Il phishing è una delle trappole più comuni e pericolose su Internet. Si tratta di una tecnica che consiste nel convincere gli utenti a fornire informazioni personali o sensibili, come password o numeri di carta di credito, attraverso e-mail o siti web falsificati. In questo articolo, esploreremo i pericoli del phishing, i suoi vari tipi e come evitare di cadere in queste trappole.
Cos’è il phishing?
Il phishing è un tipo di frode online che si basa sull’inganno. I truffatori inviano e-mail malevole scritte appositamente con lo scopo di spingere le vittime a cadere nella trappola dei cybercriminali oppure creano siti web che sembrano autentici, ma che in realtà sono falsi.
Questi messaggi o siti web contengono richieste di informazioni personali, come numeri di carte di credito, password, numeri di previdenza sociale, e-mail e altro ancora. L’obiettivo è quello di rubare queste informazioni per poi utilizzarle per commettere frodi o rubare soldi dalle carte di credito.
Il phishing rappresenta un esempio di social engineering, ovvero un’ampia gamma di tecniche messe in atto dagli artisti della truffa per manipolare la psicologia umana. Il social engineering comprende anche la falsificazione, il depistaggio e la menzogna, che vengono utilizzati, in tutto o in parte, negli attacchi di phishing. In pratica, le e-mail di phishing sfruttano il social engineering per indurre gli utenti a compiere azioni senza valutarne le conseguenze.
Il termine “phishing” è stato coniato intorno alla metà degli anni Novanta, quando gli hacker hanno iniziato a inviare e-mail false per acquisire informazioni sensibili da utenti ignari. Coloro che erano coinvolti in queste attività illecite tramite e-mail o telefono venivano definiti “phreaker”. Il termine “phishing” è stato, infatti, creato prendendo in prestito la radice “ph” da “phreaker”.
Come molte altre minacce, il phishing ha avuto origine negli anni ’90. In quel periodo, AOL era una piattaforma online molto popolare e gli hacker iniziarono a utilizzare il phishing e la messaggistica istantanea per fingere di essere impiegati di AOL e convincere gli utenti a divulgare le loro credenziali di accesso.
Negli anni 2000, i criminali informatici hanno iniziato a mirare ai conti bancari degli utenti. In particolare, hanno utilizzato le e-mail di phishing per ottenere le credenziali di accesso ai conti bancari degli utenti. Queste e-mail contenevano un link che portava a un sito web malevolo, praticamente identico al sito della banca, ma con un nome di dominio leggermente diverso rispetto a quello originale. Successivamente, i cybercriminali hanno ampliato il loro campo d’azione, prendendo di mira altri tipi di account, come Google ed eBay, per perpetrare frodi, furti e diffondere spam attraverso gli account rubati alle vittime.
Il phishing: un problema serio
Il phishing rappresenta un grave problema poiché i cybercriminali lo utilizzano come metodo semplice, economico ed efficace per ottenere accesso ai dati sensibili delle persone. Gli indirizzi e-mail sono facilmente accessibili e l’invio di e-mail non comporta costi per i criminali. Grazie a questo, possono acquisire informazioni preziose con poco sforzo e nessun costo.
Chi cade vittima di phishing rischia di subire il furto di identità, la perdita di dati o l’infezione da malware, compresi i ransomware, che possono rappresentare una minaccia per la privacy e la sicurezza dei dati. I dati a cui i criminali sono interessati includono sia informazioni personali come i dati bancari, i numeri di carte di credito, i dati fiscali e sanitari, sia informazioni aziendali sensibili come le liste e i contatti dei clienti, i segreti sui prodotti e le tecnologie aziendali e le comunicazioni confidenziali.
I cybercriminali utilizzano spesso il phishing come metodo per accedere agli account di posta elettronica, social network e altri tipi di account, così come per ottenere privilegi di accesso e modifica e compromettere sistemi come terminali POS e sistemi di pagamento.
