GUIDE E HOW-TO

Phishing: cos’è, come funziona e come proteggersi

Home Cyber security
Indirizzo copiato

Aumentano in modo esponenziale questi attacchi, perpetrati in particolare a danno degli utenti aziendali che “abboccano” a false comunicazioni. Spesso il raggiro del singolo dipendente o manager è il viatico per un’attività di compromissione su larga scala della rete e dei dati di business. Ecco come difendersi

Aggiornato il 12 dic 2024
phishing

In Italia è allarme cybersecurity: si registra un’impennata del 40% degli incidenti, in controtendenza con l’andamento a livello globale degli ultimi cinque anni. E il phishing continua ad essere una delle minacce che preoccupano di più.

Secondo l’ultimo aggiornamento semetrale del Rapporto Clusit, analizzando i dati dell’ultimo quinquennio, dal punto di vista quantitativo la situazione è nettamente peggiorata e la media mensile di incidenti gravi a livello globale è passata dai 139 del 2019 ai 232 del 2023, per arrivare ai 273 del primo semestre 2024. In pratica, in 5 anni nel mondo si è passati dal rilevare 4,5 eventi al giorno al classificarne mediamente 9. Nel 2023 gli incidenti sono aumentati complessivamente dell’11% rispetto al 2022 (ma
quelli verso l’Italia sono aumentati di ben il 65%). La tendenza globale del primo semestre 2024 mostra una ulteriore crescita – +23% rispetto al semestre precedente.

Se si analizza la distribuzione delle tecniche di attacco, il phishing rimane stabile al terzo posto tra le tecniche più diffuse per perpetrare attacchi cyber (utilizzato nell’8% degli incidenti informatici rilevati globalmente e nel 7% di quelli noti nel nostro Paese), preceduto da malware (34%) e sfruttamento delle vulnerabilità (14%).

Clusit phishing tecniche attacco

Cosa si intende per phishing

Il phishing, letteralmente “pesca a strascico”, è una frode informatica (scam, in inglese) ideata con il preciso obiettivo di rubare informazioni rilevanti come le credenziali di accesso a conti correnti bancari oppure dati sensibili relativi a brevetti e proprietà intellettuali protette. Si tratta di un attacco che rientra nell’ambito del cosiddetto Social Engineering: attività perpetrate da criminali che, attraverso raggiri psicologici, riescono a far compiere alla vittima una determinata azione come condividere informazioni sensibili.

Che cos’è il phishing e come funziona?

Differenza tra spearing phishing e spray phishing

Quando questo attacco è mirato e ha come bersaglio uno specifico individuo si parla di spear phishing, mentre nel caso in cui cerca di coinvolgere il maggior numero possibile di vittime si parla di spray phishing. In pratica, il malintenzionato utilizza un messaggio e-mail, un SMS o un banner pubblicitario che compare all’interno di un’applicazione in uso all’utente-target per inviare link a siti web fasulli, ma dall’aspetto molto simile a quello di pagine web ufficiali e sicure. Le strategie sono le più diverse: dalle finte e-mail che annunciano il licenziamento del destinatario del messaggio alle finte notifiche di consegna di un corriere.

Il messaggio è all’apparenza vero, perché proveniente da una fonte considerata attendibile come un amico (di cui il criminale ha rubato l’identità) oppure una banca. Solitamente, il mittente si assicura l’attenzione del malcapitato inserendo un appello urgente a cambiare o aggiornare le credenziali d’accesso a un servizio online, pena l’esclusione dal servizio stesso.

Lo scopo è, ovviamente, quello di sollecitare l’utente a compiere in fretta e furia l’azione che innesca l’attacco cyber, senza riflettere e soprattutto senza verificare in modo attento la provenienza e la veridicità del messaggio. Il link punta a un sito web fasullo con una grafica molto simile a quella di una pagina ufficiale e solitamente contiene un form da compilare inserendo informazioni personali come username e password di accesso a un conto corrente oppure codici di sicurezza (CVV) della carta di credito. Una volta acquisite, queste informazioni possono essere utilizzate per eseguire diverse attività illecite come l’esfiltrazione e la compromissione di reti aziendali oppure la sottrazione di denaro.

Spesso, infatti, il phishing rappresenta il primo passo per avviare un’attività criminale più complessa, come veicolare un programma (dropper) che instilla malware nei sistemi informativi dell’utente e in quelli dell’organizzazione di cui fa parte. Il passo successivo è l’esfiltrazione di dati o la compromissione dell’operatività di server ed endpoint aziendali attuata, per esempio, tramite ransomware, malware da riscatto che criptano i dati rendendone impossibile la consultazione.

