Business and Government
Proteggete la vostra organizzazione del settore pubblico o privato.
Inizia la prova gratuitaLa guida definitiva al phishing: individuare il phishing ed evitare le truffe
Fatevi proteggere ora
Il phishing è un pericoloso ed efficace tipo di attacco hacker perpetrato da criminali informatici, non importa se siano dilettanti o con esperienza. Nel corso degli anni il phishing è diventato molto più sofisticato e si stima che circa il 32% di tutte le violazioni è di tipo phishing e che circa il 64% delle organizzazioni segnala di essere stata vittima di tentativi di phishing almeno una volta nella sua storia commerciale.
Il problema del phishing è che può essere difficile da individuare perché i suoi metodi sono diventati più sofisticati. A vostra insaputa potrebbe esservi già capitato di aprire un'e-mail di phishing perché i criminali informatici applicano sempre più il social engineering per convincere le vittime ignare ad aprire allegati sospetti.
Approfondiamo la questione "phishing" e andiamo a scoprire di cosa si tratta, come funziona, che tipo di attacchi sono al momento in circolazione e come proteggere voi e la vostra attività da un attacco. Ecco pronta la guida definitiva al phishing.
Cos'è il phishing?
Per definizione, il phishing è:
"La pratica fraudolenta di inviare e-mail spacciandosi per aziende rispettabili al fine di indurre le persone a rivelare informazioni personali quali password e numeri della carta di credito."
Il phishing è un sofisticato attacco di social engineering atto a indurre la vittima a rivelare volontariamente delle informazioni sensibili e si basa su testi o immagini specifici che si spacciano per legittimi.
Statistiche sul phishing
Diamo un'occhiata più approfondita agli effetti del phishing sulle piccole aziende, sulle grandi corporation e sulla gente comune per meglio comprendere perché sia tanto efficace e utilizzato di frequente dai criminali informatici.
Gli attacchi di phishing sono aumentati notevolmente nel 2020. La pandemia ha creato l'ambiente perfetto, un mix di paura, disinformazione e reti informatiche non protette, che ha fatto schizzare alle stelle il crimine informatico. Circa il 75% delle organizzazioni ha segnalato un attacco di phishing nel 2020.
Il phishing è nella maggior parte dei casi messo in atto tramite pericolosi allegati alle e-mail, spesso mascherati da file PDF o Word.
In media una violazione dei dati costa circa 3,92 milioni di dollari. Si tratta di eventi molto frequenti: negli Stati Uniti si registra un attacco ogni 40 secondi, a indicare quanto questo paese sia vittima in modo sproporzionato delle violazioni dei dati.
Nemmeno le aziende più grandi sono completamente al sicuro dal phishing: giganti come Facebook e Google hanno subito attacchi di phishing massicci in tempi recenti, per danni che si aggirano intorno ai 100 milioni di dollari.
Come funziona il phishing?
Gli attacchi di phishing possono essere messi in atto in vari modi, in base all'aggressore e alle informazioni che intende sottrarre.
Tecniche di phishing
Social Engineering Un attacco di social engineering induce la vittima ad agire rapidamente usando informazioni ingannevoli. Un esempio è quello di puntare sulla paura che l'ente di riscossione delle tasse nazionale esercita sulle persone quando vuole aprire un contenzioso nei confronti della vittima. Un messaggio di testo con una richiesta urgente ("Agisci subito altrimenti l'Agenzia delle entrate ti infliggerà una sanzione") induce la vittima verso un sito o un numero di telefono pericoloso. Altri esempi più sofisticati includono messaggi-truffa provenienti da un collega/direttore o messaggi contenenti informazioni confermate sul destinatario. Tutti questi esempi possono portare alla compromissione di tutta una serie di informazioni.
Link mimicking Il Link mimicking o imitazione del collegamento viene spesso utilizzato insieme al social engineering. Usando, ad esempio, un messaggio-truffa dell'Agenzia delle entrate: la vittima viene indotta a credere che deve del denaro all'ente, quindi fa clic sul link fornito nel messaggio. A prima vista il link sembra legittimo e forse contiene persino l'URL corretto del sito web dell'agenzia. Una volta però che ci fa clic sopra, l'utente viene reindirizzato verso un sito web fittizio dove si richiedono informazioni personali. Tali attacchi sono spesso messi in atto nei confronti di persone anziane o che hanno poca dimestichezza con le tecnologie.
Cosa succede quando si fa clic su un link di phishing
Un link di phishing può reindirizzare la vittima verso un sito web fittizio, far scaricare un allegato o installare malware/virus sul dispositivo o nella rete.
Un attacco di phishing potrebbe interrompere l'intera rete informatica di un'azienda dirottandola o sottraendo informazioni. Nel caso di un attacco, può forzare la chiusura dei servizi online dell'azienda per un periodo di tempo indefinito, provocando ingenti perdite a livello economico e ulteriori danni causati dal malware. Inoltre, l'azienda può incorrere in sanzioni normative che possono avere un certo impatto sulla reputazione aziendale in caso di violazione.
