GUIDE E HOW-TO

Phishing: cos’è, come funziona e come proteggersi

Aumentano in modo esponenziale questi attacchi, perpetrati in particolare a danno degli utenti aziendali che “abboccano” a false comunicazioni. Spesso il raggiro del singolo dipendente o manager è il viatico per un’attività di compromissione su larga scala della rete e dei dati di business. Ecco come difendersi

Aggiornato il 23 Feb 2024

Annalisa Casali

phishing

In Italia è allarme cybersecurity: si registra un’impennata del 40% degli incidenti, in controtendenza con l’andamento a livello globale degli ultimi cinque anni. E il phishing continua ad essere una delle minacce che preoccupano di più.

Se si considera il periodo dal 2018 al primo semestre del 2023, gli attacchi informatici sono aumentati del 61,5% a livello globale, mentre nel nostro Paese la crescita totale è addirittura del 300%. Sono questi i dati evidenziati dal Clusit che ha rilevato 1.382 incidenti gravi nel solo primo semestre del 2023, segnando un incremento dell’11% rispetto allo stesso periodo del 2022.

Cosa si intende per phishing

Il phishing, letteralmente “pesca a strascico”, è una frode informatica (scam, in inglese) ideata con il preciso obiettivo di rubare informazioni rilevanti come le credenziali di accesso a conti correnti bancari oppure dati sensibili relativi a brevetti e proprietà intellettuali protette. Si tratta di un attacco che rientra nell’ambito del cosiddetto Social Engineering: attività perpetrate da criminali che, attraverso raggiri psicologici, riescono a far compiere alla vittima una determinata azione come condividere informazioni sensibili.

Differenza tra spearing phishing e spray phishing

Quando questo attacco è mirato e ha come bersaglio uno specifico individuo si parla di spear phishing, mentre nel caso in cui cerca di coinvolgere il maggior numero possibile di vittime si parla di spray phishing. In pratica, il malintenzionato utilizza un messaggio e-mail, un SMS o un banner pubblicitario che compare all’interno di un’applicazione in uso all’utente-target per inviare link a siti web fasulli, ma dall’aspetto molto simile a quello di pagine web ufficiali e sicure. Le strategie sono le più diverse: dalle finte e-mail che annunciano il licenziamento del destinatario del messaggio alle finte notifiche di consegna di un corriere.

Il messaggio è all’apparenza vero, perché proveniente da una fonte considerata attendibile come un amico (di cui il criminale ha rubato l’identità) oppure una banca. Solitamente, il mittente si assicura l’attenzione del malcapitato inserendo un appello urgente a cambiare o aggiornare le credenziali d’accesso a un servizio online, pena l’esclusione dal servizio stesso. Lo scopo è, ovviamente, quello di sollecitare l’utente a compiere in fretta e furia l’azione che innesca l’attacco cyber, senza riflettere e soprattutto senza verificare in modo attento la provenienza e la veridicità del messaggio. Il link punta a un sito web fasullo con una grafica molto simile a quella di una pagina ufficiale e solitamente contiene un form da compilare inserendo informazioni personali come username e password di accesso a un conto corrente oppure codici di sicurezza (CVV) della carta di credito. Una volta acquisite, queste informazioni possono essere utilizzate per eseguire diverse attività illecite come l’esfiltrazione e la compromissione di reti aziendali oppure la sottrazione di denaro.

Spesso, infatti, il phishing rappresenta il primo passo per avviare un’attività criminale più complessa, come veicolare un programma (dropper) che instilla malware nei sistemi informativi dell’utente e in quelli dell’organizzazione di cui fa parte. Il passo successivo è l’esfiltrazione di dati o la compromissione dell’operatività di server ed endpoint aziendali attuata, per esempio, tramite ransomware, malware da riscatto che criptano i dati rendendone impossibile la consultazione.

Il phishing in numeri

Un recente studio condotto da NordVPN ha gettato luce sulla preoccupante situazione del phishing in Italia, rivelando che circa 7 milioni di italiani, ossia il 14% della popolazione, sono stati vittime di attacchi di questo tipo, con un allarmante 7% che riceve messaggi di phishing quotidianamente. L’analisi demografica delle vittime mostra che, nonostante gli uomini siano leggermente più informati sul phishing rispetto alle donne (77% contro 63%), entrambi i sessi risultano comunque vulnerabili.

La fascia di età più colpita è quella tra i 25 e i 34 anni, con il 74% che dichiara di aver ricevuto messaggi di phishing, mentre sorprendentemente anche gli over 65 non sono esenti, con un tasso di rischio del 70%. Inoltre, è emerso che le persone con redditi più elevati sono generalmente più consapevoli dei rischi di phishing (79%) rispetto a coloro che hanno redditi più bassi (58%), evidenziando così come il livello di informazione sulle minacce informatiche possa variare significativamente in base a vari fattori demografici.

