Phishing, che cos’è, come difendersi e cosa fare in caso di attacco

Phishing

Il phishing cos’è? Il phishing è un crimine informatico che sfrutta e-mail, siti web e messaggi di testo ingannevoli per rubare informazioni riservate personali e aziendali. Le vittime vengono ingannate e costrette a fornire informazioni personali come i dati della carta di credito, il numero di telefono, l’indirizzo di casa, le informazioni aziendali, ecc. Queste informazioni vengono poi utilizzate dai criminali per rubare l’identità della vittima e commettere ulteriori reati utilizzando l’identità rubata. I criminali che utilizzano tattiche di phishing hanno successo perché si nascondono accuratamente dietro e-mail e siti web familiari alla vittima designata. Ad esempio, l’indirizzo e-mail potrebbe essere administrator@paypal.org.com anziché administrator@paypal.com e invitare il destinatario ad aggiornare le credenziali del proprio account per proteggersi dalle frodi. Il phishing è un tipo di ingegneria sociale che i criminali utilizzano per rubare dati, infettare i computer e infiltrarsi nelle reti aziendali.


Leggi anche: Cos’è l’ingegneria sociale?

I diversi tipi di attacchi di phishing

1. Email phishing

Questa è la tattica di phishing più comune. Un’email viene inviata a più destinatari invitandoli ad aggiornare le informazioni personali, verificare i dettagli dell’account o cambiare la password. In genere, l’email è formulata in modo da promuovere un senso di urgenza, talvolta sottolineando la necessità del destinatario di proteggere se stesso o la propria organizzazione. L’email è progettata in modo da sembrare proveniente da una fonte legittima, come il servizio clienti di PayPal, Apple, Microsoft, una banca o altre aziende note.

2. Content Injection

Una pagina web dall’aspetto familiare, come la pagina di login di un account di posta elettronica o una pagina di banking online, viene iniettata con contenuti dannosi. Il contenuto può includere un link, un modulo o un pop-up che indirizza le persone a un sito web secondario dove vengono invitate a confermare le informazioni personali, aggiornare i dati della carta di credito, cambiare la password, ecc.

3. Link Manipulation

Un’email accuratamente formulata arriva con un link dannoso a un sito web noto, come Amazon o un altro sito web popolare. Quando si fa clic sul link, si accede a un sito Web falso, progettato per assomigliare esattamente al sito Web noto, dove viene richiesto di aggiornare le informazioni del proprio account o di verificarne i dettagli.

4. CEO Fraud

Questo tipo comune di domain spoofing prevede l’invio di e-mail che si spacciano per provenienti dall’amministratore delegato, dalle risorse umane o da un collega. L’e-mail può chiedere al destinatario di trasferire fondi, confermare un bonifico elettronico o bancario o inviare informazioni fiscali.

5. Fake Websites

Gli hacker creano siti falsi che assomigliano a un sito web molto frequentato. Questo falso sito web ha un dominio leggermente diverso, ad esempio outlook.you.live.com invece di outlook.live.com. Le persone credono di trovarsi sul sito giusto e si espongono accidentalmente al furto di identità.

6. Phishing mobile

Il phishing mobile può riguardare SMS, social media, messaggi vocali o altri messaggi in-app fraudolenti che informano il destinatario che il suo account è stato chiuso, compromesso o sta per scadere. Il messaggio include un link, un video o un messaggio per rubare informazioni personali o installare malware sul dispositivo mobile.


7. Spear Phishing

Lo spear phishing è il phishing avanzato e mirato via email. Il criminale prende di mira un individuo o un’organizzazione specifica e utilizza messaggi mirati e personalizzati per rubare dati che vanno oltre le informazioni personali delle carte di credito. Ad esempio, infiltrarsi in un ospedale, una banca o un’università per rubare i dati compromette gravemente l’organizzazione.

8. Vishing

Con il phishing vocale o vishing, chi chiama lascia un messaggio vocale con parole forti o legge un copione che esorta il destinatario a chiamare un altro numero di telefono. Spesso queste chiamate sono concepite per essere urgenti e incoraggiano il destinatario ad agire prima che il suo conto bancario venga sospeso o, peggio, che venga accusato di un reato.

9. Dirottamento di sessione

Questo tipo di phishing richiede tecniche sofisticate che consentono ai criminali di violare un server Web e di rubare le informazioni memorizzate sul server.

10. Malvertising

Questo tipo di malware Malvertising, utilizza pubblicità online o pop-up per incoraggiare le persone a fare clic su un link che installa il malware sul computer.

11. Malware

Il malware si verifica quando una persona fa clic su un allegato di posta elettronica e installa inavvertitamente un software che analizza il computer e la rete alla ricerca di informazioni. Il keylogging è un tipo di malware che traccia i tasti premuti per scoprire le password. Un altro tipo di malware è il cavallo di Troia, che induce a inserire informazioni personali.

12. Man in the middle

Con gli attacchi di phishing Man in the middle, il criminale inganna due persone che si inviano informazioni a vicenda. Il phisher o il criminale può inviare richieste false a ciascuna parte o alterare le informazioni inviate e ricevute. Le persone coinvolte credono di comunicare tra loro e non si rendono conto che una terza parte le sta manipolando.

