Cos’è il phishing?

Il phishing è una tipologia di truffa su internet attraverso cui un malintenzionato cerca con l’inganno di convincerti, o a convincere i tuoi dipendenti, a fornire informazioni personali, come password e dati finanziari, spacciandosi per un soggetto affidabile (un conoscente o un ente riconosciuto) in una comunicazione digitale.

I messaggi di phishing consistono in e-mail fraudolente che spesso contengono un link che imita la schermata di accesso a un servizio. La vittima, inserendo le proprie credenziali, crede di accedere al sito originale mentre invece invia le stesse a chi ha creato il sito fasullo che quindi se ne appropria.

In altri casi nell’e-mail è contenuto un allegato malevolo, che se scaricato può portare a conseguenze diverse in base alla sua tipologia.

Ultimamente i criminali utilizzano anche altri canali oltre alle e-mail per gettare l’esca: WhatsApp, Facebook o LinkedIn, ma il principio è sempre lo stesso.

Generalmente questi messaggi vengono creati in modo che sembrino originati da:

  • servizi che hanno accesso ad una carta di credito/prepagata: banche, Amazon, e-Bay;
  • servizi che hanno accesso ad informazioni personali: Facebook, Instagram, LinkedIn;
  • servizi di storage cloud che contengono documenti: iCloud, Drive, Dropbox;
  • autorità: uffici legali, polizia postale, il direttore / reparto IT dell’azienda della vittima;
  • colleghi di lavoro o persone che la vittima conosce (in questo caso si parla di spoofing).

Nel messaggio di phishing l’attaccante cerca di far leva sulle emozioni del destinatario oppure di approfittare di un momento di disattenzione dello stesso, utilizzando tecniche di social engineering. Spesso queste e-mail hanno carattere di urgenza e richiedono un’azione immediata: un click ad un link o il download di un allegato.

Come si presentano i messaggi di phishing?

La paura delle conseguenze del mancato intervento impedisce alla vittima dell’attacco di fare un ragionamento più lento e ponderato. Vediamo alcuni esempi di e-mail che inducono un senso di allerta, di urgenza:

  • “il tuo account *** verrà temporaneamente chiuso per inutilizzo, se vuoi mantenere attivo il tuo account aggiorna le tue informazioni al seguente link”;
  • “è stata rilevata un’attività sospetta: tentativo di accesso al suo account ***, se non sei stato tu ad eseguire questa attività è consigliato cambiare la password dell’account al seguente link”;
  • “tentativo di consegna del pacco numero ***, contattare al più presto il corriere al seguente link”.

In altri casi, si tratta di offerte allettanti come proposte di lavoro o download di coupon contenenti sconti per hotel, viaggi o altro.

Oppure, l’attaccante può far leva sulla curiosità del destinatario, utilizzando un contenuto vago, generico. Ad esempio: “ma sei tu in questa foto? Qualcuno ti ha taggato! (seguito da un link)” oppure “ricevuta del pagamento in allegato”. Dato un contenuto generico, spesso si tende a riempire le informazioni mancanti e a contestualizzare quella e-mail rispetto alla propria realtà quotidiana, piuttosto che ipotizzare una truffa, si chiama confirmation bias.

Spear phishing in Azienda

Fino ad ora abbiamo parlato della forma più diffusa di phishing, che funziona tramite l’invio delle e-mail fraudolente al maggior numero di contatti possibile in maniera indiscriminata. Esiste però anche una forma di phishing mirato, chiamato spear phishing.

Letteralmente si traduce come “pesca con la fiocina” perché in questo caso l’attaccante non “pesca” informazioni e credenziali con una rete, ma indirizza l’attacco in una direzione specifica, verso un singolo pesce.

Lo spear phishing colpisce una persona o un’organizzazione specifica, spesso utilizzando contenuti e layout appositamente creati per apparire legittimi alla vittima. Questo tipo di attacco richiede una conoscenza dell’organizzazione, dei nomi, delle posizioni, degli indirizzi e-mail degli impiegati che vi lavorano.

Questa tecnica rappresenta una minaccia reale per le aziende private e pubbliche. Circa il 40% dei cyberattacchi avviene per mezzo di phishing, questo perché è una tecnica che sorpassa facilmente le barriere dell’antivirus e del firewall aziendale.

Un rapporto Verizon 2018 evidenzia che il 78% del personale delle aziende non apre una singola e-mail di phishing. Il 4% però apre tutte o quasi tutte le e-mail dannose e non sembra imparare dai propri errori.

Il problema è che basta una sola persona che ne apra una infetta, per contagiare tutta la tua azienda.

Quanto è diffuso questo fenomeno?

Il phishing è una delle tecniche di truffa più antiche, i primi esempi risalgono agli anni ’90, ed è ancora una delle più diffuse e nocive. Negli ultimi anni, in particolare, si assiste a una diversificazione e a una sofisticazione maggiore degli attacchi.

Un dato allarmante, evidenziato da un rapporto Microsoft del 2019, è l’aumento delle e-mail di phishing del 250% nelle caselle di posta. Anche altre fonti (Verizon, Clusit) concordano sulla crescita del fenomeno.

Il rapporto Microsoft 2019 rileva inoltre un aumento degli account aziendali compromessi perché usati per distribuire e-mail dannose all’interno delle stesse aziende.

La disponibilità di kit pronti per effettuare azioni di phishing nel dark web (al costo di poche centinaia di euro e senza il bisogno di particolari capacità) ha infatti reso molto semplice l’avvio di campagne phishing, anche per i criminali con conoscenze tecniche minime.

Perché è importante fare formazione sul phishing nella tua azienda?

Un attacco di phishing può avere effetti devastanti per la tua azienda: spesso viene utilizzato per accedere ai network aziendali per impadronirsi di credenziali, in modo da poter eseguire successivamente un attacco più distruttivo.

L’anello debole dell’azienda è l’utente finale: come abbiamo visto basta la distrazione di una sola persona nel tuo staff per compromettere la tua intera rete aziendale.

Per ridurre il rischio di attacchi di questo tipo il primo rimedio è una buona formazione.

È fondamentale che tutti gli impiegati abbiano sempre un buon senso di controllo sulle proprie azioni: le tecniche di social engineering  sono infatti più efficaci se la vittima non ha un metodo e delle strategie che lo guidano nella navigazione, nei ragionamenti e nelle scelte. Questo metodo è tanto più efficace quanto più personale e introiettato e non deve pertanto essere imposto dall’alto, meccanicamente, ma deve essere la risposta naturale alla percezione dell’esistenza di un rischio reale per sé e per l’azienda.

Scarica

Scarica la nostra guida gratuita “FATTORE UMANO E CYBER SECURITY”

con i 10 comportamenti dei tuoi dipendenti che mettono a serio rischio la tua azienda per prevenire truffe informatiche come questa.
Scarica