“Ciao Mario, hai vinto un iPhone 14!”: è in questo modo che iniziano alcuni tipici tentativi di phishing. Purtroppo, però, spesso non sono così ovvi e diventa più difficile identificarli. Non a caso il report di Accenture del 2021 mostra un aumento degli attacchi informatici, di cui il phishing fa parte. È importante sapere come riconoscere email di phishing o altri tipi di comunicazioni perché a partire da queste gli hacker possono rubare dati ed informazioni personali, anche legati alle carte di credito del malcapitato che attaccano.
In questo articolo spiegheremo il phishing cos’è e quali sono alcuni metodi per poterlo riconoscere e difendersi dalla sua azione.
Phishing: significato
Il phishing è un tipo di truffa informatica che si compie attraverso la rete Internet e si realizza tramite l’invio di email o SMS ingannevoli. Il significato della parola rimanda al termine “fishing”, ovvero andare a pesca, perché lo scopo del phishing è proprio quello di “far abboccare” il lettore della mail fraudolenta per indurlo a condividere informazioni sensibili quali password e numeri di carte di credito.
Come funziona il phishing?
Tra i vari modi per ingannare la vittima del phishing il più comune è l’invio di un’email o di un messaggio di testo che imita una persona o organizzazione autorevole, come un collega, una banca o un ufficio governativo. La comunicazione cerca di spaventare chi la riceve, usando come scusa, ad esempio un problema di registrazione, e invita a visitare un sito web quanto prima e ad intraprendere delle azioni in modo da evitare conseguenze negative.
Nella mail quindi sarà presente un link da cliccare che porterà sull’imitazione di un sito legittimo dove l’utente dovrà accedere inserendo il proprio nome utente e password. Se inseriti, questi dati verranno quindi rubati dal criminale che li utilizzerà per intercettare accessi a conti bancari o vendere informazioni personali sul mercato nero.
Purtroppo tutti i sistemi operativi possono subire degli attacchi di phishing, a prescindere dal tipo di sistema di sicurezza che li caratterizza.
Esempi di attacchi di phishing
Esistono varie categorie di phishing atte a carpire informazioni sensibili. Tra le principali troviamo:
● Spear phishing
La caratteristica principale dello spear phishing consiste nel fatto di essere mirato verso un individuo o un’organizzazione specifici, spesso con contenuti personalizzati in base al destinatario. In questo senso si capisce come questa modalità di phishing richieda un’analisi preliminare delle vittime per redigere un’email phishing o un messaggio sui social credibile. Lo spear phishing è purtroppo un tipo di phishing molto pericoloso e diffuso, infatti, nel 2020 ha rappresentato ben il 65% degli attacchi informatici.
● Whaling
Nel whaling quando gli hacker, come suggerisce il nome che rimanda a “balena”, prendono di mira un “pesce grosso”, come il CEO dell’azienda e, per farlo, studiano a fondo il bersaglio per trovare il momento ed il modo migliore per effettuare il furto delle credenziali di accesso. Per la posizione che ricopre la vittima, se l’attacco whaling va a buon fine, c’è un alto rischio che il truffatore acceda a parecchie informazioni aziendali.
● Phone phishing
Il phone phishing, detto anche voice phishing o “vishing“, si concretizza in telefonate in cui il phisher finge di essere un rappresentante di un istituto bancario, delle forze dell’ordine o dell’agenzia esattoriale. Comunica alla vittima la presenza di un problema urgente, insiste per ricevere i dati del conto bancario o per ottenere un pagamento, ad esempio di una multa.
Un’alternativa al vishing dal funzionamento simile è l’SMS phishing o “smishing”.
● Clone phishing
In questo tipo di attacco, gli hacker copiano, o clonano, delle e-mail legittime che prevedono dei link o degli allegati e li sostituiscono con link dannosi.
● Pharming
Nel pharming gli utenti accedono ad un sito fraudolento ma che appare perfettamente in regola. Per farlo, le vittime non partono da un link malevolo perché i criminali fanno in modo di infettare il computer dell’utente o il server DNS del sito reindirizzandolo verso una pagina fittizia anche se viene digitato l’URL corretto.
● Deceptive phishing
Il deceptive phishing è il tipo di attacco più diffuso, e si manifesta, ad esempio, con una mail in cui si chiede di fare clic su un link e verificare i dettagli del proprio conto corrente.
Come identificare un attacco di phishing
Non è sempre semplice riconoscere un tentativo di phishing ma spesso basta un po’ di buon senso ed attenzione per farlo. Dato che spesso gli attacchi di phishing fanno leva sulla paura di un’azione imminente, rifletti e osserva ogni dettaglio prima di (eventualmente) agire.
Ecco alcuni altri segnali che aiutano ad individuare un phishing:
- la comunicazione è sgrammaticata o contiene molti refusi;
- l’email comunica un’offerta troppo vantaggiosa o una vincita;
- conosci il mittente ma non vi hai mai contatti e, soprattutto, il suo contenuto fa riferimento a qualcosa che esula completamente da ciò che ti aspetteresti di ricevere da lui. Anche ricevere una mail con tante persone che non conosci in “cc” è molto sospetto;
- attenzione alle email che usano un tono allarmistico e minaccioso per ricevere dati. Nessuna organizzazione legittima chiederebbe informazioni personali su Internet;
- sono presenti allegati inconsueti. Non aprirli per non essere infettato da malware, ransomware, o altri tipi di virus;
- il messaggio contiene link sospetti. Passando il cursore sopra il link potrai leggere l’URL reale per scoprire se lo sono davvero ma, in ogni caso, è sempre meglio digitare l’URL invece di cliccare sul link riportato nell’email.
Phishing: come difendersi
Come anticipato, il primo passo per proteggerti da un phishing è non allarmarsi. Per il resto, oltre a quanto prima detto, puoi seguire questi consigli:
- non aprire email provenienti da mittenti che non conosci;.
- non cliccare sui link presenti nella posta elettronica se non sei sicuro della fonte e della destinazione. In alternativa arriva manualmente al link fornito digitando l’indirizzo del sito web legittimo direttamente dal browser;
- se devi fornire dati ed informazioni personali, controlla che l’URL della pagina inizi con “HTTPS” piuttosto che “HTTP” poiché la “S” indica il termine “sicuro”;
- scorri il cursore sopra il link per vedere se conduce a qualcosa di legittimo;
- utilizza un software di sicurezza anti-malware.
Nel 2020 KRUK ha condotto un sondaggio insieme a Kaspersky, leader nella sicurezza informatica, in cui ha analizzato i comportamenti digitali durante il Covid, fornendo alcuni consigli per proteggersi dagli attacchi informatici e dalle truffe online, come puoi leggere qui.
Lo sapevi che…
- Il primo phishing registrato risale al 2 gennaio 1996, ed è avvenuto in un newsgroup Usenet americano chiamato AOHell mentre il primo attacco di phishing contro un istituto bancario viene segnalato da The Banker nel settembre 2003.