Il phishing è un tipo di attacco che sfrutta le logiche di ingegneria sociale spesso utilizzate per rubare i dati degli utenti, comprese le credenziali di accesso e i numeri di carta di credito. Si verifica quando un cyber aggressore, fingendo di avere un’identità fidata, induce una vittima ad aprire un’e-mail, un messaggio istantaneo in chat o un SMS. Il destinatario viene quindi indotto con l’inganno a fare clic su un collegamento dannoso, il che può portare all’installazione di malware, al blocco del sistema come parte di un attacco ransomware o alla rivelazione di informazioni sensibili.
Un attacco può avere risultati devastanti. Per gli individui, ciò include acquisti non autorizzati, furto del risparmio o furto di identità dell’inconsapevole vittima.
Inoltre, il phishing viene spesso utilizzato per insinuarsi nelle reti aziendali o governative come parte di un attacco più ampio. In quest’ultimo scenario, i dipendenti sono l’anello debole della catena di sicurezza che viene compromesso (talvolta con complicità volontaria) per distribuire malware all’interno di un ambiente chiuso o ottenere un accesso privilegiato ai dati protetti.
Un’organizzazione che soccombe a un tale attacco in genere subisce gravi perdite finanziarie oltre a una diminuzione della quota di mercato, della reputazione e della fiducia dei consumatori. A seconda dell’ambito, un tentativo di phishing potrebbe trasformarsi in un incidente di sicurezza dal quale un’azienda avrà difficoltà a recuperare.
Immagine: mohamed_hassan / Pixabay
Tipologie di phishing
Gli analisti che lavorano per il sito Cercotech.it dichiarano che il phishing tramite e-mail è la tipologia più attuata e in continua crescita a livello globale. Un utente malintenzionato che invia migliaia di messaggi fraudolenti può raccogliere informazioni significative e somme di denaro, anche se solo una piccola percentuale di destinatari cade per la truffa: recenti statistiche dicono che quasi il 49% degli utenti ordinari cada facilmente in inganno credendo nell’affidabilità del mittente, identificato fra colleghi o amici. Le grandi società che offrono servizi di cyber security hanno ricevuto un aumento medio del 165% delle richieste di intervento.
Le e-mail per phishing sono strutturate per apparire come cloni di quelle di un’organizzazione di grandi dimensioni, utilizzando le stesse frasi, caratteri tipografici, loghi e firme per rendere credibili i messaggi da spedire in massa. L’obiettivo è spingere gli utenti all’azione creando un senso di urgenza, ad esempio minacciando la sospensione dell’account e mostrando al destinatario un timer. L’applicazione di tale pressione fa sì che l’utente sia meno diligente e più incline all’errore.
Infine, i collegamenti all’interno dei messaggi assomigliano alle loro controparti legittime, ma in genere hanno un nome di dominio con errori di ortografia o sottodomini extra.
Lo spear phishing prende di mira una persona o un’azienda specifica, invece di utenti di applicazioni casuali. È una versione più approfondita del phishing che richiede una conoscenza speciale di un’organizzazione, inclusa la sua struttura funzionale.
Come prevenire
Partire dalla formazione, quindi consumatori e aziende devono essere informati sulle tecniche esistenti e conoscere le funzionalità del software usati, come l’importanza del lucchetto che indica le connessioni sicure, fare molta attenzione al linguaggio usato e non aprire allegati senza la massima certezza.
Inoltre è fondamentale l’uso dell’autenticazione a due fattori (2FA) per impedire accessi non autorizzati, l’uso accorto di password differenziate e non esitate a segnalare i tentativi alla Polizia Postale.
