Phishing (Attacco Phishing)

Affidabilità

Cosa significa Phishing?

Il phishing è un exploit di sicurezza in cui un malintenzionato si finge un’azienda legittima o una persona rispettabile per acquisire informazioni private e sensibili come numeri di carte di credito, numeri di identificazione personale (PIN) e password.

Il phishing si basa sull’inganno tecnico, nonché su tattiche di social engineering volte a manipolare la vittima affinché compia un’azione specifica per conto dell’aggressore, come cliccare su un link dannoso, scaricare e/o aprire un allegato e-mail malevolo o divulgare informazioni che l’aggressore potrà utilizzare in un attacco futuro.

Secondo un progetto congiunto gestito dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, il 90% di tutti i cyberattacchi inizia con il phishing. Una delle ragioni principali alla base della prevalenza degli attacchi di phishing è la versatilità del vettore di attacco e l’elevato ritorno sull’investimento per i criminali informatici.

Per mitigare i rischi associati al phishing, i singoli e le organizzazioni devono dare priorità all’educazione e alla consapevolezza del phishing, implementare un robusto filtraggio delle e-mail, prendere in considerazione l’utilizzo di servizi cloud anti-phishing e seguire le best practice per un comportamento online sicuro.

Come funziona il phishing: Indicatori di attacco di phishing

In un tentativo di phishing riuscito, uno degli obiettivi principali del truffatore è quello di ottenere la fiducia della vittima. Per raggiungere questo obiettivo, i truffatori utilizzano tattiche sia tecniche che psicologiche per far apparire credibile e legittima la comunicazione con le potenziali vittime.

Per proteggersi dalle truffe di phishing, è importante che le persone conoscano gli indicatori di un attacco di phishing nelle e-mail, nella voce e nei messaggi di testo. È importante diffidare dei messaggi che richiedono dati personali come credenziali di accesso, numeri di carte di credito o codice fiscale. Uno dei maggiori segnali rivelatori è il fatto che la comunicazione non è stata richiesta dall’utente, sono richieste informazioni sensibili o chiede alla vittima di verificare informazioni sensibili. Le organizzazioni legittime in genere non fanno tali richieste tramite e-mail, messaggi di testo o vocali.

Se le informazioni di contatto del mittente non corrispondono esattamente a quelle che ci si aspetterebbe dalla fonte legittima, questo è un altro segno che la comunicazione non richiesta potrebbe essere un tentativo di phishing. I phisher spesso utilizzano indirizzi e-mail ingannevoli che assomigliano molto a quelli ufficiali e numeri di telefono che non contengono il prefisso dell’entità reale.

Alcuni phisher, tuttavia, utilizzano account e-mail o numeri di telefono legittimi, rubati per condurre i loro attacchi. Questo può rendere più difficile individuare le discrepanze nelle informazioni di contatto.

Per questo motivo, nel valutare l’autenticità di una comunicazione, occorre prendere in considerazione anche altri fattori, come il contenuto del messaggio, l’aspetto e il contesto generale della richiesta. Qualsiasi comunicazione non richiesta che chieda la verifica di informazioni sensibili deve essere considerata come un possibile tentativo di phishing.

Tipi ed esempi di phishing

Gli attacchi di phishing possono essere adattati per soddisfare le esigenze di diversi tipi di obiettivo. È questa versatilità che consente ai criminali informatici di scegliere il mezzo di comunicazione più adatto al loro pubblico e di gettare una rete ampia per aumentare la possibilità di trovare un bersaglio vulnerabile, oppure una rete stretta per catturare una vittima specifica.

I tipi più diffusi di exploit di phishing includono:

9 different types of phishing attack

Email Phishing

Questo è il tipo più comune di attacco di phishing. L’aggressore invia un’e-mail che sembra provenire da una fonte legittima, come una banca, una società di carte di credito o un’agenzia governativa. L’e-mail spesso contiene un link che, una volta cliccato, porta la vittima su un sito web falso che assomiglia al sito reale. Una volta che la vittima inserisce le proprie credenziali di accesso o altre informazioni sensibili sul sito web falso, i truffatori possono rubarle.

