Phishing significato

Phishing: Significato e Metodi – Come Distinguere Email Legittime da Tentativi di Frode e Proteggere la Tua Privacy Online. Il Phishing si riferisce a una pratica fraudolenta attuata mediante la quale un malintenzionato si spaccia per un’entità affidabile o per una persona conosciuta, al fine di inviare comunicazioni ingannevoli. Questo attacco informatico è uno dei più diffusi nel campo della criminalità informatica, poiché ingannare un utente a cliccare su un collegamento dannoso in un’email che sembra autentica è generalmente più semplice che superare le difese informatiche avanzate. Ad esempio, è paragonabile a un lupo che indossa le vesti di una pecora per avvicinarsi indisturbato al gregge. Comprendere a fondo il significato e le manifestazioni del phishing è cruciale per riconoscere e neutralizzare questi tentativi di phishing.

Phishing significato

Il phishing è un tipo di attacco che rientra nella categoria del social engineering e della sicurezza informatica, dove l’attaccante impersona un’altra persona tramite email o altri metodi di comunicazione elettronica, inclusi i social network e i messaggi SMS, per ottenere informazioni sensibili. Utilizzando fonti di informazione pubbliche, come LinkedIn, Facebook e Twitter, i phishing possono raccogliere dettagli personali, storico lavorativo, interessi e attività delle potenziali vittime. Queste informazioni servono per creare un’email di phishing credibile.

In genere, la vittima riceve un messaggio che sembra provenire da un contatto noto o un’organizzazione riconosciuta. L’attacco phishing si verifica quando la vittima apre un allegato infetto o clicca su un link che porta a un sito web malevolo. Lo scopo dell’attaccante è installare malware sul dispositivo dell’utente o indirizzarlo verso un sito web falso, progettato per estorcere informazioni personali e finanziarie, come password, ID di accesso o dettagli delle carte di credito.

Sebbene molti email di phishing siano scritte male e facilmente identificabili come false, i criminali informatici stanno utilizzando strumenti di intelligenza artificiale, come i chatbot, per rendere gli attacchi di phishing più realistici. Analogamente, esistono tentativi di phishing via telefono, dove l’attaccante può impersonare un dipendente che cerca informazioni personali, utilizzando talvolta una voce generata tramite IA che imita quella di un manager o di un’altra figura autoritaria, per ingannare ulteriormente la vittima.

Come Riconoscere un’email di Attacco Phishing

Gli attacchi phishing rappresentano una minaccia crescente nella sicurezza informatica, spesso mascherati da comunicazioni legittime. Una email di phishing è difficilmente distinguibile da una vera; solitamente, presenta loghi aziendali e altri dati identificativi di un’organizzazione rinomata, simulando un’autenticità ingannevole. Tuttavia, esistono diversi segni distintivi che possono suggerire che un messaggio sia un tentativo di phishing:

  • Utilizzo di subdomini, URL con errori di ortografia o URL che appaiono sospetti.
  • Il destinatario utilizza un indirizzo email pubblico, come Gmail, invece di un indirizzo email aziendale.
  • Il messaggio evoca paura o urgenza.
  • Vi è una richiesta di verificare informazioni personali, come dettagli finanziari o password.
  • Il messaggio presenta errori ortografici o grammaticali.

Tipologie di Attacchi Phishing

I cybercriminali non solo perfezionano le tecniche di phishing già note, ma ne sviluppano anche di nuove. Tra i principali tipi di attacchi si annoverano:

  1. Spear Phishing: mirato a individui o aziende specifiche, utilizzando informazioni raccolte che aumentano la credibilità del messaggio. Queste email possono contenere riferimenti a colleghi o dirigenti, usando nomi, località o altre informazioni personali della vittima.
  2. Whaling: un’evoluzione del spear phishing che prende di mira i dirigenti aziendali per rubare grandi quantità di dati sensibili. Gli attaccanti fanno ricerche approfondite sulle loro vittime per rendere i messaggi più credibili, spesso presentandosi come richieste urgenti di trasferimento di fondi.
  3. Pharming: devia gli utenti da un sito legittimo a uno fraudolento attraverso l’avvelenamento della cache del sistema di nomi di dominio (DNS), inducendo le vittime ad accedere con le proprie credenziali.
  4. Clone Phishing: sfrutta email legittime, già ricevute dalla vittima, sostituendo link o allegati con elementi malevoli. Questa tecnica è spesso utilizzata da attaccanti che hanno preso il controllo di un sistema all’interno di un’organizzazione.
  5. Evil Twin Phishing: trucca gli utenti affinché si connettano a una rete Wi-Fi fasulla che imita una legittima, permettendo agli attaccanti di intercettare tutte le comunicazioni.
  6. Vishing (Voice Phishing): utilizza i media basati sulla voce per ingannare le vittime, spesso attraverso messaggi vocali che segnalano attività sospette su conti bancari o carte di credito.
  7. Smishing (SMS Phishing): orientato ai dispositivi mobili, impiega messaggi di testo per convincere le vittime a rivelare credenziali o installare malware.
  8. Phishing Calendario: inganna le vittime con inviti a eventi fasulli che si aggiungono automaticamente ai calendari, includendo link malevoli.
  9. Page Hijack: reindirizza le vittime verso siti web compromessi che duplicano la pagina che intendevano visitare, utilizzando attacchi di scripting tra siti per inserire malware.

