Il phishing è un metodo per cercare di raccogliere informazioni personali utilizzando e-mail e siti web ingannevoli. Ecco cosa c’è da sapere su questa vecchia, ma sempre più sofisticata, forma di attacco informatico.

Come i pescatori gettano le reti per catturare i pesci, i phisher lanciano e-mail false nel mare di Internet per catturare le tue informazioni personali. Mentre i pescatori usano le esche per attirare i pesci, i phisher usano la falsificazione e la manipolazione per fare lo stesso con te. Se diventi vittima di phishing, potresti perdere la tua privacy e persino la tua identità.

Cos’è il phishing?

Il phishing è qualsiasi tentativo di acquisire le informazioni personali o altri dettagli privati ​​di qualcun altro con mezzi ingannevoli. Forse il tipo più diffuso di frode in Internet, il phishing di solito coinvolge e-mail o siti web fraudolenti. Questi siti mirano a indurre la potenziale vittima a condividere le proprie informazioni sensibili con il truffatore.

Anziché utilizzare le informazioni acquisite, molti truffatori procedono a venderle sul dark web, principalmente ad hacker e criminali informatici specializzati in furti di identità.

Con i progressi nella sicurezza informatica, molte minacce informatiche sono andate e venute, ma il phishing è ancora una pratica potente. Il motivo principale per cui gli attacchi di phishing sono frequenti è il loro uso di tecniche di falsificazione, manipolazione per ingannare le potenziali vittime.

Di norma, le e-mail phishing vengono scritte come notifiche urgenti (anche se false) da provider di Internet, portafogli digitali, istituti finanziari e altre organizzazioni. Inoltre, molti includono loghi e altre immagini ufficiali.

Comunemente denominati phisher, i truffatori responsabili di questi attacchi chiedono alla potenziale vittima di fornire informazioni personali fondamentali, che si tratti del numero di previdenza sociale, dei dettagli della carta di credito o informazioni di accesso.

Per aggiungere un senso di urgenza al loro messaggio, offrono un motivo importante per cui la vittima dovrebbe farlo. Potrebbe ad esempio perdere l’accesso al conto bancario o essere bloccata dai suoi profili sui social media

Per raccogliere le informazioni di cui hanno bisogno, i phisher creano siti web fasulli che assomigliano a quelli reali. Inoltre, hanno anche URL molto simili, il che rende ancora più difficile per le vittime individuare il falso.

Un falso login come attacco di phishing

Secondo recenti statistiche, ogni mese vengono creati più di 1,5 milioni di nuovi siti di phishing, che hanno una durata media che va dai tre ai cinque giorni per sito. Si tratta di quasi 50.000 nuovi siti ogni giorno.

Non sorprende quindi che il phishing sia la causa principale delle violazioni dei dati in tutto il mondo.

Qual è la differenza tra phishing e spam?

La differenza tra spam e phishing è che, sebbene entrambi possano essere fastidiosi che intasano la posta in arrivo, solo uno (il phishing) mira attivamente a rubare le credenziali di accesso e altri dati sensibili.

Lo spam è una tattica per vendere beni e servizi inviando e-mail non richieste a elenchi in blocco. Sebbene fastidioso, lo spamming non è così pericoloso come il phishing, che cerca di indurre un utente a divulgare informazioni sensibili.

Quali tipi di phishing esistono?

Esistono diversi tipi di truffe di phishing, alcune delle quali possibili solo tramite telefono (vocal phishing o vishing) o messaggi di testo (SMS phishing o SMiShing). Per quanto riguarda le truffe di phishing online, i cinque tipi più comuni includono:

  1. Spray and Pray Phishing

Comunemente noto come phishing ingannevole, spray and pray è il tipo più antico e primitivo di phishing online. I phisher utilizzano questa tecnica per inviare una serie di messaggi di posta elettronica etichettati come “urgenti”. Nei messaggi chiedono alla potenziale vittima di aggiornare la propria password PayPal o di inserire i propri dati per richiedere la vincita alla lotteria.

Queste e-mail di solito contengono collegamenti a false pagine di accesso. Quando una vittima inserisce i propri dati personali in questi falsi moduli, vengono archiviati su un server remoto a cui il phisher ha accesso.

  1. Spear phishing

Lo spear phishing è molto più sofisticato del phishing ingannevole per il semplice motivo che è personalizzato. Invece di inviare un messaggio generico, i phisher prendono di mira organizzazioni, gruppi o persino individui specifici con l’obiettivo di ottenere le loro informazioni personali. Raccolgono i loro nomi, indirizzi e-mail e altre informazioni personali da siti di rete come LinkedIn o record di posta elettronica compromessi.

Questo tipo di phishing si rivolge principalmente ad aziende e organizzazioni. Per questo motivo le e-mail di spear phishing sono in qualche modo diverse dalle e-mail ingannevoli. Sebbene seguano un layout simile, le e-mail di spear phishing di solito includono query o fatture false da partner commerciali.

I phisher allegano un documento importante e chiedono alla vittima di scaricarlo sul proprio computer. Una volta scaricato, il documento installerà software dannoso che spierà le attività e raccoglierà le informazioni personali della vittima.

