Stare al passo
Slider

Phishing: cos'è e come evitarlo

Martedì, 05 Giugno 2018 00:00 Scritto da
Pubblicato in Security - Privacy
La cybersecurity è diventata ultimamente un tema di conversazione molto popolare. Le minacce a cui prestare attenzione sono diverse, ma quella più comune è senza dubbio il phishing.


Cos'è il phishing

Il termine phishing è una versione modificata dell’inglese “fishing” ovvero "pescare” (chiaramente in questo caso l’utente è il pesce e la mail è l’esca).
La prima sillaba richiama ai nomi utilizzati per indicare i primi hacker, noti come "phreak" o "phreaker".
Si tratta una delle forme di attacco informatico più facili da mettere in pratica, ma nella sua semplicità può fornire a un hacker tutto ciò di cui ha bisogno per infiltrarsi in ogni aspetto della tua vita personale e lavorativa.
Solitamente effettuato tramite email (anche se la truffa si è ora diffusa anche su social media, servizi di messaggistica e app), il phishing tenta di ingannare l'obiettivo nel fare ciò che vuole il malintezionato.
Nella pratica, in una mail fasulla potrebbe arrivarti la richiesta di reimpostare delle password di determinati account o di modificare dei dettagli bancari in modo che i pagamenti vadano ai truffatori anziché all'account corretto.
Lo scopo e la meccanica precisa delle truffe variano, in generale però le vittime vengono spinte a cliccare su un link che porta ad una pagina falsa e creata ad hoc per convincere gli utenti a inserire informazioni personali.
Altre campagne invitano a scaricare e installare malware o ramsomware (ovviamente mascherati), fornendo così all'aggressore un profitto molto più immediato.
I dati richiesti e rubati possono essere semplici, come un indirizzo e-mail o una password, ma anche più sensibili. Spesso agli hacker interessano dati finanziari come quelli della carta di credito o le credenziali del proprio account di banking online, ma anche dati strettamente personali come la data di nascita, l'indirizzo e il numero di carta d’identità.
Nelle mani delle persone sbagliate, tutto ciò può essere utilizzato per compiere frodi, furti di identità o acquisti, oltre che per la vendita di informazioni sul deep web.
Purtroppo non sono nemmeno così rari i casi in cui l’attacco viene fatto con lo scopo di mettere in imbarazzo e ricattare la vittima.
Secondo una ricerca di Symantec, quasi una su ogni 2.000 di email contiene un tentativo di phishing.
Chiunque può essere vittima: basta un attimo di distrazione per credere a di avere a che fare con qualcuno di cui ci fidiamo.

Come funziona un attacco di phishing

Di base, un attacco di phishing tenta di indurre l’utente a inserire dati personali o altre informazioni riservate in form fasulle. L’email è il metodo più comune per eseguire questi attacchi, perché il numero di messaggi di posta elettronica inviati è altissimo: si stima che 3,7 miliardi di persone inviino circa 269 miliardi di email ogni giorno.
Molte persone semplicemente non hanno il tempo di analizzare con attenzione ogni messaggio che arriva nella loro casella di posta, e i phisher sfruttano proprio questa “leggerezza”.
La tecnica di phishing più comune è quella che ognuno di noi ha sicuramente sperimentato durante la navigazione in rete: il premio vinto magicamente senza aver partecipato ad alcun concorso.
In questo caso, al fine di avere il “premio”, le vittime sono invitate a inserire dettagli come nome, data di nascita, indirizzo e coordinate bancarie. Ad aver vinto qualcosa sono quindi gli hacker.
Tecniche simili sono utilizzate in altre truffe dove il mittente della mail risulta essere la banca, un ecommerce o un social network. In questi casi nella mail viene richiesto di verificare i dettagli ad un determinato link, e il gioco è fatto (per loro).
Ci sono poi anche truffe più sofisticate, che mirano agli utenti aziendali. Qui gli aggressori potrebbero addirittura fingersi qualcuno all'interno della stessa organizzazione (in questo caso sarebbe bene fare qualche chiamata per sincerarsi della cosa…) e chiedere all'utente di scaricare un allegato. Una volta effettuato il download, il file rilascia un software dannoso sul sistema, colpendo quindi tutta l’azienda.

Come individuare un attacco di phishing

Mentre alcune campagne di phishing sono così sofisticate da far risultare il messaggio totalmente autentico, altre presentano una serie di possibili incongruenze che possono funzionare per noi come spie della poca autenticità del messaggio.

  • Grammatica e ortografia scorrette
    Capita che hacker meno esperti facciano errori basilari nella composizione dei loro messaggi, in particolare quando si parla di grammatica e ortografia.
    È improbabile che messaggi ufficiali di qualsiasi organizzazione o azienda contengano errori di questo tipo.
    In generale, i messaggi scritti male anche a livello di forma e sintassi è più facile che arrivino da malintenzionati piuttosto che dalla vostra banca.
    Gli autori di questi attacchi utilizzano spesso servizi come Google Translate per tradurre il testo dalla propria lingua madre, con scarsi risultati.
  • URL lunghissimi e poco chiari
    È molto comune la presenza di un collegamento su cui cliccare, all’interno delle campagne di phishing.
    L’URL potrebbe avere un aspetto ufficiale, ma analizzarlo qualche secondo in più potrebbe rivelare tutt’altro.
    Posizionando il puntatore su di esso, è probabile si apra una stringa infinita di caratteri poco credibili.
    Gli hacker sperano chiaramente che la vittima non controlli e faccia semplicemente clic.
    Se però la mail è sospetta, controlla che quello linkato sia l'URL corretto e non uno molto simile con qualche variazione.