Molti dei più grandi episodi di data breach, tra cui il clamoroso attacco subito nel 2013 dalla grande catena americana di distribuzione Target, hanno avuto inizio con un’operazione di phishing tramite e-mail. Sfruttando un’e-mail che sembra innocua, i cybercriminali possono aprire una breccia nell’infrastruttura aziendale e da lì estendersi.
Tipi di phishing
Ci sono diversi tipi di phishing, ognuno dei quali mira a raggiungere un obiettivo diverso.
Phishing via e-mail
Il tipo di phishing più comune è quello che avviene tramite e-mail. In questo caso, i truffatori inviano e-mail che sembrano provenire da società legittime, come banche o fornitori di servizi di pagamento online. Queste e-mail contengono solitamente un link ad un sito web falso, dove si richiede all’utente di fornire le proprie informazioni personali. Questi link possono anche contenere malware che infetta il computer dell’utente quando viene cliccato.
Phishing tramite SMS
Un altro tipo di phishing è quello che avviene tramite SMS. In questo caso, i truffatori inviano messaggi di testo che sembrano provenire da società legittime, come banche o fornitori di servizi di pagamento online. Questi messaggi contengono un link a un sito web falso, dove si richiede all’utente di fornire le proprie informazioni personali.
Phishing tramite social media
Il phishing tramite social media è un tipo di frode che si basa sull’utilizzo di piattaforme come Facebook, Twitter, LinkedIn e altri. In questo caso, i truffatori creano account falsi o rubano gli account di utenti legittimi e utilizzano questi account per inviare messaggi privati che contengono link a siti web falsi o richieste di informazioni personali.
Phishing tramite telefonia
Il phishing tramite telefonia è un tipo di frode che avviene quando i truffatori chiamano le persone al telefono e cercano di convincerle a fornire informazioni personali. In alcuni casi, i truffatori possono fingere di essere rappresentanti di una banca o di un’altra organizzazione legittima.
Com’è strutturata un’e-mail di phishing?
I cybercriminali usano due strategie principali: la paura e l’urgenza. Uno dei loro trucchi più comuni è inviare e-mail agli utenti in cui si afferma che il loro account è stato bloccato o verrà sospeso se non si presta attenzione al messaggio. In questo modo, la paura spinge gli utenti a ignorare i segnali di phishing e a dimenticare le precauzioni che avevano imparato. A volte anche gli esperti di sicurezza cadono in queste trappole.
Di solito, gli hacker inviano la stessa e-mail di phishing a molte persone, quindi usano saluti generici. Nella mail, non viene menzionato il nome dell’utente, ma si cerca di creare un senso di urgenza per indurlo a cliccare sull’allegato malevolo.
L’allegato può essere una pagina web, uno script shell come PowerShell o un documento Office contenente macro-pericolose. Le macro e gli script sono utilizzati per scaricare malware o per ottenere le credenziali di accesso degli utenti.
Gli hacker creano domini molto simili a quelli dei siti ufficiali o usano provider generici come Gmail. Le e-mail di phishing contengono spesso il logo ufficiale dell’azienda, ma è importante verificare l’indirizzo del mittente per accertarsi che sia legittimo. Questo è solo uno dei segnali a cui prestare attenzione per determinare la veridicità del messaggio. I server di posta utilizzano misure di sicurezza per identificare gli header delle e-mail falsificate, ma è sempre bene prestare attenzione e non cadere nelle trappole dei cybercriminali.
Meccanismi utilizzati nell’email phishing
Nell’email phishing, i criminali informatici utilizzano tre meccanismi principali per rubare le informazioni degli utenti: link malevoli, allegati dannosi e moduli di compilazione falsi.
Link malevoli
I link malevoli sono spesso incorporati nelle e-mail sotto forma di URL, che possono indirizzare le vittime a siti web infettati da malware. Questi link possono essere camuffati come legittimi e possono essere nascosti in loghi e altre immagini presenti nell’email per passare inosservati.
Un esempio di questo è l’e-mail ricevuta dagli utenti della Cornell University, apparentemente proveniente dal “Help Desk” dell’università ma in realtà inviata dal dominio @connect.ust.hk. Il link incluso nell’email ha portato gli utenti a una pagina di login identica a quella di Office 365, ma che in realtà mirava a rubare le loro credenziali di accesso.