  1. CEO Phishing

Il CEO phishing è una forma molto sofisticata di questa frode online che può anche richiedere molto tempo per il phisher dietro di essa. I criminali informatici prendono di mira il personale delle risorse umane o dei dipartimenti finanziari di un’organizzazione e si fingono CEO dell’azienda o a qualche altro dirigente di alto livello. Continuano a scambiare più messaggi con il loro obiettivo e gradualmente creano fiducia.

CEO phishing

Dopo un pò di tempo, il phisher chiederà al bersaglio di inviare le informazioni personali dei dipendenti o, più spesso, di trasferire fondi su un account specificato. Nella maggior parte dei casi, diranno di aver bisogno dei fondi per un nuovo contratto e chiederanno che il trasferimento sia molto urgente. Per quanto possa sembrare oltraggioso, le aziende di tutto il mondo hanno perso più di 5 miliardi di dollari finora a causa del CEO phishing.

  1. File Hosting Phishing

Molte persone utilizzano servizi di hosting online come Dropbox e Google Drive per eseguire il backup dei file per un facile accesso e condivisione. I phisher ne sono consapevoli, motivo per cui sono innumerevoli i tentativi di compromettere le credenziali di accesso delle loro vittime.

Il layout della truffa è molto simile al phishing ingannevole in quanto coinvolge pagine di accesso false. Tuttavia, invece di cercare qualcosa di specifico, gli hacker vogliono accedere all’archivio di file online delle loro vittime per raccogliere le informazioni preziose che possono trovare.

  1. Cryptocurrency Phishing

Il Cryptocurrency Phishing è una forma abbastanza nuova di frode online. Per attivarla, gli hacker creano false pagine di accesso a siti web di criptovaluta. Quando utenti ignari inseriscono le proprie credenziali utilizzando queste pagine false, gli hacker accedono immediatamente agli account digitali delle loro vittime e possono prelevare fondi in pochi secondi.

Cryptocurrency Phishing

Finora c’è stato solo un importante attacco di phishing di criptovaluta, ma visto che la valuta digitale è in aumento, è lecito ritenere che ce ne saranno molti altri in futuro.

Esempi di attacchi 

Alcuni degli attacchi di phishing più distruttivi degli ultimi anni includono :

  • Alla fine del 2014, gli hacker hanno utilizzato e-mail di spear phishing per raccogliere gli ID Apple di numerosi dipendenti di Sony Pictures. Supponendo che la maggior parte dei dipendenti utilizzasse la stessa password su più account online, gli hacker hanno utilizzato queste credenziali per accedere alle e-mail aziendali. Sono riusciti nella loro missione e hanno continuato a rilasciare migliaia di e-mail personali e altri documenti riservati, provocando una grande tempesta mediatica a Hollywood.
  • Nel 2014 e nel 2015, gli hacker hanno preso di mira Anthem, un’assicurazione sanitaria con sede negli Stati Uniti. Hanno utilizzato e-mail di phishing per infettare i computer di cinque dipendenti con keylogger, un tipo di spyware che registra le battiture della tastiera. Ciò ha consentito agli hacker di rubare quasi 80 milioni di cartelle cliniche dai server di Anthem, inclusi i numeri di previdenza sociale dei pazienti.
  • Nel 2017, un gruppo di hacker ha inviato e-mail di phishing ai dipendenti di tre importanti catene di ristoranti negli Stati Uniti: Chipotle, Arby’s e Chili’s. In allegato alle e-mail c’era un software dannoso che si installava silenziosamente sui computer di destinazione e dava agli hacker l’accesso alle reti interne di queste aziende. Utilizzando questo software, gli hacker sono riusciti a rubare più di 15 milioni di record di carte di credito appartenenti ai clienti di queste tre catene.

Come proteggersi dal phishing

Come per tutti gli altri tipi di minacce informatiche, il modo migliore per stare al sicuro è adottare abitudini di navigazione responsabili e utilizzare il miglior software antivirus .

Le buone abitudini di navigazione sul web sono importanti perché alcuni tipi di e-mail phishing possono rubare i tuoi dati aggirando il tuo software di sicurezza informatica.

Non dovresti mai divulgare alcuna informazione personale nelle e-mail o nei messaggi istantanei, che si tratti di informazioni sulla carta di credito, credenziali di accesso o numeri di previdenza sociale,

Se la pagina di accesso alla webmail, dell’online banking, del portafoglio digitale o dello shopping web sembra diversa da prima, controlla il testo sulla pagina per errori di ortografia e grammaticali, che di solito sono il segno rivelatore di un sito web falso. Cerca sempre il prefisso https nella barra degli indirizzi e l’icona del lucchetto accanto ad essa per essere sicuro che le informazioni inserite siano cifrate.

Non aprire nessuna e-mail inviata da indirizzi e-mail sconosciuti e non fare clic su link o allegati che potrebbero contenere. Facendo clic su di essi è possibile che sul computer vengano installati spyware che potrebbero consentire agli hacker di accedere alle informazioni personali.

Per fortuna, il miglior software antivirus rileverà immediatamente qualsiasi software dannoso sul tuo computer e lo rimuoverà dal tuo disco rigido. Inoltre, questi programmi esamineranno i certificati di sicurezza di tutti gli indirizzi che visiti e ti impediranno di accedere ai siti di phishing.