Queste tecniche dimostrano la sofisticatezza e la varietà degli attacchi phishing, sottolineando l’importanza di una vigilanza costante e di una formazione approfondita per riconoscere e respingere tali minacce.

Tecniche di Phishing

Il phishing è comunemente inteso come un tentativo fraudolento di ottenere informazioni sensibili quali username, password e dettagli delle carte di credito, fingendosi un’entità affidabile in una comunicazione elettronica. Tuttavia, gli attacchi phishing non si limitano al semplice invio di un’email nella speranza che le vittime clicchino su un collegamento maligno o aprano un allegato infetto. Gli aggressori impiegano diverse tecniche sofisticate per intrappolare le loro vittime:

  1. Spoofing dell’URL: Gli aggressori utilizzano JavaScript per sovrapporre un’immagine di un URL legittimo sulla barra degli indirizzi del browser. Passando il mouse sopra un link incorporato, l’URL originale può essere visualizzato e modificato tramite JavaScript. Questa pratica è paragonabile a mettere una facciata attraente su un edificio pericolante per attirare incauti visitatori.
  2. Manipolazione dei collegamenti: Spesso denominata nascondiglio dell’URL, questa tecnica si trova in molti tipi comuni di phishing. I malintenzionati creano un URL maligno che appare come se conducesse a un sito o una pagina web legittima, mentre in realtà reindirizza a una risorsa web dannosa. È come indirizzare qualcuno verso una strada sbagliata pur mostrando indicazioni per una destinazione familiare.
  3. Accorciamento dei link: Gli aggressori possono utilizzare servizi di accorciamento dei link, come Bitly, per occultare la destinazione del collegamento. Le vittime non possono sapere se l’URL abbreviato conduce a un sito web legittimo o a uno maligno, un po’ come ricevere una mappa senza i nomi delle destinazioni.
  4. Spoofing omografico: Questo tipo di attacco phishing si basa su URL creati utilizzando caratteri diversi per apparire esattamente come un nome di dominio di fiducia. Ad esempio, gli aggressori possono registrare domini che utilizzano set di caratteri leggermente diversi, abbastanza simili a quelli di domini consolidati e ben noti. È simile a una contraffazione minuziosa in cui le differenze sono quasi impercettibili.
  5. Rendering grafico: Renderizzare tutto o parte di un messaggio come immagine grafica talvolta permette agli aggressori di eludere le difese contro il phishing. Alcuni prodotti software di sicurezza esaminano le email in cerca di frasi o termini comuni nelle email di phishing. Renderizzare il messaggio come immagine bypassa questo controllo.
  6. Reindirizzamento occculto: Gli aggressori ingannano le vittime facendole reindirizzare a una fonte supposta affidabile che chiede l’autorizzazione a connettersi a un altro sito web. L’URL reindirizzato è una pagina intermedia e maligna che sollecita informazioni di autenticazione dalla vittima, prima di inoltrarla al sito legittimo.
  7. Chatbot: Gli aggressori utilizzano chatbot abilitati all’intelligenza artificiale per eliminare errori grammaticali e ortografici ovvi che comunemente appaiono nelle email di phishing. L’uso di un chatbot AI può rendere il messaggio di phishing più complesso e realistico, rendendo più difficile la sua identificazione.
  8. Generatori di voce AI: Gli aggressori utilizzano strumenti generatore di voce AI per suonare come un’autorità personale o un membro della famiglia durante una chiamata telefonica. Questo personalizza ulteriormente il tentativo di phishing, aumentandone le probabilità di successo. Ai malintenzionati basta un piccolo campione audio del capo o di un membro della famiglia della vittima.

Prevenzione degli Attacchi di Phishing

Per contrastare l’arrivo di messaggi di phishing agli utenti finali, gli esperti consigliano di adottare un approccio stratificato nella sicurezza, implementando strumenti come:

  • Software antivirus
  • Firewall per desktop e reti
  • Software antispyware
  • Toolbar antiphishing nei browser web
  • Filtri email di gateway
  • Gateway di sicurezza web
  • Filtri antispam
  • Filtri phishing forniti da aziende come Microsoft

Le aziende dovrebbero implementare almeno uno standard di autenticazione delle email, come il protocollo DomainKeys Identified Mail (DKIM), che permette di bloccare tutti i messaggi tranne quelli firmati criptograficamente. Un altro esempio è il protocollo Domain-based Message Authentication, Reporting and Conformance (DMARC), che offre un sistema per bloccare le email indesiderate in modo più efficace.