13. Evil Twin Wi-Fi

Viene creato un falso punto di accesso Wi-Fi che agisce come un hot spot Wi-Fi legittimo. Questa tattica è comune nelle caffetterie, negli aeroporti, negli ospedali o nei luoghi in cui le persone necessitano abitualmente di un accesso Wi-Fi. Le persone accedono a questo punto di accesso Wi-Fi pensando di utilizzare il punto legittimo, consentendo ai criminali di intercettare tutti i dati comunicati su questo falso account Wi-Fi.


Questi diversi tipi di attacchi phishing fanno parte di un più ampio schema di ingegneria sociale. L’ingegneria sociale è un modo astuto per ingannare le persone e indurle a cedere informazioni, accessi e dettagli che sanno di dover mantenere sicuri e privati. Cos’è l’ingegneria sociale?

Che cos’è il Trap Phishing?

Il Trap Phishing sfrutta tipicamente le vulnerabilità di sicurezza nei comportamenti online più comuni. Tali abitudini possono includere il completamento di transazioni online, la condivisione di informazioni sui social media e altro ancora. Gli schemi di Trap Phishing attirano gli utenti ignari su una pagina web dannosa, spacciandola per un’organizzazione legittima o un’azienda familiare. Spesso interpolando marchi o vocaboli riconosciuti, le vittime sono invogliate a cliccare sul link di un’email phishing e/o a fornire informazioni sensibili attraverso la pagina web dannosa. Sebbene non siano così mirati come altre truffe di phishing, questi attacchi generici possono comunque essere molto efficaci.

Come riconoscere un attacco di phishing

Un aggressore utilizza spesso email e messaggi phishing per indurre la vittima a rivelare informazioni sensibili. Ecco alcuni modi per riconoscere se tali email e messaggi sono legittimi.

  1. Cattiva ortografia o grammatica. Molte aziende hanno redattori o colleghi che controllano la presenza di errori ortografici o grammaticali prima di inviare email di carattere commerciale. Se l’email ricevuta presenta più parole errate e una grammatica scadente, è molto probabile che si tratti di una truffa e che non si debba rispondere o cliccare su alcun link o allegato.
  2. Vi chiedono di rivelare informazioni sensibili. Le organizzazioni affidabili non vi chiederanno mai di inviare password, numeri di carte di credito o altre informazioni di identificazione personale tramite e-mail o messaggi di testo. Assicuratevi di non inviare mai informazioni sensibili tramite email o messaggi di testo, soprattutto se non siete sicuri a chi le state inviando.
  3. L’indirizzo e-mail non corrisponde al nome utente del mittente. La parte “Da” di un’email è composta da due parti: il nome utente (o alias) e l’indirizzo e-mail. L’alias può essere qualsiasi cosa il mittente voglia, ma non è possibile camuffare un indirizzo e-mail. I phisher cambiano sempre l’alias per farlo sembrare legittimo, come “Servizio clienti PayPal”. Ma se l’indirizzo e-mail dell’esempio non è PayPal.com, il messaggio è falso. Controllate sempre prima di cliccare.
  4. L’email contiene allegati non richiesti. Un’email legittima di un’azienda non vi invierà mai un’e-mail contenente un allegato o vi chiederà di scaricare dei file. Al contrario, vi indirizzeranno al loro sito web, dove potrete scaricare file come i rapporti in tutta sicurezza. Anche se l’e-mail proviene da un’organizzazione apparentemente legittima, evitate sempre di aprire allegati non richiesti.

Come difendersi da un attacco di phishing

È possibile proteggersi dagli attacchi di phishing sapendo come riconoscerli e implementando soluzioni di cybersecurity per tenersi al sicuro da questo tipo di attacchi. Gli attacchi di phishing sono aumentati negli ultimi tempi perché, per dirla senza mezzi termini, funzionano. L’Anti-Phishing Working Group (APWG) ha registrato 1,09 milioni di attacchi di phishing nel secondo trimestre del 2022. Poiché gli attacchi di phishing continuano ad aumentare, è importante sapere cosa comportano. Il phishing è il modo più comune con cui gli aggressori diffondono il ransomware, che è la forma di malware in più rapida crescita. Continuate a leggere per sapere come difendersi dal phishing.

Come difendersi

Ci sono diverse misure precauzionali che potete adottare per proteggervi dalle minacce di phishing.