I chatbot che utilizzano l’AI generativa hanno reso più facile che mai per i phisher creare comunicazioni e-mail che sembrano provenire da una fonte legittima.

Ecco alcuni esempi di truffe di phishing via e-mail:

  • Truffa della fattura: Il truffatore invia un’e-mail che sembra provenire da un’azienda legittima, come una società di servizi o una società di carte di credito. L’e-mail dice che la vittima ha una fattura non pagata e le chiede di cliccare su un link per pagarla. Il link porta la vittima su un sito web falso che sembra un sito web reale. Una volta che la vittima inserisce i suoi dati di pagamento sul sito web falso, i truffatori ne entrano in possesso.
  • Truffa del password reset: Il truffatore invia un’e-mail che sembra provenire da un’azienda legittima, come una banca o un sito web di social media. L’e-mail dice che la password della vittima è stata reimpostata e le chiede di cliccare su un link per cambiarla. Il link porta la vittima a un sito web falso che sembra un sito web reale. Una volta che la vittima inserisce la vecchia password sul sito web falso, i truffatori hanno accesso all’account.
  • Truffa dell’assistenza tecnica: Il truffatore invia un’e-mail che sembra provenire da un’azienda di assistenza tecnica legittima. L’e-mail dice che il computer della vittima ha un problema e le chiede di chiamare un certo numero per ricevere aiuto. Quando la vittima chiama il numero, viene collegata a un truffatore che cercherà di convincerla a concederle l’accesso remoto al suo computer. Una volta che il truffatore ha accesso remoto al computer della vittima, può rubare tutte le sue informazioni personali o installare uno spyware o un malware.
phishing esempio
Tentativo di phishing dove il truffatore si spaccia per Poste Italiane

Spear Phishing

Si tratta di un tipo di attacco di phishing più mirato, in cui l’aggressore crea una comunicazione specifica per la vittima. Ad esempio, l’e-mail dell’aggressore potrebbe riguardare un argomento per il quale la vittima ha mostrato interesse in precedenza, perché è rilevante per il suo lavoro. Quando l’intelligenza artificiale (AI) e il machine learning (ML) vengono utilizzati per la personalizzazione, è più probabile che l’e-mail venga aperta e che la vittima cada più facilmente nella truffa.

Ecco alcuni esempi di truffe di spear phishing:

  • Truffa via e-mail mirata: Il truffatore invia un’e-mail specificamente mirata alla vittima. L’e-mail può menzionare il nome della vittima, la sua azienda o altre informazioni personali. La personalizzazione rende più probabile l’apertura dell’e-mail e la vittima è più propensa a cadere nella truffa.
  • Truffa BEC (Business email compromise): Il truffatore invia un’e-mail che sembra provenire da un partner commerciale legittimo, come un fornitore o un cliente. L’e-mail può chiedere alla vittima di effettuare un pagamento o di cambiare la password. Il truffatore spesso trasmette un senso di urgenza per spingere la vittima ad agire rapidamente.
  • Truffa con appello all’autorità: Il truffatore invia un’e-mail che sembra provenire da un dirigente di alto livello di cui la vittima probabilmente conosce il nome. L’e-mail chiede alla vittima di effettuare un bonifico su un conto specifico, di solito all’estero. Il truffatore spesso trasmette un senso di urgenza per spingere la vittima ad agire rapidamente.

Whaling

Questo tipo di attacco di spear phishing cerca di sfruttare un “pesce molto grosso”, come il Chief Financial Officer (CFO) di una grande azienda o un altro dirigente di livello C.