Allegati malevoli
Gli allegati dannosi sembrano essere normali file, ma in realtà contengono malware in grado di compromettere il computer e i dati dell’utente. Ad esempio, i ransomware possono crittografare tutti i file del computer, rendendoli inaccessibili, o installare keylogger per catturare le informazioni digitate sulla tastiera. Infezioni di malware e ransomware possono diffondersi ad altri dispositivi nella rete, come dischi esterni, server e sistemi cloud.
Un esempio di phishing con allegato è l’e-mail inviata da un finto rappresentante FedEx, che invitava i destinatari a stampare una ricevuta postale allegata per ritirare un pacco non consegnato. In realtà, l’allegato conteneva un virus per infettare il computer della vittima. Questo tipo di truffe via e-mail sono molto comuni durante il periodo natalizio.
Moduli di compilazione falsi
I moduli di compilazione falsi sono e-mail di phishing che inducono gli utenti a fornire informazioni sensibili, come nome utente, password, numero di carta di credito e numero di cellulare. Una volta che la vittima fornisce queste informazioni, i cybercriminali possono utilizzarle per i propri scopi illeciti.
Un esempio di questo è la landing page contraffatta dell’agenzia delle entrate britannica HMRC, a cui gli utenti vengono indirizzati dopo aver cliccato su un link in un’e-mail di phishing. La pagina afferma che l’utente ha diritto a un rimborso, ma per ottenerlo deve compilare un modulo contenente informazioni personali. Queste informazioni possono poi essere utilizzate dai cybercriminali per rubare l’identità dell’utente.
Come evitare il phishing
Ci sono alcune precauzioni da adottare per evitare di cadere nelle trappole del phishing.
- Non fornire informazioni personali a siti web o a persone che non conosci o che non hai contattato prima.
- Verificare sempre la validità dell’e-mail o del sito web. Ad esempio, se ricevi una e-mail da una banca, assicurati che l’indirizzo e-mail provenga effettivamente dalla banca stessa. Inoltre, assicurati di verificare l’URL del sito web prima di fornire qualsiasi informazione personale. Molti siti web falsi utilizzano URL simili a quelli dei siti web originali, quindi controlla sempre l’indirizzo web.
- Non fare clic su link sospetti. Se ricevi un’e-mail o un messaggio di testo con un link sospetto, non fare clic su di esso. Invece, apri il browser web e inserisci manualmente l’URL del sito web nella barra degli indirizzi.
- Utilizza software di sicurezza affidabile. Installa software antivirus e firewall affidabili per proteggere il tuo computer da malware e altre minacce online.
- Aggiorna sempre il software del tuo computer. Assicurati di avere le ultime versioni del software antivirus, del browser web e di altri programmi che utilizzi regolarmente.
- Usa una password sicura e cambiala spesso. Utilizza una password sicura e unica per ogni account online e cambiala regolarmente.
Difendersi dal phishing con la formazione
Il phishing è una minaccia reale e sempre presente su Internet. Ci sono molti tipi diversi di phishing, ognuno dei quali cerca di trarre in inganno le persone in modi diversi. Tuttavia, seguendo alcune semplici precauzioni e utilizzando software di sicurezza affidabile, è possibile proteggersi da queste trappole e mantenere al sicuro le proprie informazioni personali online.
Ricorda sempre di verificare la validità di un’e-mail o di un sito web prima di fornire qualsiasi informazione personale e di non fare clic su link sospetti. Seguendo queste semplici regole, puoi proteggerti da eventuali minacce online e navigare in sicurezza su Internet.
Proteggere le tue informazioni personali online è fondamentale per navigare in sicurezza su Internet. Il corso di Phishing Awareness di Silver Academy ti insegnerà tutto ciò che devi sapere sul phishing, inclusi i tipi di attacchi più comuni e come riconoscere e prevenire queste trappole online. Non farti cogliere impreparato: iscriviti ora al corso di Phishing Awareness e proteggi te stesso e le tue informazioni personali dalle minacce online!