Il phishing in numeri

Un recente studio condotto da NordVPN ha gettato luce sulla preoccupante situazione del phishing in Italia, rivelando che circa 7 milioni di italiani, ossia il 14% della popolazione, sono stati vittime di attacchi di questo tipo, con un allarmante 7% che riceve messaggi di phishing quotidianamente. L’analisi demografica delle vittime mostra che, nonostante gli uomini siano leggermente più informati sul phishing rispetto alle donne (77% contro 63%), entrambi i sessi risultano comunque vulnerabili.

La fascia di età più colpita è quella tra i 25 e i 34 anni, con il 74% che dichiara di aver ricevuto messaggi di phishing, mentre sorprendentemente anche gli over 65 non sono esenti, con un tasso di rischio del 70%. Inoltre, è emerso che le persone con redditi più elevati sono generalmente più consapevoli dei rischi di phishing (79%) rispetto a coloro che hanno redditi più bassi (58%), evidenziando così come il livello di informazione sulle minacce informatiche possa variare significativamente in base a vari fattori demografici.

Il report IBM X-Force Threat Intelligence Index 2024 lancia l’allarme sul furto di credenziali del Cloud da parte criminali informatici, molto ricercate nel dark web. Tra le tecniche più utilizzate c’è il phishing, che negli ultimi due anni, ha rappresentato il 33% degli incidenti condotti nella nuvola.

Tipologie di phishing

Quando si pensa al phishing l’immagine che viene in mente è quella della classica e-mail fasulla proveniente da un fornitore di servizi molto conosciuto o da un grande gruppo bancario. Tuttavia, non esiste solo la posta elettronica come vettore d’attacco.

Mobile phishing ovvero smishing (SMS phishing) e app phishing

Oltre che nella tradizionale variante dell’e-mail fraudolenta, gli attacker colpiscono anche attraverso SMS fasulli, che simulano comunicazioni inviate da service provider, gestori di circuiti di pagamento e banche. In questo caso, si parla di smishing (SMS+phishing). Lo scopo è sempre e comunque acquisire informazioni personali e finanziarie. Il messaggio generalmente chiede al malcapitato di cliccare un link e accedere a una pagina web digitando PIN, username e password, oppure fare una telefonata per verificare, aggiornare o riattivare un account, di fatto fornendo informazioni confidenziali ai malintenzionati, che potranno usarle per esfiltrare dati aziendali sensibili o svuotare conti correnti. Negli smartphone, poi, sono in aumento le finestre di phishing che si sovrappongono all’interfaccia legittima di un’App mobile di gestione delle password per carpire chiavi d’accesso a diversi servizi online.

Vishing (voice phishing)

Il vishing, ovvero il voice phishing, è una tecnica che consiste nell’utilizzare le chiamate telefoniche per attuare truffe informatiche. Attraverso tecniche di ingegneria sociale, l’attacker induce le vittime a condividere informazioni finanziarie o personali oppure a compiere un’azione specifica come, per esempio, cercare di accedere al proprio conto corrente online. Solitamente nel vishing l’attaccante impersona un funzionario della banca o della società che gestisce i circuiti della carta di credito, che gli segnala la compromissione del conto corrente oppure addebiti fraudolenti sollecitando una risposta immediata dell’interlocutore.

Whaling (caccia alla balena)

Nel caso in cui la vittima designata sia un top manager aziendale, un C-level per esempio, il phishing si trasforma in una vera e propria “caccia alla balena” (whaling). L’obiettivo dei cyber criminali in questo caso è manipolare e ingannare il CxO per convincerlo a condividere informazioni aziendali sensibili in suo possesso, per esempio quelle relative a un brevetto, oppure indurlo a compiere azioni dannose come autorizzare bonifici e giroconti.

Zombie phishing

Una variante molto diffusa della “pesca a strascico” è lo zombie phishing in cui i criminali subentrano in un account ufficiale (tipicamente un indirizzo di posta elettronica aziendale) e rispondono a una vecchia e-mail con un link malevolo. Siccome l’oggetto della mail e il mittente sono noti al destinatario, risulta ancora più difficile non cadere in trappola.

Phishing Adversary-in-the-middle (AITM)

Il phishing AITM è una forma sofisticata e particolarmente pericolosa di attacco di phishing in cui i cybercriminali si pongono nel mezzo tra la vittima e un’entità legittima allo scopo di intercettare o manipolare le comunicazioni. Può dunque portare alla compromissione della posta elettronica aziendale e all’acquisizione delle credenziali.