Tipologie di phishing

Quando si pensa al phishing l’immagine che viene in mente è quella della classica e-mail fasulla proveniente da un fornitore di servizi molto conosciuto o da un grande gruppo bancario. Tuttavia, non esiste solo la posta elettronica come vettore d’attacco.

Mobile phishing ovvero smishing (SMS phishing) e app phishing

Oltre che nella tradizionale variante dell’e-mail fraudolenta, gli attacker colpiscono anche attraverso SMS fasulli, che simulano comunicazioni inviate da service provider, gestori di circuiti di pagamento e banche. In questo caso, si parla di smishing (SMS+phishing). Lo scopo è sempre e comunque acquisire informazioni personali e finanziarie. Il messaggio generalmente chiede al malcapitato di cliccare un link e accedere a una pagina web digitando PIN, username e password, oppure fare una telefonata per verificare, aggiornare o riattivare un account, di fatto fornendo informazioni confidenziali ai malintenzionati, che potranno usarle per esfiltrare dati aziendali sensibili o svuotare conti correnti. Negli smartphone, poi, sono in aumento le finestre di phishing che si sovrappongono all’interfaccia legittima di un’App mobile di gestione delle password per carpire chiavi d’accesso a diversi servizi online.

Vishing (voice phishing)

Il vishing, ovvero il voice phishing, è una tecnica che consiste nell’utilizzare le chiamate telefoniche per attuare truffe informatiche. Attraverso tecniche di ingegneria sociale, l’attacker induce le vittime a condividere informazioni finanziarie o personali oppure a compiere un’azione specifica come, per esempio, cercare di accedere al proprio conto corrente online. Solitamente nel vishing l’attaccante impersona un funzionario della banca o della società che gestisce i circuiti della carta di credito, che gli segnala la compromissione del conto corrente oppure addebiti fraudolenti sollecitando una risposta immediata dell’interlocutore.

Whaling (caccia alla balena)

Nel caso in cui la vittima designata sia un top manager aziendale, un C-level per esempio, il phishing si trasforma in una vera e propria “caccia alla balena” (whaling). L’obiettivo dei cyber criminali in questo caso è manipolare e ingannare il CxO per convincerlo a condividere informazioni aziendali sensibili in suo possesso, per esempio quelle relative a un brevetto, oppure indurlo a compiere azioni dannose come autorizzare bonifici e giroconti.

Zombie phishing

Una variante molto diffusa della “pesca a strascico” è lo zombie phishing in cui i criminali subentrano in un account ufficiale (tipicamente un indirizzo di posta elettronica aziendale) e rispondono a una vecchia e-mail con un link malevolo. Siccome l’oggetto della mail e il mittente sono noti al destinatario, risulta ancora più difficile non cadere in trappola.

Phishing sui Social Media

Sfruttando la vasta base di utenti e la fiducia riposta nelle piattaforme social per perpetrare attacchi mirati e diffusi, questa forma di phishing si avvale delle caratteristiche intrinseche dei social media: interazione rapida, ampie reti di contatti e un elevato volume di scambi di informazioni, per ingannare gli utenti e indurli a rivelare dati sensibili o ad accedere a link dannosi.

Caratteristiche del phishing sui Social Media

  • Profili falsi e impersonificazione: Gli aggressori creano account che imitano quelli di persone reali, aziende note o persino entità governative. Utilizzando questi profili, possono guadagnare la fiducia delle vittime, rendendole più inclini a condividere informazioni personali o ad accedere a link che portano a pagine di phishing.
  • Messaggi diretti (DM) fraudolenti: Tramite messaggistica diretta, gli utenti ricevono comunicazioni che sembrano provenire da amici o marchi affidabili, contenenti spesso link che conducono a siti di phishing progettati per rubare credenziali di accesso o dati finanziari.
  • Post e annunci ingannevoli: Gli attaccanti spesso pubblicano post o creano annunci pubblicitari che promuovono offerte irresistibili, concorsi o regali. Questi post sono progettati per attirare clic verso siti esterni fraudolenti.
  • Hashtag e trending topics: Utilizzando hashtag popolari o inserendosi in discussioni di tendenza, i cybercriminali diffondono link malevoli o richieste di informazioni, mascherati da contributi legittimi alla conversazione.

Come scegliere il software di protezione adatto alle esigenze della tua azienda

Guida pratica alla scelta del security software

Proteggere i remote worker (e non solo): una strategia anti-phishing in 7 mosse

Solitamente, nel caso di attacchi perpetrati ai danni di utenti aziendali, il tentativo di carpire informazioni personali e sensibili rappresenta solo il viatico per guadagnarsi l’accesso alla rete aziendale, che rappresenta il vero obiettivo dei cyber criminali. Una e-mail malevola o un SMS ben scritti, combinati con una scaltra attività di ingegneria sociale, per esempio un oggetto molto accattivante, nella maggior parte dei casi riescono a centrare l’obiettivo di persuadere almeno uno dei malcapitati destinatari a leggere, cliccare, inserire informazioni sensibili. E a quel punto il dado è tratto.

