Magazine

Phishing, la guida per capire cos'è e come riconoscerlo

09/04/2019
Cosa è il phishing
PMIPrivatiProfessionisti
Il phishing è la truffa 2.0: una frode telematica che si concretizza principalmente attraverso messaggi di posta ingannevoli con lo scopo di sottrarre agli utenti dati sensibili.
Il termine phising è una variante di “to fish”, che in inglese significa “pescare”. Si tratta nella maggior parte dei casi, ma come vedremo più avanti non esclusivamente, di email che hanno il solo scopo di ingannare gli utenti e convincerli a fornire i propri dati.
Assecondando le richieste contenute nella email si consegnano a siti fraudolenti i propri contatti, l’accesso ai profili digitali e, nel peggiore dei casi, le chiavi d’accesso ai propri conti bancari.
Tutto ciò può comportare furti d’identità o pagamenti non autorizzati.

Come funziona il phishing?

L’attacco di phishing funziona così: arriva una email o un messaggio da una fonte apparentemente affidabile che invita l’utente a compiere un' azione come l’apertura di link o di file allegati. Il messaggio di solito segnala una mancata fatturazione, l’imminente rinnovo di un servizio, la chiusura di un conto bancario o, in altri casi, annuncia la vincita di un premio. I tipi di attacchi e di messaggi sono sempre più sofisticati e credibili, per questo sempre più difficili da riconoscere, ma tutti hanno in comune una richiesta, fornire uno o più dati personali: username, password, codice fiscale, data di nascita, fino alle coordinate bancarie.

Classificazione del phishing per canali di attacco

Non esiste un solo tipo di attacco di phishing, oltre ai messaggi possono essere diverse anche le piattaforme e i canali utilizzati.
  • Il phishing informatico:  il phishing informatico è il caso “classico”. Attraverso una normale email, sotto forma di messaggio spam che sembra provenire da aziende, siti autorevoli (di e-commerce, servizi online, operatori telefonici o banche) o addirittura da enti pubblici (es. Poste Italiane, Agenzia delle Entrate ecc.), si cerca di entrare in possesso dei dati sensibili dell’utente. Questa è la tecnica più diffusa per portare a termine un attacco di phishing, ma ne esistono altre, meno frequenti ma pur sempre efficaci. Ad esempio lo spear phishing, realizzato mediante l’invio di email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è ottenere l’accesso ad informazioni riservate di tipo finanziario, segreti industriali, di stato, o militari.
  • Il Phishing via WhatsApp e Facebook: data la popolarità dei social network, anche WhatsApp e Facebook sono diventati terreno fertile per tentativi di phishing. Le più comuni si nascondono dietro a finti buoni sconto per il supermercato, abbonamenti per poter continuare utilizzare la stessa applicazione di WhatsApp o usufruire di servizi premium. Rispetto a quelle via email, queste truffe possono trarre in inganno con più facilità, perché condivise nelle chat di conoscenti, amici e persone fidate. Aprendo i link fasulli, il cellulare può essere infettato da un virus che inoltra il link compromesso a tutti i contatti. È meglio non fidarsi dei messaggi sospetti che circolano nelle chat, e al limite chiedere conferma della sua autenticità a chi l’ha inoltrato.  
  • Il Phishing telefonico o via SMS: quando si ricevono chiamate, o SMS, da numeri sconosciuti che chiamano per conto di un'azienda e si riceve la richiesta di fornire dei dati, molto probabilmente si tratta di phishing telefonico. Se il motivo della telefonata può sembrare plausibile, il consiglio è di riagganciare e chiamare il numero ufficiale dell’azienda, per chiedere conferma di quanto avvenuto.  

Come riconoscere un phishing

Gli attacchi di phishing avvengono in modo sempre più sofisticato e credibile, con nomi di mittenti riconoscibili e loghi imitati alla perfezione, ma ci sono alcuni segnali che possono farvi riconoscere un attacco in corso:  
  • Occhio agli errori. Nei casi di phishing più grossolano le email contengono errori ortografici, o piccole storpiature, nel nome del presunto mittente, ma in ogni caso il reale indirizzo da cui provengono queste email è differente da quello ufficiale.
  • Non credere alle urgenze. È uno dei fattori sui quali il phishing fa maggiormente leva: un pagamento in sospeso da saldare immediatamente, un premio da ritirare a breve o il rischio di perdere un account se non si paga subito. Quando una email punta a mettere fretta, il rischio che sia una truffa è alto.
  • Controllare le richieste di rinnovo. Un dominio in scadenza o il termine di un abbonamento: se si riceve l’avviso dell’imminente rinnovo di un servizio, è meglio non farsi prendere dall’ansia. Prima di aprire qualsiasi link, o fornire i propri dati al sito sbagliato, è meglio controllare sul sito del servizio in questione se effettivamente c’è un rinnovo in corso.
  • Attenzione agli allegati. Quando sono presenti allegati con estensione dei file inusuale – cioè allegati non previsti - bisogna prestare molta attenzione. In questo caso, oltre al semplice phishing, potrebbero nascondersi virus dietro quei file.
  • Nessuno regala niente. Le email che annunciano vincite di denaro, o di qualsiasi tipo di premi, sono quasi sempre fasulle. Uno smartphone in regalo, l’eredità di un lontano parente o la vincita alla lotteria dovrebbero suonare sempre come campanelli d’allarme.
Leggi questo articolo per capire sei hai ricevuto una mail di phishing.
Non è così difficile finire vittima di un attacco di phishing ben fatto, tanto che gli hacker, solo negli ultimi mesi, sono riusciti a impossessarsi dei dati di privati cittadini, ma a anche di quelli di istituti bancari, enti pubblici e governativi.