Ecco alcuni esempi di truffe whaling:

  • Frode del CEO: Il truffatore invia un’e-mail al Vicepresidente delle settore Finanze che sembra provenire dall’Amministratore Delegato dell’azienda. L’e-mail esorta la potenziale vittima a intraprendere immediatamente un’azione specifica per conto del truffatore, che alla fine risulterà in una perdita finanziaria o nella divulgazione non autorizzata di informazioni sensibili.
  • Impersonificazione di un fornitore: Il truffatore invia un’e-mail al Vicepresidente degli Approvvigionamenti che sembra provenire da una persona con cui l’azienda della vittima fa affari. L’e-mail fasulla chiede alla vittima di autorizzare il pagamento di una fattura presumibilmente “scaduta” o di cambiare l’indirizzo di consegna per un ordine di grandi dimensioni.
  • Truffa interna ai dipendenti: Il truffatore prende di mira il Vicepresidente delle Vendite e invia un’e-mail per indurlo a compiere un’azione specifica che darà all’aggressore l’accesso a informazioni sensibili dei registri dei clienti.

Smishing

Questo tipo di phishing utilizza i messaggi di testo SMS per comunicare con l’obiettivo. I messaggi di testo contengono spesso un link che, una volta cliccato, porta la vittima a un sito web falso o le chiede di fornire informazioni sensibili.

Ecco alcuni esempi di truffe di smishing:

  • Truffa della consegna dei pacchi: Il truffatore invia un messaggio di testo che sembra provenire da una società di spedizioni, come UPS o DHL. Il messaggio dice che la vittima ha un pacco in arrivo e le chiede di cliccare su un link per tracciarlo. Il link porta la vittima a un sito web falso che sembra un vero sito web di una società di spedizioni. Una volta che la vittima inserisce i suoi dati personali sul sito web falso, i truffatori possono rubarli.
  • Truffa bancaria: Il truffatore invia un messaggio di testo che sembra provenire da una banca, come Banca Intesa, o di un servizio come PostePay. Il messaggio dice che il conto della vittima è stato compromesso e le chiede di cliccare su un link per verificare le sue informazioni. Il link porta la vittima a un sito web falso che assomiglia al vero sito web della banca. Una volta che la vittima inserisce le proprie credenziali di accesso sul sito web falso, i truffatori possono svuotare il conto corrente.
  • Truffa del password reset: Il truffatore invia un messaggio di testo che sembra provenire da un’azienda famosa come Amazon o Facebook. Il messaggio dice che la password della vittima è stata compromessa e le chiede di cliccare su un link per cambiarla. Il link porta la vittima a un sito web falso che sembra un sito web reale. Una volta che la vittima inserisce la sua vecchia password per cambiarla con una nuova, i truffatori possono rubarla.
SMS di phishing mascherato da PostePay

Vishing

Questo tipo di exploit di phishing viene condotto per telefono. L’aggressore utilizza la propria voce, o una voce generata dall’intelligenza artificiale, per impersonare un rappresentante di un’azienda o organizzazione legittima.

Ecco alcuni esempi di truffe di vishing:

  • Truffa dell’assistenza tecnica: Il truffatore chiama la vittima e afferma di provenire da un’azienda di assistenza tecnica legittima. Informa la vittima che il suo computer ha un problema e chiede il permesso di accedere al computer da remoto. Una volta ottenuto l’accesso remoto al computer della vittima, il truffatore può rubare le informazioni personali o installare un virus o un malware.
  • Impersonificazione del governo: Il truffatore chiama la vittima e afferma di provenire da un’agenzia governativa, come l’Agenzia delle Entrate (ADE). Informerà la vittima che deve del denaro e le chiederà di pagarlo al telefono. In questo tipo di attacco phishing, il truffatore può usare toni leggermente minacciosi o fare delle velate intimidazioni per spingere la vittima a pagare.
  • Truffa delle lotterie: Il truffatore chiama la vittima e la informa che ha vinto un premio in un concorso o in una lotteria. Chiederà alla vittima di fornire informazioni personali, come il codice fiscale o il numero di conto bancario, per poter ricevere il premio. Il truffatore utilizzerà poi le informazioni della vittima per rubare denaro o per compiere un furto d’identità.

