Il Phishing: come riconoscerlo e proteggersi

Molto probabilmente avrai già sentito parlare del Phishing. Nonostante sia una minaccia ricorrente nel panorama digitale, continua a rappresentare un’enorme problema per la sicurezza dei dati degli utenti.

Il phishing è una tattica ingannevole utilizzata dai cybercriminali per rubare le informazioni private degli utenti.

Le tattiche di phishing sono innumerevoli, si passa da quelle generiche a quelle basate sulle email spam, agli attacchi “Spear Phishing” e molti altri ancora. Tutte queste tattiche hanno dei tratti in comune: sfruttano le tecniche di ingegneria sociale per indurre chi legge a compiere azioni.

La chiave di lettura è molto semplice, gli attaccanti sfruttano una debolezza umana fondamentale: il nostro bisogno di compiacere, proteggere e rispondere.

Il problema è aggravato dal fatto che la maggior parte delle persone (anche i professionisti della sicurezza) spesso non prestano abbastanza attenzione quando cliccano su link nelle email o sui social.

• Attacchi di phishing via email tradizionale:i phisher possono inviare email in massa, clonate da messaggi legittimi, a migliaia o persino milioni di persone contemporaneamente, chiedendo informazioni private. Queste email possono richiedere qualsiasi cosa: dal PIN del bancomat, al numero di previdenza sociale, alle credenziali bancarie, fino alle risposte a domande di sicurezza comuni, nome completo e data di nascita.
  
  Un esempio di email sospetta può riportare un’intestazione allarmante come “Allerta di sicurezza”, con un tono urgente che avverte di possibili conseguenze negative sulla tua carta se non rispondi immediatamente. L’email fornisce un numero di telefono che, però, non è presente sul sito ufficiale della banca. È phishing? No, in questo caso è legittima.
  
  Ma come puoi esserne certo? Se il numero di telefono non si trova sul sito ufficiale, la cosa migliore da fare è chiamare il numero che si trova sul retro della tua carta. Altrimenti potresti finire per chiamare un centro fraudolento facente parte di una truffa ben congegnata. Bastano pochi minuti a un malintenzionato per copiare un’email legittima e inviarla a milioni di persone, sostituendo il numero di telefono o i link con versioni malevole.

• Chiamate telefoniche e SMS: alcuni attacchi di phishing non richiedono nemmeno un sito web! Possono iniziare con un messaggio di testo o una segreteria telefonica che invita la vittima a richiamare un numero. Quando si chiama, si può ascoltare una registrazione professionale o parlare con una persona con tono rassicurante e professionale. Il truffatore può conoscere alcune informazioni private della vittima, così da sembrare legittimo, e poi chiedere ulteriori dettagli sensibili. In una truffa simile, l’attaccante si finge membro del supporto tecnico di un’azienda reale e cerca di convincere l’utente di avere un malware sul PC, proponendosi di rimuoverlo in cambio di dati della carta di credito e accesso remoto al computer.

• Puddle, Spear e Whale Phishing: quando un malintenzionato prende di mira un’organizzazione per ottenere informazioni riservate interne, gli attacchi possono assumere diverse forme:
  • Puddle phishing: attacco generico rivolto ai dipendenti di un’azienda.
  • Spear phishing: attacco mirato a individui specifici all’interno di un’organizzazione, tramite email con dati personalizzati o allegati che sembrano legittimi (come informazioni su fatture o spedizioni).
  • Whale phishing: attacco rivolto a persone di alto valore o patrimonio, come dirigenti, membri del consiglio di amministrazione e alti responsabili aziendali.

• Minacce Persistenti Avanzate (APT): le APT sono attacchi a lungo termine che servono a sondare le difese di un’organizzazione per trovare vulnerabilità e ottenere accesso a dati, sistemi o informazioni riservate. Ad esempio, dati su fusioni e acquisizioni possono essere usati per speculare sul mercato azionario, oppure informazioni su nuovi prodotti possono essere rubate per ostacolare lo sviluppo, interrompere la produzione e danneggiare la redditività di un’azienda.
  
  Vuoi approfondire l’argomento? Leggi l’articolo di Seqrite > Come proteggersi dagli Advanced Persistent Threats (APT)

I cyber criminali non hanno vittime preferite, sia il privato e sia le aziende. Ma quali sono i danni a cui vanno in contro?

• Aziende: danni all’immagine del marchio, perdite economiche e rovinare i rapporti con clienti o partner commerciali.

• Privati: compromissione della reputazione creditizia, perdita dei dati personali e delle credenziali di accesso ai social o account bancari.

• Proteggi il tuo dispositivo: utilizza la versione più recente del tuo antivirus ed evita di scaricare file, app e siti sospetti. Quick Heal Italia offre diversi servizi basati sull’intelligenza artificiale per prevenire e individuare i pericoli informatici che potrebbero attaccare i tuoi dispositivi.
• Proteggi le tue informazioni personali: utilizza password forti e modificale con regolarità. Inoltre, non usare risposte facilmente individuabili alle domande di sicurezza (es. il nome del tuo animale domestico).
• Sii intelligente online: rimani aggiornato sulle migliori pratiche di sicurezza online.
  Quando si parla di phishing, conviene prendere precauzioni. Il problema, per molte aziende, si trova “tra la sedia e la tastiera”. Formare i dipendenti a essere sospettosi e vigili crea un ambiente di lavoro più sicuro e protegge gli asset aziendali. Per questo motivo consigliamo Campus Digitale come mezzo per formare i propri dipendenti.