Attacchi di phishing 

Gli attacchi alle banche.

Gli enti più ambiti dagli hacker sono le banche. Gli ultimi esempi in ordine temporale sono quelli che hanno visto come vittime BNL o ING Direct. In questi casi gli utenti hanno ricevuto una email, con tanto di logo di ING, in cui veniva chiesto di inserire i propri dati per evitare la sospensione del conto corrente. La email sollecitava inoltre l’utente ad agire con urgenza per evitare sanzioni economiche. Diverse banche, per arginare il problema del phishing, hanno creato delle sezioni dedicate e pagine sui propri siti, dove forniscono consigli su come comportarsi in caso di attacco informatico, e dove raccolgono gli avvisi e le segnalazioni ricevute. Consultando quelle pagine si possono trovare chiarimenti sull’autenticità o meno di certe email.

Il caso del phishing di Poste Italiane.

Uno dei casi di phishing più noti (e più pericolosi) in Italia è quello che ha riguardato Poste Italiane. Si è diffuso sia via SMS sia via email, con lo scopo di sottrarre agli utenti i numeri delle carte di credito e i dati di accesso ai conti correnti. I messaggi dietro i quali si nasconde questa frode sono molteplici: in alcune email viene comunicato alle vittime che il loro conto corrente sta per essere disattivato, in altre che c’è un accredito in sospeso o che è in corso la manutenzione delle misure di sicurezza. In ogni caso è richiesto di inserire i propri dati, numeri delle carte di credito e codici di accesso a conti online. In questo caso si può fare affidamento sul CERT (Computer Emergency Response Team), l’organo di Poste Italiane dedicato alla cyber security, ma talvolta anche questo acronimo è stato utilizzato dai phisher per rendere le loro email più credibili.

I server dell’Unione Europea.

Gli attacchi hanno coinvolto anche enti governativi. Nel dicembre 2018 un’inchiesta del New York Times ha rivelato che, tramite un attacco phishing che ha colpito alcuni diplomatici di Cipro, gli hacker sono riusciti ad entrare nei server del sistema di comunicazione dell’Unione Europea. Per anni sono stati sottratti migliaia di dispacci e documenti sensibili che svelano le strategie diplomatiche internazionali.   

Collection #1: il più grande furto di dati della storia.

È stato definito “il più grande furto di dati della storia”: 773 milioni di indirizzi email e 22 milioni di password violate, un file di 87Gb scoperto dal ricercatore informatico Troy Hunt. Si tratta di una gigantesca banca dati, che ha preso il nome Collection #1, in mano ad hacker che possono usarli, o rivenderli, per attacchi di phishing o furti d’identità. La diffusione di questa notizia ha avuto una vasta eco su stampa e tv, anche la trasmissione “Le Iene” ha dedicato a Collection #1 un servizio per sensibilizzare gli utenti al tema dell’uso consapevole delle password. Temete di essere finiti anche voi nella rete di Collection #1?
Collegandosi al sito di Have I Been Pwned e inserendo il proprio indirizzo email, il portale è in grado di verificare se quell’account è stato “bucato”.

Il phishing attraverso Google Docs.

Tra le email di Collection #1 ci sono anche gli indirizzi di Gmail. Nel 2017 più di un milione di utenti sono stati coinvolti dall’attacco phishing portato tramite la condivisione di un finto Google Doc. Una email proveniente dall’indirizzo mascherato “[email protected]” e impaginata con le stesse grafiche usate da Google invitava a visualizzare un Google Doc condiviso. Seguendo i passaggi descritti dalla email, si finiva per fare login su un sito fittizio che non aveva niente a che vedere con l’account di posta di Google. In questo modo gli hacker sono riusciti a impossessarsi delle chiavi di accesso alle caselle email di centinaia di migliaia di utenti e a diffondere ulteriormente il loro attacco.
In questo tweet trovate la descrizione dell'attacco; la risposta di Google è arrivata tramite questo tweet.

È successo anche a noi.

Anche Aruba è coinvolta nella lotta al phishing, per questo abbiamo messo a disposizione dei nostri clienti una pagina di avvisi aggiornata in modo tempestivo che rende subito riconoscibile la comunicazione fasulla.



Newsletterbox