Crypto Phishing

Questo tipo di truffa prende di mira gli investitori e i trader di criptovalute. I truffatori inviano e-mail o sms che sembrano provenire da una fonte legittima, come uno dei migliori exchange crypto o un fornitore di wallet. Le e-mail o i messaggi spesso contengono un link che, una volta cliccato, porta la vittima su un sito web falso che assomiglia al sito reale. Quando la vittima inserisce le proprie credenziali di accesso o altre informazioni sensibili sul sito web falso, i truffatori possono rubare tutte le criptovalute sul conto.

Ecco alcuni esempi di truffe di crypto phishing:

  • Truffa dell’avviso di sicurezza: Il truffatore invia un’e-mail che sembra provenire da un exchange di criptovalute, avvertendo la vittima che il suo conto è stato compromesso. L’e-mail chiede alla vittima di cliccare su un link per verificare il suo conto. Il link porta la vittima su un sito web falso che assomiglia al vero sito web. Una volta che la vittima inserisce le proprie credenziali di accesso sul sito web falso, i truffatori possono rubarle.
  • Truffa del giveaway: Il truffatore invia un messaggio sui social media che sembra provenire da una celebrità o da un influencer. Il messaggio chiede alla vittima di inviare criptovalute a un certo indirizzo per partecipare a un airdrop crypto o a un giveaway di criptovalute. L’indirizzo appartiene al truffatore e le criptovalute inviate dalla vittima verranno rubate.
  • Truffa del sito web contraffatto: Il truffatore crea un falso sito web di criptovalute che assomiglia a un exchange o a un fornitore di wallet legittimo. Il truffatore pubblicizza poi il sito web falso sui social media o su altre piattaforme online. Quando le vittime visitano il sito web falso e inseriscono le loro credenziali di accesso, i truffatori possono rubarle.

Watering Hole Attacks

Questo tipo di truffa di phishing prende di mira i siti web che i professionisti di un settore o di un segmento di mercato specifico probabilmente visitano spesso.

Ecco alcuni esempi di truffe “watering hole”:

  • Truffa del forum della community: Il truffatore compromette un forum specifico di un settore o un sito web della community che i professionisti di un determinato settore visitano spesso. Quando le persone prese di mira visitano il forum, i loro dispositivi vengono infettati da un malware, oppure vengono indirizzati a una pagina di login falsa che raccoglierà le loro credenziali.
  • Truffa del portale per i dipendenti: Il truffatore prende di mira un portale di benefit per i dipendenti o un sito intranet a cui i dipendenti accedono spesso per gestire i loro benefit, visualizzare le buste paga o accedere alle risorse aziendali. Compromettendo questo portale, l’aggressore può potenzialmente rubare le credenziali di accesso e le informazioni personali dei dipendenti o addirittura iniettare malware nei loro dispositivi. Queste informazioni possono essere utilizzate per lo spionaggio aziendale o per ulteriori attacchi all’interno della rete dell’organizzazione.
  • Truffa VPN malevola: L’aggressore crea un sito web falso che offre accesso gratuito a una rete VPN. Le persone che si iscrivono per utilizzare le reti private virtuali fasulle rischiano di vedersi rubare i dati della carta di credito, foto e video privati e di registrare le conversazioni personali che verranno inviate al server dell’aggressore.

Malvertisement

Questo tipo di attacco di phishing inserisce annunci malevoli su siti web legittimi. Quando le vittime cliccano sugli annunci, vengono portate su un sito web falso che le infetterà con un malware.

Ecco alcuni esempi di truffe di malvertising:

  • Truffa del download drive-by: Questo tipo di truffa si verifica quando il malware viene installato automaticamente sul computer dell’utente quando visita un sito web che è stato infettato con un codice maligno. Il malware può essere utilizzato per rubare informazioni personali, installare altri malware o prendere il controllo del computer.
  • Truffa degli annunci pop-up: Questo tipo di truffa prevede la visualizzazione di annunci pop-up indesiderati sul computer dell’utente. Gli annunci possono contenere codice maligno per dirottare il browser della vittima o consentire all’aggressore di muoversi lateralmente nella rete della vittima e cercare altre vulnerabilità da sfruttare.
  • Truffa del clickjacking: Questo tipo di truffa consiste nell’ingannare l’utente e indurlo a cliccare su un link dannoso o su un pulsante del sito web. Il link o il pulsante può sembrare legittimo, ma in realtà è progettato per installare malware o rubare informazioni personali.