Ecco, dunque, quali sono i suggerimenti degli esperti per proteggere in modo efficace gli utenti dai pericoli del phishing.

  1. Assicurarsi che i dipendenti si sottopongano a una o più sessioni di formazione sui principali pericoli: Obiettivo di questa attività dovrà essere insegnare a riconoscere e smascherare i tentativi di phishing, reagire prontamente a un eventuale incidente, fornire indicazioni chiare sui referenti aziendali cui segnalare il sospetto di una minaccia cyber o di un’attività fraudolenta.
  2. Sottoscrivere un servizio di assessment, awareness e anti-phishing per comprendere il grado di preparazione dei dipendenti e la tenuta dei sistemi IT rispetto all’avanzata delle nuove minacce. La sensibilizzazione sui pericoli di questi attacchi permette in molti casi di stroncare i tentativi di phishing sul nascere. Se possibile, completare la formazione con esercitazioni in cui i dipendenti ricevono false e-mail di phishing, per testare la loro consapevolezza e la loro preparazione in merito a questa minaccia. In molti casi, la reazione dei dipendenti a una campagna di phishing è ciò che fa la differenza tra un tentativo fallito di penetrare la rete aziendale e una catastrofe.
  3. Adottare l’autenticazione a più fattori per proteggere al massimo i dati più sensibili relativi, per esempio, a transazioni finanziarie o accessi ai conti correnti bancari. Questo può essere fatto con un sistema di identificazione biometrica o una One-Time-Password (OTP) inviata al telefono del dipendente.
  4. Aggiornare regolarmente i software: Le vulnerabilità delle applicazioni possono rendere molto più facile per l’attaccante infiltrarsi nel network attraverso un tentativo di phishing.
  5. Abbonarsi a un servizio di intelligence sulle minacce informatiche: Questi servizi permettono al team del CISO di essere sempre informato sulle minacce emergenti nel settore e nella regione di riferimento. L’azienda sarà in grado di analizzare la propria posizione di difesa e valutare la capacità di risposta alle minacce avanzate sulla base di dati reali, piuttosto che su semplici supposizioni.
  6. Creare un team di risposta agli incidenti (incident response team): Questi esperti possono aiutare l’organizzazione a riprendere più velocemente l’operatività quotidiana in caso di incidente, riducendo l’impatto sulla reputazione dei marchi dell’azienda e contenendo le spese relative.
  7. Stipulare un’assicurazione contro i rischi cyber: Si tratta di una buona prassi per cautelarsi contro il pericolo di enormi perdite finanziarie in caso di attacco informatico.

Il vero investimento in cybersecurity parte dalla formazione

L’importanza della formazione e della sensibilizzazione dei dipendenti nell’ambito della cybersecurity emerge chiaramente come una delle principali priorità per il 71% delle grandi aziende, stando ai risultati della ricerca dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano.

La promozione di una cultura cyber è identificata come l’aspetto che necessita maggiormente di attenzione, evidenziando l’impegno quasi unanime delle grandi organizzazioni nel predisporre iniziative volte a incrementare la consapevolezza sui rischi cyber, con il 77% che attua piani di formazione destinati a una vasta gamma di dipendenti. Nel contempo, si assiste a un rafforzamento dei team dedicati alla cybersecurity, sia attraverso l’incremento degli specialisti interni, riscontrato nel 51% delle aziende, sia mediante il ricorso a consulenti esterni, presente nel 45% dei casi.

«Il continuo aumento degli attacchi informatici e l’evoluzione del contesto hanno generato una progressiva presa di coscienza sulla necessità di investire in sicurezza informatica da parte delle organizzazioni, specialmente quelle più strutturate – spiega Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Cybersecurity & Data Protection -. Per ridurre il divario ancora presente tra l’Italia e gli altri Paesi, però, è necessario un corretto bilanciamento tra investimenti tecnologici e capitale umano. Da un lato, è essenziale cogliere il potenziale delle tecnologie, in primis quelle più innovative come l’Intelligenza Artificiale. Dall’altro, non va sottovalutata la componente umana, insistendo sulla formazione e sensibilizzazione dei lavoratori, con l’obiettivo di creare una mentalità security first che rappresenti la prima forma di difesa anziché l’elemento più debole della catena».

Who's Who

Gabriele Faggioli

Gabriele Faggioli

Articolo originariamente pubblicato il 09 Nov 2020

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Articoli correlati

  • SPONSORED STORY

    Cyber security awareness, perché serve investire nel fattore umano

    23 Gen 2024

    di Domenico Aliperto

    Condividi

  • Scenari

    Cybersecurity e AI, verso una nuova frontiera della sicurezza

    08 Dic 2023

    di Federica Maria Rita Livelli

    Condividi

  • Cybersecurity

    Cybersecurity e IoT, come rendere resilienti le reti di oggetti interconnessi

    22 Mag 2023

    di Federica Maria Rita Livelli

    Condividi

Prossimo

Cyber security awareness, perché serve investire nel fattore umano

Articolo 1 di 4