Un attacco di phishing risulta pericoloso anche per la gente comune, perché causa danni o il furto delle loro identità.
Esempi di phishing
Pharming
Il pharming è un attacco informatico in cui l'intero flusso di traffico di un sito web viene reindirizzato verso un altro sito web pericoloso. Da qui i criminali possono rubare informazioni e indurre gli utenti a cedere credenziali o a scaricare malware.
Violazione dei dati
Una violazione dei dati avviene quando le informazioni personali o aziendali sensibili vengono rese pubbliche attraverso un ingresso non autorizzato in un sistema o in un'applicazione. Tra le informazioni rese visibili ci sono numeri della carta di credito, indirizzi, numeri di previdenza sociale, numeri di avviamento bancario e molte altre informazioni. Finora la violazione dei dati più consistente è avvenuta nel 2020 sul sito per adulti “CAM4”, che ha reso visibile un numero esorbitante di documenti ben 10 miliardi.
Furto delle credenziali
Il furto delle credenziali avviene quando un criminale informatico ottiene le informazioni di accesso dalla vittima tramite un attacco di phishing. Le credenziali di accesso possono essere facilmente compromesse, in particolare quando quasi il 65% delle persone riutilizza le password. Alcune vittime non sanno nemmeno che le loro credenziali sono state compromesse finché si verificano danni economici o personali.
Infiltrazione di malware
Il malware è un software dannoso che, una volta scaricato o installato, crea dei punti di ingresso o sottrae informazioni. Ecco alcuni tipi diffusi di malware che potrebbero essere utilizzati da chi mette in atto attacchi di phishing per infiltrarsi nel vostro sistema:
Keylogger
I keylogger sono un tipo di malware che monitora i tasti premuti sulla tastiera per consentire ai criminali informatici di indovinare le password e altre informazioni di accesso.
Virus
I virus sono entità dannose che vengono copiate nel sistema di un utente per infettare determinati file. Tali infezioni possono essere utilizzate per sottrarre informazioni personali da tali file, ma richiedono la condivisione per poter infettare altri computer.
Ransomware
Il ransomware blocca l'accesso agli utenti ai loro sistemi fino a quando non pagano un riscatto. Il pagamento del riscatto è spesso richiesto in criptovaluta per mantenere l'anonimato. È diventata una questione di enorme importanza tra le agenzie governative e gli istituti accademici e di formazione in generale. La cosa davvero interessante è che questo tipo di malware sta persino conquistando grande spazio nell'ambito delle criptovalute, dove gli utenti non possono accedere a borse o portafogli digitali fino a quando non pagano un riscatto.
Worm
I worm sono simili ai virus in quanto infettano i file dei computer per eseguire azioni dannose, ma la differenza sta nel fatto che non richiedono un "organismo" ospite/una vittima per auto-replicarsi. Ciò significa che i worm possono operare indipendentemente dall'utente. Non c'è limite al numero di file che possono infettare e possono spingersi fino ad accedere alla vostra rubrica degli indirizzi e-mail.
Trojan
Il cavallo di Troia o trojan horse è un programma dannoso mascherato da software legittimo. Una volta scaricato, questo programma apre delle backdoor o "porte sul retro" all'interno del vostro sistema che consentono agli aggressori di rubare informazioni o persino di usare il vostro computer, ad esempio, in attacchi di tipo DDoS (Distributed Denial of Service). Tali attacchi possono essere utilizzati per sovraccaricare i server e mettere in atto attacchi separati su altri sistemi.
Attacchi di phishing per e-mail
Gli attacchi di phishing per e-mail sono tra quelli più diffusi e versatili e spesso anche tra i più efficaci. Tali attacchi si basano molte volte sul social engineering per indurre gli utenti a fare clic su link pericolosi o a scaricare del malware.
Tipi di phishing per e-mail
Il phishing per e-mail avviene sotto varie forme e ognuna di queste ha degli utilizzi particolari:
Spear phishing
Lo spear phishing è un tipo di attacco che si basa sulle informazioni personali per infliggere il massimo dei danni. L'aggressore conosce già alcune informazioni della vittima, come il numero di telefono, l'indirizzo, il nome completo e persino il codice fiscale. Facendo leva su questi dati, l'aggressore crea degli allegati o dei link truffaldini nelle e-mail che però sembrano legittimi.
Whaling phishing
Nel whaling phishing l'attacco è simile allo spear phishing, con la sola differenza che l'obiettivo preso di mira è di alto profilo ("whale", cioè un pesce grosso) invece di essere una persona qualunque o la rete di una piccola azienda. Lo scopo è quello di ottenere l'accesso a informazioni di alto livello o potenzialmente riservate.
Clone phishing
I criminali informatici clonano e reinviano e-mail legittime che invece contengono malware o link dannosi nel tentativo di ingannare il destinatario.
