Phishing

Il phishing è una forma di attacco di ingegneria sociale nel quale il criminale si spaccia per un’entità attendibile chiedendo alla vittima di condividere informazioni sensibili.

5 minuti di lettura

5 minuti di lettura

Cosa si intende per phishing?

Hai mai ricevuto un’e-mail, un SMS o un’altra forma di comunicazione elettronica apparentemente proveniente da un istituto bancario o un altro servizio online famoso in cui ti veniva richiesto di “confermare” le credenziali del tuo account, un numero di carta di credito o altre informazioni sensibili? Se la risposta è affermativa, sai già come si presenta un comune attacco di phishing. Questa tecnica viene utilizzata per ottenere dati importanti degli utenti che possono essere venduti o impiegati in modo illecito dagli autori degli attacchi per scopi malevoli, tra cui estorsioni, furti di denaro o furti di identità.

Origine del termine

Il concetto è stato descritto per la prima volta in un conference paper del 1987 da Jerry Felix e Chris Hauck intitolato “System Security: A Hacker’s Perspective” (1987 Interex Proceedings 1:6). Nel contributo si discuteva la tecnica adottata dall’autore di un attacco che si spacciava per un’entità o un servizio che godeva di buona reputazione. Il termine stesso è omofono di “fishing” (dall’inglese “pesca”) per le sue vittime e utilizza la stessa logica di “un pesce che abbocca”. Il “ph-” iniziale vuole essere un riferimento ai “phreaks”, un gruppo di pirati informatici che hanno sperimentato e sfruttato illegalmente i confini dei sistemi di telecomunicazione negli anni ‘90.

Come funziona il phishing?

Il phishing ha circolato per vari anni durante i quali gli autori degli attacchi hanno sviluppato un’ampia gamma di strategie per far cadere le vittime nella trappola.

La tecnica di phishing più comunemente utilizzata consiste nello spacciarsi per una banca o un istituto finanziario tramite e-mail, per far cadere il malcapitato nella trappola facendogli compilare un modulo falso che si trova all’interno o in allegato al messaggio e-mail o a visitare una pagina web in cui si richiede l’inserimento dei dettagli dell’account o delle credenziali di accesso.

In passato, per raggiungere questi obiettivi, venivano spesso utilizzati nomi di dominio contenenti errori di ortografia o ingannevoli. Oggigiorno, gli autori degli attacchi utilizzano metodi più sofisticati creando link e pagine false sempre più simili alle rispettive controparti.

Ulteriori informazioni

Le informazioni sottratte ai malcapitati vengono solitamente utilizzate in modo illecito per ripulirne i conti correnti oppure sono vendute online.

Attacchi simili possono essere effettuati anche telefonicamente (vishing) nonché tramite messaggi SMS (smishing).

Spearphishing

Metodo di phishing più avanzato basato sull’invio di messaggi apparentemente autentici agli indirizzi di posta elettronica di specifici gruppi, organizzazioni o persino privati. Gli autori delle e-mail di spearphishing conducono preventivamente ricerche dettagliate sulle vittime, rendendo difficile l’individuazione di contenuti fraudolenti.

Gli attacchi perpetrati contro persone d’affari specifiche e prevalentemente di alto profilo, tra cui top manager o proprietari, sono detti “whaling” (letteralmente “caccia alle balene”), a causa dell’entità della potenziale ricompensa (ragazzacci che vanno a caccia del “pesce grosso”).

Come fare a riconoscere un caso di phishing

Un’e-mail o un messaggio elettronico può contenere loghi ufficiali o altri simboli di un’organizzazione che gode di buona reputazione e provenire tuttavia da un phisher. Riportiamo una serie di suggerimenti  che tiaiuteranno a riconoscere un messaggio di phishing.