Una volta entrati nell’account della vittima, i criminali cercano di portare a termine i loro obiettivi con attacchi BEC (Business Email Compromise) nel 39% dei casi: falsificano gli account di posta elettronica spacciandosi per qualcuno dell’organizzazione vittima o di un’altra organizzazione fidata. Dopo aver compromesso la piattaforma di posta elettronica in cloud, gli attaccanti possono eseguire diverse operazioni, come impossessarsi di comunicazioni sensibili, manipolare transazioni finanziarie o utilizzare gli account di posta elettronica compromessi per condurre ulteriori attacchi.

Per prevenire questo rischio, sono fondamentali i programmi di formazione per tutti i dipendenti, che devono essere preparati a riconoscere e a segnalare alla persona preposta alla sicurezza le tecniche di phishing, le e-mail spoofed e i link sospetti.

La tecnologia può aiutare: oggi sono disponibili strumenti avanzati di filtraggio e protezione delle e-mail che utilizzano l’intelligenza artificiale per rilevare e bloccare i tentativi di phishing, i link e gli allegati dannosi prima che possano raggiungere le caselle degli utenti. Infine, possono contribuire a proteggere dagli attacchi di phishing AITM le opzioni di autenticazione senza password, come il codice QR o l’autenticazione FIDO2.

Phishing sui Social Media

Sfruttando la vasta base di utenti e la fiducia riposta nelle piattaforme social per perpetrare attacchi mirati e diffusi, questa forma di phishing si avvale delle caratteristiche intrinseche dei social media: interazione rapida, ampie reti di contatti e un elevato volume di scambi di informazioni, per ingannare gli utenti e indurli a rivelare dati sensibili o ad accedere a link dannosi.

Caratteristiche del phishing sui Social Media

  • Profili falsi e impersonificazione: Gli aggressori creano account che imitano quelli di persone reali, aziende note o persino entità governative. Utilizzando questi profili, possono guadagnare la fiducia delle vittime, rendendole più inclini a condividere informazioni personali o ad accedere a link che portano a pagine di phishing.
  • Messaggi diretti (DM) fraudolenti: Tramite messaggistica diretta, gli utenti ricevono comunicazioni che sembrano provenire da amici o marchi affidabili, contenenti spesso link che conducono a siti di phishing progettati per rubare credenziali di accesso o dati finanziari.
  • Post e annunci ingannevoli: Gli attaccanti spesso pubblicano post o creano annunci pubblicitari che promuovono offerte irresistibili, concorsi o regali. Questi post sono progettati per attirare clic verso siti esterni fraudolenti.
  • Hashtag e trending topics: Utilizzando hashtag popolari o inserendosi in discussioni di tendenza, i cybercriminali diffondono link malevoli o richieste di informazioni, mascherati da contributi legittimi alla conversazione.
Guida pratica alla scelta del security software

Proteggere i remote worker (e non solo): una strategia anti-phishing in 7 mosse

Solitamente, nel caso di attacchi perpetrati ai danni di utenti aziendali, il tentativo di carpire informazioni personali e sensibili rappresenta solo il viatico per guadagnarsi l’accesso alla rete aziendale, che rappresenta il vero obiettivo dei cyber criminali. Una e-mail malevola o un SMS ben scritti, combinati con una scaltra attività di ingegneria sociale, per esempio un oggetto molto accattivante, nella maggior parte dei casi riescono a centrare l’obiettivo di persuadere almeno uno dei malcapitati destinatari a leggere, cliccare, inserire informazioni sensibili. E a quel punto il dado è tratto.

Ecco, dunque, quali sono i suggerimenti degli esperti per proteggere in modo efficace gli utenti dai pericoli del phishing.