Esempi di e-mail di phishing sui giornali
Negli ultimi anni le e-mail di phishing hanno fatto scalpore sui giornali. Eccone alcuni esempi:
False e-mail sul COVID-19
Questo attacco si è diffuso fin dallo scoppio della pandemia da COVID-19, nel marzo 2020. Le e-mail truffaldine hanno indotto gli utenti a fare clic su link dannosi che promettevano informazioni sui vaccini o sulle ultime statistiche riguardanti la pandemia, danneggiando le persone più anziane e quelle meno informate sul virus.
E-mail fraudolente dall'Agenzia delle entrate
Uno degli attacchi più frequenti con le e-mail di phishing fa leva sul potere dell'Agenzia delle entrate di incutere paura nelle vittime. L'e-mail, avvalendosi solitamente di un linguaggio aggressivo, comunica alla vittima che l'ente è in procinto di avviare un'azione legale nei suoi confronti per imposte non pagate e offre un link per "pagare subito". È aumentato anche il numero di truffe legate all'erogazione di rimborsi e sostegni per COVID-19.
Altri tipi di attacchi di phishing
Negli ultimi anni le e-mail di phishing hanno fatto scalpore sui giornali. Eccone alcuni esempi:
Smishing
Lo smishing è simile al phishing perpetrato per e-mail, solo che avviene tramite gli SMS. La vittima riceve un SMS contenente un testo simile a quello di un'e-mail di phishing insieme a un link da aprire o un allegato da scaricare.
Social o Angler phishing
L'angler phishing è un attacco in cui l'aggressore si presenta come un normale rappresentante del servizio clienti e convince le vittime a passargli le informazioni personali.
Vishing
Il vishing è un tipo di phishing più sofisticato e a volte più efficace, perché c'è proprio una persona reale che parla all'altro capo del telefono. In tempi recenti sono stati scoperti in India diversi call center che mettevano in atto il vishing, con danni che hanno raggiunto circa 14 milioni di dollari.
Malvertising
Gli aggressori pagano i normali inserzionisti affinché facciano visualizzare degli annunci sui loro siti web o sulle pagine dei social, inducendo le vittime a fare clic sui link e ad aprire siti dannosi dove verrà scaricato del malware sui loro dispositivi.
Come proteggersi dagli attacchi di phishing
Proteggere voi e la vostra attività dagli attacchi di phishing può fare la differenza tra perdite finanziarie e un miglior livello di sicurezza informatica in generale. Ecco alcuni utili consigli per proteggervi da questi attacchi informatici molto diffusi ed efficaci.
Consigli per privati
- Non fate clic su link che non aspettate. Se non aspettavate un'e-mail o un messaggio promozionale, non fateci clic sopra né scaricate alcun file.
- Non scaricate file che non conoscete. Se un'offerta sembra troppo allettante per essere vera, forse è una truffa.
- Usate un programma di scansionamento delle e-mail per rilevare allegati o messaggi che potrebbero contenere malware.
- Usate un gestore di password per conservare e gestire in tutta sicurezza le vostre password. Gestori di password come Keeper offrono una funzione di avvertimento integrata quando visitate un sito di phishing. Se le informazioni di accesso salvate non vengono visualizzate sul sito web che avete aperto, è probabile che il sito aperto sia quello sbagliato. Inoltre, la funzione di generazione di password integrata vi aiuta a creare password complesse e casuali che vadano a sostituire quelle compromesse, limitando la possibilità che avvenga un furto di credenziali.
Consigli per aziende
- Formazione dei dipendenti: istruite i vostri dipendenti sui pericoli del phishing, sui vari tipi di phishing e sulle modalità di prevenzione degli attacchi. Potete anche eseguire dei test di phishing a caso affinché il vostro team rimanga sempre all'erta.
- Usate una piattaforma per la gestione delle password aziendali: l'utilizzo di una piattaforma di gestione delle password per la vostra azienda garantisce che le password aziendali siano conservate al sicuro e disponibili soltanto alle persone adatte. Keeper, ad esempio, offre particolari funzionalità di accesso in base al ruolo e cartelle condivise per limitare la visualizzazione di credenziali e documenti specifici. Tra le nostre solide funzionalità per aziende trovate anche la verifica delle password e la segnalazione, che offrono utili aggiornamenti sulle pratiche di utilizzo delle password da parte del team e facilitano l'implementazione di regole per le password.
- Usate un software antivirus: il software antivirus può spesso rilevare e isolare o anche eliminare il malware che è stato scaricato sui dispositivi dei dipendenti. Può anche scansionare e-mail, file particolari o percorsi sui dispositivi alla ricerca di malware e altri virus. Online ci sono tantissimi programmi antivirus disponibili gratuitamente e destinati alle aziende.
Keeper protegge voi, la vostra famiglia e la vostra azienda dagli attacchi di phishing.
Fatevi proteggere ora