Angler Phishing

Questo tipo di attacco di phishing utilizza siti web di social media come Facebook e TikTok come vettore di attacco. L’aggressore crea account falsi sui social media per interagire con gli utenti reali sulle piattaforme e guadagnare la loro fiducia. Alla fine, l’aggressore invia un messaggio diretto (DM) o pubblica qualcosa sul sito che contiene un link a un sito web di phishing.

Esempi di truffe di Angler phishing sono:

  • Reclami sui social media: In questa truffa, l’aggressore crea un falso account sui social media che sembra un account legittimo del servizio clienti di un’azienda reale. Poi raggiunge le persone che hanno pubblicato reclami sull’azienda tramite le loro pagine ufficiali sui social media e si offre di “aiutarle” a risolvere i loro problemi. L’aggressore poi reindirizza la vittima a un sito web di phishing che chiede l’indirizzo e-mail, il numero di telefono o altre informazioni personali che l’aggressore può utilizzare per rubare l’identità della vittima.
  • Truffa della pagina della community: In questa truffa, l’aggressore crea una falsa pagina di comunità che richiede informazioni personali come nome, indirizzo o numero di telefono prima di poter accedere. Una volta che il truffatore ha raccolto le informazioni della vittima, può utilizzarle insieme ad altre informazioni per commettere frodi o furti di identità.
  • Truffa dei rimborsi: In questa truffa, l’aggressore invia un’e-mail o un messaggio di testo che sembra provenire da un’azienda legittima, come una banca o una società di carte di credito. L’e-mail o il messaggio di testo dirà che alla vittima è dovuto un rimborso e le fornirà un link per richiederlo. Il link porterà la vittima a un sito web falso che assomiglia al sito web dell’azienda legittima. Una volta che la vittima inserisce i suoi dati personali sul sito web falso, l’aggressore può rubarli.

Strategie psicologiche utilizzate nel phishing

Le strategie di phishing per convincere la vittima a compiere un’azione specifica per conto dell’aggressore sfruttano spesso la psicologia umana. Mascherandosi da entità fidate, creando un senso di urgenza o facendo appello al desiderio delle vittime di aiutare o di far parte di un gruppo, un aggressore può sollecitare risposte impulsive.

Sebbene le tattiche come lo spoofing delle e-mail, l’imitazione dei domini o l’invio di malware siano componenti fondamentali, è la manipolazione psicologica che spesso determina il successo. Ironicamente, la maggior parte delle strategie utilizzate dai phisher sono tecniche di marketing ben note.

Le strategie psicologiche utilizzate per portare a termine attacchi di successo includono:

  • Creare un senso di urgenza: I phisher spesso progettano la loro comunicazione in modo che trasmetta un senso di urgenza. Le persone tendono a dare priorità alle questioni urgenti e sono più propense ad agire impulsivamente quando percepiscono una minaccia sensibile al tempo.
  • Istillare la paura: La comunicazione dell’aggressore afferma che l’account della vittima sarà sospeso o che saranno intraprese azioni legali se non agisce immediatamente. Le persone timorose saranno così più propense a reagire in modo impulsivo.
  • Stimolare la curiosità: La comunicazione dell’aggressore è progettata per stuzzicare la curiosità della vittima, fornendo informazioni errate o dettagli allettanti che la spingono a cliccare su un link o ad aprire un allegato per saperne di più.
  • Appello all’autorità: La comunicazione del phisher sembra provenire da una figura autorevole come un amministratore delegato, un amministratore IT o un funzionario governativo.
  • Appello alla familiarità: L’aggressore sfrutta la fiducia della vittima in un marchio, un’organizzazione o una persona noti per creare un falso senso di sicurezza.
  • Creare un senso di scarsità: L’aggressore crea la percezione di esclusività o di disponibilità limitata per motivare le vittime ad agire rapidamente.
  • Ispirare il senso di colpa: La comunicazione dell’aggressore è progettata per far sentire la vittima in colpa o in imbarazzo per non aver soddisfatto una richiesta, sostenendo che la comunicazione non è la prima inviata.
  • Utilizzo di prove sociali: L’aggressore fornisce testimonianze, approvazioni o referenze false per far apparire la richiesta come affidabile e socialmente valida.
  • Incoraggiare la reciprocità: L’aggressore offre qualcosa di valore percepito alla vittima (come uno sconto o un omaggio) in cambio dell’esecuzione di un’azione desiderata.
  • Fare appello al passato: La comunicazione dell’aggressore contiene una richiesta coerente con un’azione precedente che la vittima conosce bene.
  • Appello all’amicizia: La comunicazione dell’aggressore imita da vicino lo stile di scrittura di un collega o di un amico, per far abbassare la guardia alla vittima.
  • Ispirare simpatia: la comunicazione dell’aggressore è progettata per attingere al senso di simpatia della vittima e al desiderio di aiutare l’aggressore a uscire dai guai.
  • Sfruttare la FOMO (Fear of Missing Out): La comunicazione dell’aggressore sfrutta la paura della vittima di perdere un’opportunità o un evento. In genere, il truffatore afferma che è necessaria un’azione immediata per partecipare.
  • Appello ai pregiudizi del gruppo: La comunicazione dell’aggressore è progettata per ispirare un senso di appartenenza a un gruppo sociale o “ingroup” con cui la vittima ha familiarità. Il phisher creerà e-mail o messaggi di phishing che sembrano provenire da fonti che condividono un’identità o una caratteristica comune con l’obiettivo.

Tattiche tecniche utilizzate nel phishing

Le strategie psicologiche di cui sopra, combinate con le tattiche tecniche di cui sotto, sono ciò che rende gli attacchi di phishing così altamente efficaci. Quando i destinatari agiscono sulla base di fattori psicologici, spesso cadono vittime delle trappole tecniche nascoste nelle e-mail di phishing, nelle telefonate di vishing e nei messaggi di testo SMS. (Nota dell’editore: gli aggressori che non hanno le competenze tecniche necessarie per portare a termine un attacco possono acquistare kit di phishing sul dark web).

Le tattiche tecniche comunemente utilizzate negli attacchi di phishing includono:

Spoofing di e-mail: L’attaccante manipola le intestazioni delle e-mail in modo che sembrino provenire da una fonte affidabile. Lo spoofing delle e-mail è facilitato dalle debolezze del protocollo standard per l’invio di e-mail, il Simple Mail Transfer Protocol (SMTP). L’SMTP non richiede ai mittenti di e-mail di verificare l’accuratezza dell’indirizzo “Da” che forniscono, il che rende relativamente facile per gli aggressori falsificare queste informazioni.

Manipolazione dei link: L’aggressore utilizza link fasulli nelle e-mail per indirizzare le vittime verso siti web dannosi. Gli aggressori spesso incorporano URL fasulli con sottodomini legittimi per aggirare i filtri URL.

Spoofing del dominio: L’aggressore acquista nomi di dominio che sembrano legittimi perché assomigliano molto a nomi di dominio reali e noti.

Acquisizione di sottodomini: L’aggressore identifica i sottodomini vulnerabili di un’organizzazione e ne prende il controllo per ospitare siti di phishing.

Attacchi basati sui macro: L’aggressore invia e-mail di phishing con allegati che contengono macro o script che eseguono codice dannoso. Le e-mail impiegano in genere tattiche di ingegneria sociale per convincere il destinatario ad attivare le istruzioni macro o gli script dannosi contenuti nell’allegato.

Reindirizzamenti dannosi: L’aggressore utilizza iframes o JavaScript nascosti per reindirizzare le vittime da siti legittimi a pagine di phishing.

