Phishing: cosa è, come evitarlo e proteggere i dati

Al momento stai visualizzando Phishing: cosa è, come evitarlo e proteggere i dati

Il phishing è una truffa online che ha lo scopo di rubare i dati personali e di login. Cosa è, come si riconosce, come si proteggono i dati

Phishing: definizione

Il phishing è la minaccia informatica più nota e conosciuta, anche perché è la più frequente. Lo scopo è semplice: indurre la vittima rivelare agli attaccanti informazioni sensibili, dati personali, dati di login, dati finanziari.

La particolarità è che il phishing non prevede attacchi contro i sistemi informatici (server, computer, reti ecc…) ma mira ad “hackerare” l’essere umano. Le tecniche di “hackeraggio” dell’utente, volte a ingannarlo, sono definite “ingegneria sociale”.

Che cosa è l’ingegneria sociale?

Lo scopo dell’ingegneria sociale è quello di convincere una persona a cedere / rivelare dati sensibili e riservati a soggetti non identificati. Ignoti truffatori inviano email o sms oppure effettuano chiamate verso le vittime e utilizzano varie tecniche truffaldine:

  • fingono di appartenere ad una nota azienda, un brand o marchio popolare, attendibile e conosciuto, ovviamente all’insaputa delle vere aziende. In alcuni casi, gli attaccanti allestiscono anche apposite pagine web che emulano quelle legittime;
  • si spacciano per il Governo, un’agenzia governativa, un’autorità: ricevere una comunicazione di questo tipo induce l’utente a rispondere;
  • cercano di diffondere senso di urgenza / paura: gli attaccanti sanno bene che un utente agisce in modo frettoloso e poco attento se spaventato o spinto dalla fretta. Ecco che l’ingegneria sociale fa leva sulla paura, l’urgenza, l’ansia delle persone. Un caso classico? La vittima riceve una email nella quale gli viene comunicato il blocco / l’imminente blocco del conto corrente. L’unica maniera per non vedere bloccato il conto è quello di verificare i dati: se l’utente non riesce a classificare come truffaldina questa comunicazione è molto probabile che, spinto dall’urgenza, risponda a quella email con tutti i dati richiesti dagli attaccanti (che solitamente sono dati personali, password, estremi dei conti correnti, estremi delle carte di credito);
  • fanno leva sul buon cuore / curiosità delle vittime: fanno circolare messaggi apparentemente provenienti da amici o parenti che richiedono soldi per risolvere una qualche difficoltà. Spesso questo tipo di messaggi circola sui social network.

Per approfondire > Uber data breach: come un hacker 18enne ha violato i sistemi del colosso

Phishing: metodi di attacco

Esiste una classificazione di massima delle tipologie di attacchi di phishing. I più comuni sono:

  • Phishing via email:
    la forma più comune, diffusissima, il cui “debutto” risale agli anni 90. Gli attaccanti fanno un invio massimo di email truffaldine verso indirizzi recuperati ovunque nel web. Queste hanno infinite variabili e forme: fino a pochi anni fa erano facilmente riconoscibili perchè riportavano molteplici errori grammaticali e di ortografia. Ormai però il crimine informatico è sempre più organizzato ed è sempre più complesso riconoscere una mail fake da una legittima.
  • Spear phishing:
    Letteralmente “pesca con la fiocina”: infatti se il phishing lancia “nel mucchio”, con la fiocina si può prendere di mira un pesce specifico. Ed è esattamente così che avviene con lo spear phishing. Con questi attacchi, i truffatori prendono di mira un gruppo o individui specifici. Il caso più classico è l’attaccante che si finge il capo di un’azienda, l’amministratore, e “incarica” via email il dipendente che ha accesso ai conti aziendali di eseguire un bonifico “verso un fornitore”. Solitamente questo tipo di attacchi è preceduto da un lavoro di studio della vittima, così da costruire una falsa identità “credibile”.
  • Smishing:
    è l’attacco di phishing che “gira” via SMS. La quasi totalità delle volte il corpo dell’SMS contiene un link che riconduce ad un contenuto dannoso oppure, più raramente, un numero di telefono da richiamare. Il caso classico? L’SMS apparentemente proveniente dall’istituto bancario che afferma che il conto corrente è stato compromesso. L’attaccante chiede di “verificare” una serie di dati per sbloccare il conto e se l’utente li concede… la truffa è riuscita.
  • Vishing:
    è un attacco di phishing, ma vocale. Ecco perché vishing. L’attaccante chiama la vittima e cerca di rubare i dati. Un esempio? L’attaccante si finge il supporto Microsoft e chiama l’azienda vittima specificando di aver rilevato dei virus nella rete aziendale o sul pc. Per “risolvere il problema” il truffatore chiede di installare “l’aggiornamento dell’antivirus” sul computer e fornisce una serie di indicazioni. In questo caso è la vittima stessa che, pur ritenendo di installare un antivirus, sta installando un malware. Alla stessa maniera un attaccante può richiedere dati sensibili.

Per saperne di più > Initial Access Broker: il mercato degli accessi abusivi nel dark web

Come difendersi e proteggere i dati

Difendersi dal phishing è complicato. Perché appunto non attacca le macchine, i computer, ma gli esseri umani. E se un utente ignora gli alert degli antivirus, installa file poco sicuri, disabilita gli strumenti di sicurezza informatica o condivide spontaneamente dati sensibili è difficile prevenire.

Riconoscere un attacco di phishing
passo numero uno è saper riconoscere il pericolo. Verifica il mittente con attenzione: è un indirizzo che già conosci o meno? Contestualizza anche il messaggio ricevuto: lo stavi aspettando? E’ del tutto inatteso? Ha degli allegati strani?

Verifica anche i link che contiene: ha dei link sospetti, che non riconosci? Sai che i link reali possono essere diversi da quelli mostrati? Passa il cursore del mouse sopra il link per leggere l’URL reale. Potresti scoprire che l’URL è molto diverso da quello che vedi.

Anche il tono del messaggio è importante: suscita allarme? Rimanda ad una urgenza? Utilizza un linguaggio forte? Allora diffidane!

Per questo, consigliamo la formazione aziendale specifica, che è anche, non a caso un obbligo previsto dal GDPR. La quasi totalità di questi attacchi infatti finiscono in data breach.

Consigli sparsi per i singoli utenti:

  • non aprire email provenienti da mittenti sconosciuti;
  • non cliccare su link e non scaricare allegati contenuti in email inaspettate o con mittenti non familiari;
  • scorri il cursore del mouse sul link per vedere se quello visualizzato corrisponde a quello reale;
  • proteggi gli account con l’autenticazione a due fattori: anche se un attaccante dovesse estorcerti dei dati, avrà comunque bisogno di un ulteriore fattore di autenticazione per irrompere nei tuoi account;
  • a livello più generale: in aziende è molto utile applicare policy di sicurezza granulari. Ovvero applicando un approccio zero trust.

Per saperne di più > Phishing: cosa è, come evitarlo e proteggere i dati

Strumenti di monitoraggio come il Log Management o il SOC fanno il resto. Proteggi i dati!

SCOPRI I NOSTRI CORSI DI SICUREZZA INFORMATICA