Inoltre, esistono numerose risorse online che offrono supporto nella lotta al phishing, tra cui il sito Anti-Phishing Working Group Inc. e OnGuardOnline.gov del governo federale, che forniscono consigli su come riconoscere, evitare e segnalare tentativi di phishing. Strumenti interattivi come Proofpoint Security Awareness Training e PhishMe di Cofense sono utili per istruire i dipendenti su come evitare le trappole del phishing. Siti come FraudWatch International e MillerSmiles.co.uk aggiornano inoltre gli utenti sulle ultime linee di oggetto delle email di phishing che circolano su internet.

È fondamentale che i dipendenti siano adeguatamente informati sulle tecniche di phishing e su come identificarle, e che siano avvisati di evitare di cliccare su link, allegati o aprire email sospette provenienti da sconosciuti.

Esempi di Truffe di Phishing

Le truffe di phishing assumono varie forme e dimensioni. Gli utenti possono proteggersi rimanendo all’erta e preparati conoscendo alcuni dei metodi più recenti utilizzati dai truffatori per perpetrare attacchi phishing. Ecco alcuni esempi di attacchi moderni:

Truffe Basate sui Pagamenti Digitali

Queste truffe si verificano quando applicazioni e siti web di pagamenti importanti sono utilizzati come esca per ottenere informazioni sensibili dalle vittime di phishing. In questo schema, il truffatore si spaccia per un servizio di pagamento online, come PayPal, Venmo o Wise.

Generalmente, questi attacchi avvengono tramite email, dove una versione falsa di un servizio di pagamento affidabile chiede all’utente di verificare i dettagli di accesso e altre informazioni identificative, sostenendo che queste sono necessarie per risolvere un problema con il conto dell’utente. Questi tentativi di phishing includono spesso un link a una pagina fasulla.

Se un utente non è sicuro di come riconoscere un’email di phishing che imita un servizio di pagamento online, ci sono alcuni dettagli da osservare. In genere, un’email di phishing che imita PayPal può includere:

  • Saluti iniziali inappropriati che non includono il nome della vittima. Le email ufficiali di PayPal si rivolgono sempre agli utenti con il loro nome o titolo aziendale.
  • Alcune di queste truffe avvisano le potenziali vittime che i loro conti saranno presto sospesi. Altre sostengono che gli utenti sono stati accidentalmente sovrappagati e ora devono inviare denaro a un conto fasullo.
  • PayPal non invia allegati scaricabili. Se un utente riceve un’email da PayPal o un altro servizio simile che include un allegato, non dovrebbe scaricarlo.

Attacchi di Phishing Basati sulla Finanza

Questi attacchi si basano sull’ipotesi che le vittime, prese dal panico, forniscano informazioni personali al truffatore. Solitamente, in questi casi, il truffatore si spaccia per una banca o un’altra istituzione finanziaria. Nelle email o nelle chiamate telefoniche, informano la potenziale vittima che la sua sicurezza è stata compromessa, spesso utilizzando la minaccia del furto d’identità per ottenere proprio quello. Esempi di questo schema includono:

  • Email sospette riguardanti trasferimenti di denaro progettate per confondere la vittima. In questi tentativi di phishing, la vittima riceve un’email che contiene una ricevuta o un’email di rifiuto riguardante un trasferimento di fondi elettronico, portando istintivamente a presumere che siano state effettuate delle addebiti fraudolenti sul proprio conto e a cliccare su un link dannoso nell’email, lasciando i propri dati personali esposti al rischio di essere rubati.
  • Truffe sui depositi diretti spesso utilizzate su nuovi dipendenti di un’azienda o di un’attività commerciale. In queste truffe, la vittima viene informata che le sue credenziali di accesso non funzionano e, ansiosa di non ricevere il pagamento, clicca su un link nell’email che la porta a un sito web falso che installa malware sul suo sistema, rendendo le informazioni bancarie vulnerabili all’intercettazione e a addebiti fraudolenti.

Truffe di Phishing Legate al Lavoro

Questi sono particolarmente allarmanti, in quanto questo tipo di truffa può essere personalizzato e difficile da riconoscere. In questi casi, un attaccante che si spaccia per il capo, il CEO o il CFO del destinatario contatta la vittima e richiede un trasferimento di denaro o un acquisto fittizio.