Uno degli attacchi più diffusi, più conosciuti, ma ancora oggi con un elevatissimo indice di successo: stiamo parlando del Phishing. Già dall’etimologia possiamo intuire la natura di questo attacco, il cui obiettivo è quello fare “abboccare” le vittime a un’esca, col fine d’indurla a fornire informazioni personali o riservate, credenziali finanziarie, codice di accesso o in generale azioni funzionali al criminale.
Il phishing è dunque in sostanza un tipo di truffa effettuata principalmente attraverso internet e mezzi di comunicazione digitale, che vede un malintenzionato fingersi un ente o una persona affidabile al fine d’ingannare e trarre beneficio dalla vittima arrecandole danno.
Almeno una volta all’anno ognuno di noi è il target di una campagna phishing, che si tratti di un SMS “Attenzione, il tuo pacco è stato bloccato” o di una mail “Tra pochi giorni il tuo account verrà sospeso”. Fortunatamente non tutti ci cascano, anche perché la grande maggioranza di attacchi sono generici e non profilati, ma alle volte, come nel caso di un attacco di Social Engineering che sfrutta la tecnica del Phishing, gli attacchi sono personalizzati e quindi più pericolosi.
Phishing & Smishing
Nella maggior parte dei casi la truffa è perpetrata via mail o SMS (smishing) che imitano come dicevamo mittenti conosciuti, come per esempio la banca, le poste, amazon, e attraverso dei pretesti verosimili invitano a scaricare degli allegati corrotti, a cliccare su link o fornire le credenziali di accesso di determinati siti e applicazioni. In molti casi i cyber criminali creano dei siti clone che replicano molto fedelmente i siti originali, la vittima che clicca sul link si trova a visitare uno di questi siti fake e a inserire le proprie credenziali consegnandole direttamente al criminale!
Una delle campagne phishing più diffuse e che ha mietuto più vittime è stata una campagna che aveva come mittente l’INPS e con il pretesto di un rimborso per l’utente invitava a scaricare un allegato corrotto. Questo ci fa capire le leve psicologiche che usano queste campagne, se da un lato è la paura “attenzione il tuo pacco è stato bloccato” dall’altra è la ricompensa “Hai diritto a un rimborso”. Più l’utente diventa consapevole e informato più le campagne diventano sottili, se ci pensate tempo fa erano molto più generiche, come “hai vinto un iphone” o “il tuo computer è stato infettato”.
Il phishing però non è solo una minaccia per l’individuo, ma anche per le aziende. Cosa succede se l’allegato email viene scaricato sul computer aziendale? Se le credenziali o le informazioni che il dipendente condivide riguardano l’azienda?
Uno degli attacchi phishing più pericoloso per esempio è il BEC, business email compromise, o CEO Fraud, che consiste nel fingersi un dirigente attraverso l’appropriazione della corrispettiva email e portare avanti trattative fraudolente.
Vishing & Spear Phishing
Una capagna phishing può essere addirittura eseguita via telefono, in questo caso parliamo di Vishing, ovvero Il voice phishing, ed è attuata attraverso la contraffazione di una voce conosciuta, che può essere quella di un collega, di un dirigente aziendale, un consulente bancario o addirittura il vostro medico. I cybercriminali riescono a contraffarre anche il numero di telefono, in modo da rendere la conversazione ancora più verosimile.
Il nostro consiglio, come sempre, è quello di non dare informazioni riservate e sensibili via telefono. Il Vishing viene attuato attraverso la creazione di Deep Fake, ovvero dei falsi audio molto realistici che possono essere acquistati per pochi dollari nel dark web.
Potrebbe sembrare impossibile, ma sono parecchie le aziende che hanno subito ingenti perdite di denaro a causa di un attacco di questo tipo, il caso più famoso è stato riportato dal Wall Street Journal e riguarda un’azienda energetica britannica, il cui CEO si è fatto truffare per ben 243mila dollari dopo avere ricevuto una chiamata da un superiore dell’head quarter tedesco dell’azienda.
In questi casi nello specifico parliamo di spear-phishing, perché I criminali prendono di mira specifici individui o categorie ristrette di persone, come i dipendenti di una organizzazione, o una unità aziendale.
Come proteggersi?
Dopo questa panoramica passiamo a dei consigli più pratici, come proteggersi?
- controllate sempre il mittente delle mail, spesso le mail phishing contengono errori grammaticali o numeri
- controllate che il sito web abbia il certificato https attivo
- non condividete mai per telefono le vostre credenziali, nessun istituto o ente vi chiederà mai di condividerle
- ultimo ma non meno importante diffidate da toni allarmistici o da sorprese e regali inaspettati
Cybersecurity
Non rimanere un bersaglio facile. Scopri di più sui nostri servizi di cybersecurity.
Approfondisci