Ulteriori informazioni

  1. Saluti generici o informali: se in un messaggio non vi sono formule di personalizzazione (p. es. “Gentile cliente”) e formalità, probabilmente c’è qualcosa che non va. Lo stesso dicasi per le formule di pseudo-personalizzazione che utilizzano numeri di riferimento casuali o finti 
  2. Una richiesta di informazioni personali: questa strategia, utilizzata spesso dai phisher, è solitamente scoraggiata da banche, istituti finanziari e la maggior parte dei servizi online
  3. Errori grammaticali: errori ortografici, refusi e formulazione insolita delle frasi sono spesso indice di un contenuto falso (ma allo stesso tempo l’assenza di uno di questi elementi non costituisce una prova inconfutabile di legittimità)
  4. Corrispondenza inattesa: un contatto non richiesto da una banca o da un fornitore di servizi online rappresenta un comportamento alquanto insolito e di conseguenza sospetto
  5. Senso di urgenza: i messaggi di phishing tentano spesso di indurre ad azioni rapide e meno ragionate
  6. Offerta irrinunciabile: se il messaggio sembra troppo bello per essere vero, quasi certamente lo è
  7. Dominio sospetto: una banca statunitense o tedesca invierebbe davvero un’e-mail da un dominio cinese?

Come proteggersi dal phishing

Per evitare di cadere nella trappola del phishing, fai attenzione ai segnali suggeriti in precedenza con cui i messaggi di phishing sono soliti tradirsi.

Segui questa semplice procedura

  1. Fai attenzione alle nuove tecniche di phishing: Attieniti ai report degli attacchi phishing diffusi dai media, in quanto gli autori degli attacchi potrebbero escogitare nuove tecniche per far cadere le vittime nella propria trappola 
  2. Non condividere i tuoi dati personali: Fai sempre attenzione se in un messaggio elettronico proveniente da un’autorità apparentemente attendibile ti chiede di fornire le tue credenziali o altri dettagli sensibili. Se necessario, verifica il contenuto del messaggio con il mittente o l’organizzazione che dovrebbe rappresentare (utilizzando dettagli di contatto noti per essere autentici anziché le informazioni fornite nel messaggio)
  3. Pensa prima di cliccare: Se un messaggio sospetto contiene un link o un allegato, non cliccare e non avviare il download. In tal modo potresti venire reindirizzato a un sito web dannoso o infettare il dispositivo con un malware
  4. Controlla periodicamente i tuoi conti online: Anche se non sospetti che qualcuno stia tentando di rubarti le credenziali, controlla che non vi siano attività strane sui conti bancari e sugli altri account online. Per sicurezza...
  5. Utilizza una soluzione anti-phishing affidabile. Applica queste tecniche “Per una tecnologia più sicura” 

Esempi noti

Le attività sistematiche di phishing hanno avuto inizio nella rete America Online (AOL) nel 1995. Per impossessarsi di credenziali di account legittimi, gli autori degli attacchi contattavano le vittime tramite il programma AOL Instant Messenger (AIM), spacciandosi il più delle volte per dipendenti di AOL incaricati della verifica delle password degli utenti. Il termine “phishing” è apparso per la prima volta in un newsgroup di Usenet basato su uno strumento chiamato AOHell in grado di automatizzare questo metodo e il nome rimase invariato. In seguito all’introduzione di una serie di contromisure da parte di AOL nel 1997, gli autori degli attacchi scoprirono che era possibile utilizzare la stessa tecnica in altre parti dell’universo online, puntando stavolta a spacciarsi per alcuni istituti finanziari.

Ulteriori informazioni

Uno dei primi e più importanti tentativi (sebbene non riuscito) fu effettuato nel 2001, nel clima di estremo caos causato dagli attacchi terroristici dell’11 settembre. I phisher inviarono alcune e-mail chiedendo alle vittime di effettuare un controllo dei documenti di identità nel tentativo di utilizzare in modo illecito i dati ottenuti per sottrarre informazioni finanziarie al servizio di valuta digitale e-gold.

Il phishing riuscì ad attecchire nel mondo online in soli tre anni e nel 2005 costò agli utenti statunitensi la bellezza di oltre 900 milioni di dollari.

Secondo i dati dell’APWG Global Phishing Survey, nel 2016 sono stati osservati più di 250.000 attacchi di phishing esclusivi, incentrati sull’utilizzo di un numero record di nomi di domini registrati con fini illeciti che superava quota 95.000. Negli ultimi anni, i phisher si sono concentrati prevalentemente su servizi bancari, finanziari e monetari, clienti di e-commerce e credenziali di social network e e-mail.

Scopri la nostra soluzione di sicurezza più completa

ESET Smart Security Premium

Un software di cybersecurity veramente efficace.

ESET Smart Security Premium

Un software di cybersecurity veramente efficace.

ESET Smart Security Premium

Il nostro miglior prodotto per privati, per utenti che non si accontentano.
Protegge sistemi operativi Windows, Mac, Android.