Download drive-by: L’aggressore sfrutta le vulnerabilità nel browser o nel software della vittima per scaricare e installare malware senza che la vittima ne sia a conoscenza.

Tecniche di offuscamento: L’aggressore utilizza tecniche di codifica o di offuscamento per nascondere il codice dannoso all’interno di e-mail o siti web.

Caricamento di contenuti dinamici: L’aggressore utilizza un servizio web o un framework JavaScript, come React o Angular, per creare contenuti dinamici che non sono incorporati nel codice del sito web. Il contenuto dinamico generato al volo non può essere rilevato dall’analisi statica.

Attacchi basati su JavaScript: L’aggressore inserisce un codice JavaScript dannoso nelle e-mail o sui siti web compromessi per fornire un malware che abilita un attacco ransomware.

Attacchi Man-in-the-Middle (MitM): L’aggressore intercetta la comunicazione tra la vittima e un sito web legittimo per catturare dati sensibili.

Esfiltrazione di dati: L’aggressore invia i dati rubati dai dispositivi delle vittime a un server controllato dall’aggressore, in modo che le informazioni possano essere utilizzate in seguito.

Raccolta di credenziali: L’aggressore crea pagine di login false per servizi popolari per catturare nomi utente, password e altre credenziali.

Dirottamento di sessione: L’aggressore ruba i cookie o i token di sessione attivi per impersonare un utente e ottenere un accesso non autorizzato ai suoi account.

Tabnabbing: L’aggressore sfrutta la fiducia dell’utente nelle schede del browser, sostituendo le schede inattive con pagine di phishing.

Attacchi omografi: L’aggressore utilizza caratteri Unicode simili ai caratteri latini nei nomi di dominio per ingannare le vittime.

Spoofing dei contenuti: L’aggressore manipola i contenuti web di un sito web compromesso per indurre i visitatori a compiere azioni a vantaggio dell’aggressore.

Inoltro di e-mail: L’aggressore imposta dei filtri e-mail (regole) negli account e-mail compromessi che inoltrano automaticamente i messaggi sensibili che contengono informazioni sull’account all’aggressore.

Spoofing DNS: L’aggressore manipola i record DNS per reindirizzare gli utenti a siti web falsi quando inseriscono URL legittimi.

Cross-Site Scripting (XSS): L’aggressore inietta uno script dannoso nel codice di una pagina web che eseguirà un’azione per conto dell’aggressore. L’XSS può essere utilizzato per rubare i cookie di sessione, che possono contenere credenziali di accesso o altre informazioni sensibili che consentono all’aggressore di impersonare la vittima.

Impersonificazione del marchio: L’aggressore richiede informazioni sensibili alla vittima sfruttando la fiducia che questa ripone in un determinato marchio.

Iniezione SQL: L’aggressore inserisce un codice SQL appositamente creato nei campi di input di un sito web per ottenere un accesso non autorizzato ai database utilizzati dal sito web. Sebbene l’iniezione SQL sia più comunemente associata alle violazioni di dati e agli attacchi alle applicazioni web, può essere impiegata negli attacchi di phishing per raccogliere informazioni o consegnare payload malevoli.

Come prevenire gli attacchi di phishing

Con le informazioni sensibili ottenute da una truffa di phishing di successo, i criminali possono danneggiare la storia finanziaria, la reputazione personale e quella professionale delle loro vittime, con danni che possono richiedere anni per essere rimossi. La combinazione di elementi psicologici e tecnici negli attacchi di phishing ne amplifica l’efficacia e sottolinea l’importanza dell’educazione alla cybersicurezza e di difese solide per contrastare queste minacce.