  1. Assicurarsi che i dipendenti si sottopongano a una o più sessioni di formazione sui principali pericoli: Obiettivo di questa attività dovrà essere insegnare a riconoscere e smascherare i tentativi di phishing, reagire prontamente a un eventuale incidente, fornire indicazioni chiare sui referenti aziendali cui segnalare il sospetto di una minaccia cyber o di un’attività fraudolenta.
  2. Sottoscrivere un servizio di assessment, awareness e anti-phishing per comprendere il grado di preparazione dei dipendenti e la tenuta dei sistemi IT rispetto all’avanzata delle nuove minacce. La sensibilizzazione sui pericoli di questi attacchi permette in molti casi di stroncare i tentativi di phishing sul nascere. Se possibile, completare la formazione con esercitazioni in cui i dipendenti ricevono false e-mail di phishing, per testare la loro consapevolezza e la loro preparazione in merito a questa minaccia. In molti casi, la reazione dei dipendenti a una campagna di phishing è ciò che fa la differenza tra un tentativo fallito di penetrare la rete aziendale e una catastrofe.
  3. Adottare l’autenticazione a più fattori per proteggere al massimo i dati più sensibili relativi, per esempio, a transazioni finanziarie o accessi ai conti correnti bancari. Questo può essere fatto con un sistema di identificazione biometrica o una One-Time-Password (OTP) inviata al telefono del dipendente.
  4. Aggiornare regolarmente i software: Le vulnerabilità delle applicazioni possono rendere molto più facile per l’attaccante infiltrarsi nel network attraverso un tentativo di phishing.
  5. Abbonarsi a un servizio di intelligence sulle minacce informatiche: Questi servizi permettono al team del CISO di essere sempre informato sulle minacce emergenti nel settore e nella regione di riferimento. L’azienda sarà in grado di analizzare la propria posizione di difesa e valutare la capacità di risposta alle minacce avanzate sulla base di dati reali, piuttosto che su semplici supposizioni.
  6. Creare un team di risposta agli incidenti (incident response team): Questi esperti possono aiutare l’organizzazione a riprendere più velocemente l’operatività quotidiana in caso di incidente, riducendo l’impatto sulla reputazione dei marchi dell’azienda e contenendo le spese relative.
  7. Stipulare un’assicurazione contro i rischi cyber: Si tratta di una buona prassi per cautelarsi contro il pericolo di enormi perdite finanziarie in caso di attacco informatico.

Il vero investimento in cybersecurity parte dalla formazione

L’importanza della formazione e della sensibilizzazione dei dipendenti nell’ambito della cybersecurity emerge chiaramente come una delle principali priorità per il 71% delle grandi aziende, stando ai risultati della ricerca dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano.

La promozione di una cultura cyber è identificata come l’aspetto che necessita maggiormente di attenzione, evidenziando l’impegno quasi unanime delle grandi organizzazioni nel predisporre iniziative volte a incrementare la consapevolezza sui rischi cyber, con il 77% che attua piani di formazione destinati a una vasta gamma di dipendenti. Nel contempo, si assiste a un rafforzamento dei team dedicati alla cybersecurity, sia attraverso l’incremento degli specialisti interni, riscontrato nel 51% delle aziende, sia mediante il ricorso a consulenti esterni, presente nel 45% dei casi.

«Il continuo aumento degli attacchi informatici e l’evoluzione del contesto hanno generato una progressiva presa di coscienza sulla necessità di investire in sicurezza informatica da parte delle organizzazioni, specialmente quelle più strutturate – spiega Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Cybersecurity & Data Protection -. Per ridurre il divario ancora presente tra l’Italia e gli altri Paesi, però, è necessario un corretto bilanciamento tra investimenti tecnologici e capitale umano. Da un lato, è essenziale cogliere il potenziale delle tecnologie, in primis quelle più innovative come l’Intelligenza Artificiale. Dall’altro, non va sottovalutata la componente umana, insistendo sulla formazione e sensibilizzazione dei lavoratori, con l’obiettivo di creare una mentalità security first che rappresenti la prima forma di difesa anziché l’elemento più debole della catena».

Originariamente pubblicato il 9 nov 2020
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Originariamente pubblicato il 9 nov 2020
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Articoli correlati

  • Cyber security awareness, perché serve investire nel fattore umano

  • SPONSORED STORY

    Cyber security awareness, perché serve investire nel fattore umano

    23 Gen 2024

    di Domenico Aliperto

    Condividi
  • Cybersecurity e AI, verso una nuova frontiera della sicurezza

  • Scenari

    Cybersecurity e AI, verso una nuova frontiera della sicurezza

    08 Dic 2023

    di Federica Maria Rita Livelli

    Condividi
  • Cybersecurity e IoT, come rendere resilienti le reti di oggetti interconnessi

  • Cybersecurity

    Cybersecurity e IoT, come rendere resilienti le reti di oggetti interconnessi

    22 Mag 2023

    di Federica Maria Rita Livelli

    Condividi

Prossimo

Cyber security awareness, perché serve investire nel fattore umano

Articolo 1 di 4