Cos’è il phishing? Tipi di attacchi e dritte per prevenirli.
Il phishing è un attacco informatico che mira a persuadere le potenziali vittime a rivelare informazioni sensibili quali password o numeri della carta di credito. I criminali informatici agiscono facendosi passare per qualcun'altro e sollecitando l’utente con urgenza.
Come funziona il phishing?
Il phishing è un metodo di violazione pericoloso ed efficace. Viene messo in atto dai criminali informatici inviando messaggi a persone o aziende che contengono un link o un allegato dannoso. L’obiettivo è fare in modo che le vittime facciano clic sul link, che scarichino il malware oppure vengano guidate su un sito web fasullo per rubare loro informazioni personali. Gli attacchi di phishing possono essere perpetrati in vari modi, in base al malintenzionato e alle informazioni che vuole procurarsi.
Nel corso degli anni il phishing è diventato molto più sofisticato. Si stima che circa il 32% di tutte le violazioni riguardi il phishing e che circa il 64% delle organizzazioni abbia segnalato tentativi di phishing almeno una volta nella propria storia aziendale.
La sfida posta dal phishing sta nel fatto che può essere difficile da individuare in quanto è un metodo sempre più sofisticato, soprattutto con l’introduzione dell'IA. Potreste avere aperto un’e-mail di phishing senza neanche accorgervene perché i criminali informatici si affidano al social engineering per convincere le vittime ignare ad aprire allegati sospetti.
Tecniche di phishing molto diffuse
Social engineering
Il social engineering è un tipo di attacco che manipola la vittima inducendola ad agire rapidamente con informazioni ingannevoli. Un esempio è fare leva sulla paura che si prova quando si riceve un avviso da parte dell’Agenzia delle entrate. Questo tipo di truffa con phishing è infatti molto diffusa durante il periodo di pagamento delle imposte. Il messaggio di phishing contiene una richiesta urgente che sollecita un'azione da parte della vittima "per non incorrere in sanzioni" affinché fornisca al criminale informatico informazioni sensibili.
Altri esempi più sofisticati includono, per esempio, messaggi fasulli da parte di un collega o di una figura superiore nell’ambiente di lavoro oppure un messaggio contenente la conferma di informazioni del destinatario. Tali esempi possono portare alla compromissione di molti tipi di informazioni.
Link mimicking
Il link mimicking o imitazione del collegamento viene spesso utilizzato insieme al social engineering. Usando, ad esempio, un messaggio-truffa dell'Agenzia delle entrate: la vittima viene indotta a credere che deve del denaro all'ente, quindi fa clic sul link fornito nel messaggio. A prima vista il link sembra legittimo e forse contiene persino l'URL corretto del sito web dell'ente. Una volta però che ci fa clic sopra, l'utente viene reindirizzato verso un sito web fittizio dove si richiedono informazioni personali. Quando la vittima inserisce le proprie informazioni, il criminale informatico saprà di che si tratta, e le potrà utilizzare per i propri scopi malvagi.
Cosa succede quando si fa clic su un link di phishing?
Un link di phishing può reindirizzare la vittima verso un sito web fasullo, farle scaricare un allegato dannoso o installare malware sul dispositivo o nella rete.
Un attacco di phishing potrebbe interrompere l'intera rete informatica di un'azienda dirottandola o sottraendo informazioni. Nel caso di un attacco, può forzare la chiusura dei servizi online dell'azienda per un periodo di tempo indefinito, provocando ingenti perdite a livello economico e ulteriori danni causati dal malware. Inoltre, l'azienda può incorrere in sanzioni normative che possono avere un certo impatto sulla reputazione aziendale in caso di violazione.
Un attacco di phishing è pericoloso anche per la gente comune, in quanto causa perdite finanziarie o porta al furto di identità.
Attacchi di phishing per e-mail
Gli attacchi di phishing per e-mail sono tra gli attacchi più comuni e versatili e spesso anche i più efficaci. Gli attacchi di phishing per e-mail spesso dipendono dal social engineering per riuscire a convincere gli utenti a fare clic sul link dannosi o a scaricare malware.
Tipi di phishing per e-mail
Spear phishing
Un attacco di spear phishing è un attacco di phishing mirato che sfrutta le informazioni personali per infliggere danni massimi. Il malintenzionato conosce già qualche informazione della vittima, come il numero di telefono, l’indirizzo di casa, il nome completo e forse persino il codice fiscale, poi sfrutta le informazioni che conosce per creare allegati truffaldini o link che sembrano legittimi.