Le seguenti precauzioni di sicurezza sono consigliate per evitare che gli attacchi di phishing abbiano successo:

  • Non aprire mai allegati e-mail non previsti;
  • Non cliccare mai su link e-mail che richiedono informazioni personali;
  • Validare un URL prima di cliccarci sopra, passando il cursore del mouse sul link per visualizzare l’URL effettivo a cui conduce.
  • Gli URL devono corrispondere;
  • Non cliccare mai su link che iniziano con HTTP anziché HTTPS;
  • Diffidare di tutte le telefonate che richiedono informazioni di identificazione personale (PII) o il trasferimento di fondi da un conto a un altro;
  • Non rispondere alle chiamate al cellulare provenienti da numeri sconosciuti;
  • Se qualcuno chiama affermando di provenire da un’agenzia governativa o da un’azienda legittima, riagganciare e chiamare il numero presente sul sito ufficiale di quell’agenzia o azienda;
  • Non fornire mai i numeri di carta di credito al telefono;
  • Consentire sempre gli aggiornamenti per i browser web, i sistemi operativi e le applicazioni software in esecuzione localmente sui dispositivi accessibili a Internet;
  • Utilizzare strumenti di sicurezza informatica aggiornati, come software antivirus e firewall di ultima generazione;
  • Verificare il numero di telefono di un sito web prima di effettuare chiamate al numero di telefono fornito in un’e-mail;
  • Utilizzare password forti e l’autenticazione a due fattori (2FA) per tutti gli account online;
  • Segnalare le truffe sospette all’azienda che il phisher sta impersonando, nonché alle autorità governative come la Polizia postale.

10 tips to protect yourself against a phishing attack

Se applicabile, chieda al team di Information and Communication Technology (ICT) di:

  • Rivedere e ridurre il numero di account aziendali con accesso a dati e dispositivi critici;
  • Limitare la condivisione di password;
  • Ridurre le opportunità di escalation dei privilegi limitando i privilegi di accesso;
  • Implementare controlli di sicurezza che impediscano agli utenti di eseguire whoami e altri programmi di utilità a riga di comando in base ai ruoli degli utenti.

Software anti-phishing

Il software anti-phishing può essere considerato come un kit di strumenti di cybersecurity che impiega un’ampia gamma di tecniche per identificare e neutralizzare le minacce di phishing. Ecco alcune caratteristiche e funzioni chiave delle suite di software anti-phishing:

  • Filtro e-mail: Le soluzioni anti-phishing spesso includono funzionalità di filtraggio delle e-mail per scansionare i messaggi in arrivo alla ricerca di contenuti sospetti e analizzare gli indirizzi dei mittenti, i contenuti delle e-mail e i link incorporati per identificare i tentativi di phishing. Le applicazioni adattive per la sicurezza della posta elettronica possono rilevare i comportamenti anomali e limitare automaticamente l’accesso dei dipendenti ai dati e ai sistemi sensibili.
  • Analisi dei link: Questi strumenti ispezionano gli URL all’interno delle e-mail o dei messaggi per verificarne la legittimità. Confrontano i link con le blacklist note di domini dannosi e valutano la loro reputazione.
  • Analisi dei contenuti: Questo tipo di software anti-phishing analizza il contenuto delle e-mail, alla ricerca di indicatori di phishing come errori ortografici, allegati sospetti o richieste di informazioni sensibili.
  • AI per rivelare minacce in tempo reale: Molti servizi anti-phishing si affidano a sistemi immunitari digitali con feed di intelligence sulle minacce in tempo reale, per rimanere aggiornati sulle minacce e sulle tattiche di phishing emergenti. Questo aiuta a identificare e bloccare tempestivamente nuovi tipi di campagne di phishing.
  • Machine Learning e AI: i software anti-phishing avanzati impiegano algoritmi di ML e AI per adattare e migliorare le loro capacità di rilevamento. Sono in grado di riconoscere modelli indicativi di attacchi di phishing, anche in minacce precedentemente non viste.

Sebbene i software anti-phishing e i servizi cloud anti-phishing siano armi formidabili contro i criminali informatici, è fondamentale ricordare che la vigilanza umana rimane una componente critica di una cybersecurity efficace. Nessun software può sostituire la necessità di essere cauti, scettici e ben informati sulle minacce di phishing.

La formazione alla sicurezza dovrebbe andare di pari passo con le soluzioni anti-phishing per creare una solida postura di difesa.

Termini Correlati