  1. Non cliccate su un link o su un allegato a meno che non siate sicuri. Se ricevete un’e-mail che non vi aspettate e che vi dice di fare clic sul link o contiene un allegato, non cliccatela. Si tratta di una tattica di phishing comunemente utilizzata dagli aggressori per attirare vittime ignare e indurle a fare clic su un link o un allegato che contiene malware.
  2. Non rispondere mai alle richieste di informazioni. Naturalmente, uno dei modi migliori per proteggersi dalle minacce di phishing è quello di non fornire mai le proprie informazioni personali a persone che non si conoscono. Questo può essere estremamente pericoloso per la vostra sicurezza personale, in quanto può portare alla violazione di altri vostri account. Se ricevete una richiesta di informazioni private da un’azienda come la vostra banca, chiamatela direttamente per verificare che la richiesta sia legittima e non rispondete mai all’e-mail o al messaggio.
  3. Utilizzare l’autenticazione a più fattori. Abilitando l’autenticazione a più fattori su tutti i vostri account, la vostra sicurezza informatica sarà automaticamente migliorata. Ciò è dovuto al fatto che l’autenticazione a più fattori richiede che gli utenti si identifichino con più di un nome utente e una password. Questo rende più difficile per i malintenzionati rubare le vostre informazioni. Tuttavia, bisogna fare attenzione alle minacce di phishing che fingono di chiedere il codice di autenticazione, se si invia per sbaglio il codice di autenticazione all’aggressore si dà accesso al proprio account.
  4. Backup dei dati. Il backup continuo dei vostri dati è estremamente importante, soprattutto se doveste essere vittima di un attacco informatico come un attacco di phishing. Il backup dei vostri dati in un caveau digitale sicuro vi assicura che avrete sempre accesso ai vostri dati, anche se dovessero finire nelle mani sbagliate.
  5. Utilizzate un gestore di password. Uno dei vantaggi poco conosciuti di un gestore di password è che aiuta a proteggersi dalle truffe di phishing. Infatti, non funzionerà su una pagina di accesso in cui l’URL non corrisponde a quello inserito al momento della creazione del record. Quindi, anche se il phisher vi inganna facendovi cliccare su un link, il password manager vi offre un ulteriore livello di protezione. Consideratelo un’assicurazione contro il phishing.

Tenersi aggiornati sulle ultime minacce di phishing è estremamente importante. Sarete in grado di riconoscere facilmente le minacce di phishing e di sapere quando si verifica una minaccia di phishing sul vostro posto di lavoro o presso un’azienda di cui siete clienti. Tenersi aggiornati sulle ultime novità in materia di cybersicurezza è estremamente importante per mantenere la propria sicurezza online al sicuro.

Cosa fare se si è vittima di un attacco di phishing

Riconoscere un attacco di phishing è una cosa, ma essere vittima è un’altra. Se ritenete di essere vittime di un attacco di phishing perché avete inserito informazioni sensibili in una pagina web o avete cliccato su un allegato, ecco cinque passi da compiere.

  1. Disconnettere il dispositivo da Internet. La disconnessione del dispositivo da Internet riduce la possibilità che il malware si diffonda agli altri dispositivi della stessa rete. Inoltre, impedirà a qualcuno di accedere da remoto al vostro dispositivo o di utilizzarlo per inviare informazioni sensibili. È fondamentale adottare subito questa misura per proteggere tutti i vostri dispositivi.
  2. Modificare la password di tutti gli account. Se avete cliccato su un link che vi ha portato a un sito web falso dove avete tentato di accedere, l’aggressore potrebbe ora conoscere le vostre credenziali. Si tratta di un tipo di attacco di phishing che inganna le persone facendo loro credere di visitare un sito web noto, come il vostro conto bancario o il sito di un social media. Se utilizzate le stesse credenziali o variazioni delle stesse, gli aggressori potrebbero accedere ad altri vostri account utilizzando le informazioni inserite nel sito fasullo. Assicurarsi che le vostre credenziali abbiano sempre password forti e uniche è importante perché può impedire ai malintenzionati di danneggiare ulteriormente i vostri account. Utilizzando lo stesso nome utente e la stessa password per tutti i vostri account, renderete più facile per l’aggressore ottenere l’accesso a tutti gli account.
  3. Tenere d’occhio il proprio conto in banca e individuare eventuali attività sospette. Poiché è possibile che l’aggressore abbia avuto accesso ai conti della vostra carta di credito o a informazioni sensibili che possono essere utilizzate per accedere al vostro credito, è estremamente importante tenerlo sotto controllo. Potreste anche prendere in considerazione l’idea di congelare il vostro credito. Il blocco del credito impedirà al malintenzionato di aprire nuovi conti a vostro nome.
  4. Contattare l’azienda o la persona che è stata impersonata dall’aggressore. Far sapere all’azienda che un malintenzionato si sta spacciando per loro è importante per evitare che anche voi, l’azienda e i suoi clienti e dipendenti cadano vittime. L’azienda potrebbe anche fornirvi istruzioni per salvaguardare le informazioni sul vostro conto.
  5. Segnalare il tentativo di phishing. Nel caso di apertura accidentale della mail sospetta, o di aver cliccato su strani link o banner o comunque, se sei vittima di una truffa, denunciare subito alla Polizia Postale tramite form dedicato e contattare la propria banca, posta o servizio di carta di credito. Infine se hai un account Gmail, puoi denunciare il comportamento illecito a Google tramite un loro form specifico. In questi casi cambiare immediatamente tutte le password.

Leggi anche: Che cos’è il malware e come funziona?

Presi Fulvio

Mi piacciono gli smartphone, computer e videogiochi. Come hobby scrivo per GuideSmartPhone articoli basati principalmente sulla tecnologia. Spero di esservi stato d'aiuto!