Whale phishing
Nel whale phishing l'attacco è simile allo spear phishing, con la sola differenza che l'obiettivo preso di mira è di alto profilo ("whale", cioè un pesce grosso) invece di essere una persona qualunque o la rete di una piccola azienda. Lo scopo è quello di ottenere l'accesso a informazioni di alto livello o potenzialmente riservate oppure a sistemi interni.
Clone phishing
In un attacco di clone phishing, i criminali informatici clonano e reinviano e-mail legittime inserendovi malware o link dannosi nel tentativo di ingannare i destinatari e portarli a farci clic sopra.
Altri tipi di attacchi di phishing
Smishing
Lo smishing è simile al phishing per e-mail, con l’eccezione che viene effettuato con gli SMS. La vittima riceve un messaggio simile a un e-mail di phishing sotto forma di messaggio di testo, con un link da aprire o un allegato da scaricare.
Vishing
Il vishing è un metodo di phishing più sofisticato e a volte più efficace, in quanto vede il coinvolgimento di una persona vera che parla dall’altro capo del telefono. L’obiettivo del malintenzionato è ottenere informazioni, solitamente le informazioni della carta di credito, per un vantaggio finanziario. Le vittime più comuni di questo tipo di attacchi sono le persone anziane.
Social o Angler phishing
L'angler phishing è un attacco in cui l'aggressore si presenta come un normale rappresentante del servizio clienti e convince le vittime a passargli le informazioni personali.
Malvertising
Il malvertising avviene quando i criminali informatici pagano degli inserzionisti legittimi per visualizzare annunci sui propri siti web o sulle proprie pagine dei social. Quando un utente fa clic sull’annuncio pubblicitario dannoso, viene reindirizzato verso siti dannosi in cui scarica il malware sul proprio dispositivo.
Come proteggervi dagli attacchi di phishing
Utilizzare un gestore di password
Un gestore di password può proteggervi dagli attacchi di phishing aiutandovi a creare, gestire e conservare al sicuro le vostre password. I gestori di password come Keeper Password Manager forniscono avvisi integrati sui siti di phishing. se le vostre informazioni di accesso non compaiono sul sito web che state visitando, probabilmente avete aperto il sito sbagliato. inoltre la funzione di generazione delle password vi aiuta a creare password complesse e casuali da usare in sostituzione delle password compromesse limitare la possibilità di furto di credenziali o credential stuffing.
Non fate clic sul link o allegati non richiesti
Se ricevete link o allegati non richiesti attraverso e-mail, messaggi di testo o altre piattaforme di messaggistica, non fateci clic sopra. Tali link e allegati possono contenere malware in grado di sottrarvi informazioni sensibili o utilizzabili per spiarvi.
Se non sapete se un link è sicuro, passate il mouse sopra al link per visualizzarne l’indirizzo completo oppure utilizzate uno strumento come Google Transparency Report.
Fate fare la scansione delle e-mail
Uno scanner di e-mail è uno strumento che scansiona gli allegati delle e-mail alla ricerca di potenziale malware. Investire in uno scanner di e-mail può aiutarvi a proteggervi dagli attacchi di phishing per e-mail.
Come proteggere la vostra azienda dagli attacchi di phishing
Formazione del personale
Formate i vostri dipendenti e informateli sui pericoli del phishing, sui vari tipi di phishing e su come prevenire un attacco. Potete anche eseguire dei test di phishing casuali affinché il vostro team sia sempre in allerta.
Usate un gestore di password per aziende
L’utilizzo di una soluzione di gestione delle password per la vostra azienda assicura che le password della vostra organizzazione siano conservate al sicuro e disponibili soltanto alle persone giuste. Keeper Security, ad esempio, fornisce funzionalità di accesso in base al ruolo e cartelle condivise per limitare la visualizzazione di credenziali e voci a determinate persone. Le nostre solide funzionalità aziendali includono anche l’auditing delle password e la segnalazione, offrendo utili aggiornamenti sulle abitudini con le password da parte del team e facilitando l’applicazione delle regole con le password.
Usate un software antivirus
Il software antivirus individua, isola ed elimina il malware che è stato scaricato sui dispositivi dei dipendenti. Può anche scansionare e-mail, file specifici o percorsi sui dispositivi alla ricerca di malware e altri virus. Esistono tantissimi programmi antivirus gratuiti o di livello aziendale disponibili online.