  • Indirizzo del mittente strano
    Arriva un messaggio che ti avverte di una strana attività all’interno del tuo account e ti sollecita a fare clic sul link fornito per verificare i tuoi dati di accesso e le azioni che hanno avuto luogo.
    Il messaggio sembra legittimo, scritto bene, la formattazione e il logo aziendale sembrano corretti, l’URL nel corpo anche. Ma l'indirizzo del mittente?
    Nella maggior parte dei casi, il phisher non può simulare un vero indirizzo e questo risulta come una strana sequenza di caratteri.
    Un altro trucco consiste nel rendere l'indirizzo del mittente quasi identico alla società.
    Qualche tempo fa era partita un campagna di phishing dove il mittente dichiarava di appartenere al "Team di sicurezza Microsoft" e invitava i clienti a rispondere con i dati personali, per controllare che i loro account non fossero stati violati. Il problema è che non esiste una divisione Microsoft con questo nome.
    Vale quindi la pena fare qualche ricerca online anche sull’indirizzo del mittente, prima di cliccare ad occhi chiusi.

  • Il messaggio sembra troppo bello per essere vero
    “Complimenti! Hai appena vinto la lotteria / biglietti aerei gratuiti / un buono da spendere nel nostro negozio! Ora ci servono tutte le tue informazioni personali, comprese le coordinate bancarie per inviarti il premio.”
    Come spesso accade nella vita, quando qualcosa sembra troppo bello per essere vero, probabilmente lo è.
    Vincere qualcosa in un concorso è già difficile di per sé, senza iscriversi è praticamente impossibile. 

L’evoluzione del phishing

Dalla sua prima comparsa negli anni ’90 ad oggi, il concetto fondamentale del phishing non è cambiato molto. Ci sono stati però ritocchi e sperimentazioni in due decenni, soprattutto per via dell’evoluzione della tecnologia. Molte prime truffe di phishing erano accompagnate da campanelli d’allarme come una strana formattazione, ortografia scorretta, immagini e messaggi a bassa risoluzione che spesso non avevano senso. Tuttavia, agli albori di Internet, le persone conoscevano ancora meno le potenziali minacce e quindi il successo era comunque garantito.
Alcune campagne di phishing rimangono anche oggi davvero facili da individuare (ricordi il principe nigeriano che voleva lasciarti tutta la sua fortuna?), ma altre sono così sofisticate che è praticamente impossibile distinguerle da messaggi autentici.
La posta elettronica non è più però l'unico mezzo per colpire: l'aumento di dispositivi mobili, social media e simili ha fornito agli aggressori una più ampia varietà di canali da utilizzare.
Con ormai miliardi di persone in tutto il mondo che utilizzano social network come Facebook, LinkedIn e Twitter, gli hacker hanno guadagnato un notevole spazio di manovra.

Il futuro del phishing e la sua prevenzione

Il phishing rimane una minaccia molto diffusa per tre ragioni:
  1. È semplice da eseguire
    Le campagne di phishing hanno una basso costo in termini di impegno e anche singoli hacker possono riuscire a guadagnare cifre consistenti grazie a questo metodo.
  2. Funziona
    Su internet ci sono ancora molte persone che non sono a conoscenza dei pericoli online e anche gli utenti più aggiornati possono distrarsi.
  3. È difficile che qualcuno venga scoperto
    Le possibilità che i truffatori vengano catturati sono estremamente basse, quasi nulle.
Per gli addetti ai lavori sembrerà strano che ci siano persone là fuori che cadano così facilmente in messaggi ingannevoli come "Hai vinto la lotteria" o "Siamo la tua banca, per favore inserisci qui i tuoi dettagli".
Nel mondo però ci sono miliardi di persone che non usano regolarmente Internet o sono semplicemente inconsapevoli che qualcuno potrebbe colpirli online.
Per questi motivi, il phishing non andrà mai fuori moda.
L’unico modo per prevenirlo è informarsi e tenere gli occhi bene aperti.
Sergio Marchese

Dalle connessioni analogiche alla fibra, da oltre 20 anni nel mondo IT. Attento al cambiamento, amante della tecnologia e delle sfide, confeziono soluzioni IT per le aziende. Problem solver, preciso e sempre sul pezzo.

Indirizzi e contatti

Via Zucchi, 39/C 20095 Cusano Milanino (MI)
tel: (+39) 0266043166 - fax: (+39) 0266048942
e-mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

SOTEHA S.r.l. Socio Unico
Sede legale: Via Ticino, 6
20095 Cusano Milanino (MI)
CCIAA / R.E.A. Milano 1617965
Capitale sociale € 20.000,00
P.IVA 02967250966 C.F. 02095410649

Partner
Contact & Addresses

Via Zucchi, 39/C 20095 Cusano Milanino (MI)
tel: (+39) 0266043166 - fax: (+39) 0266048942
e-mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

SOTEHA S.r.l. Socio Unico
Sede legale: Via Ticino, 6
20095 Cusano Milanino (MI)
CCIAA / R.E.A. Milano 1617965
Capitale sociale € 20.000,00
P.IVA 02967250966 C.F. 02095410649

Varie
Informativa sulla privacy
Informativa sui cookie
Mappa del sito
Glossario
Partner