di Anthem, ognuna delle quali conteneva i numeri di previdenza sociale dei pazienti.
  • Nel 2017, un gruppo di hacker ha inviato e-mail di phishing ai dipendenti di tre importanti catene di ristoranti negli Stati Uniti: Chipotle, Arby’s e Chili’s. In allegato alle e-mail era presente un software malevolo che si installava silenziosamente sui computer target e consentiva agli hacker di accedere alle reti interne di queste aziende. Tramite questo software, gli hacker sono riusciti a rubare più di 15 milioni di carte di credito appartenenti ai clienti di queste tre catene.

Come difendersi dal phishing

Come con ogni minaccia informatica, il modo migliore per restare al sicuro è adottare abitudini di navigazione responsabili e utilizzare i migliori software antivirus. Le buone abitudini di navigazione sul web sono particolarmente importanti perché alcuni tipi di e-mail di phishing possono rubare i tuoi dati aggirando il tuo software di sicurezza informatica.

Non devi mai divulgare alcuna informazione personale (dati relativi alla carta di credito, credenziali di accesso o codici fiscali) nelle e-mail o nei messaggi istantanei. Se il tuo indirizzo e-mail, il tuo home banking, il tuo portafoglio digitale o la pagina di accesso di un’e-commerce ti sembrano diversi dal solito, controlla il testo sulla pagina alla ricerca di errori ortografici e grammaticali, che di solito sono il segno rivelatore di un sito web falso. Cerca sempre il prefisso “https” nella barra degli indirizzi e l’icona del lucchetto accanto ad esso per assicurarti che le informazioni che inserisci siano sicure.

Non aprire nessuna e-mail inviata da indirizzi e-mail sconosciuti e non cliccare su eventuali link o allegati all’interno, altrimenti potresti installare spyware sul tuo computer e consentire agli hacker di accedere alle tue informazioni personali. Per fortuna, i migliori software antivirus rilevano immediatamente qualsiasi software malevolo sul tuo computer e lo rimuovono dal tuo disco rigido. Inoltre, questi programmi esamineranno i certificati di sicurezza di tutti gli indirizzi che visiti e ti impediranno di accedere ai siti web di phishing.

Fonti (in inglese)

 

    Sei protetto?

    Ogni giorno vengono inviate milioni di e-mail di phishing e vengono creati migliaia di nuovi siti web di phishing, quindi non devi prendere la tua sicurezza online alla leggera.