Il phishing è una tipologia di attacco informatico in cui i criminali si spacciano per una fonte affidabile online per indurre le vittime a condividere informazioni personali come nome utente, password o dati di carte di credito.
Un attacco di phishing può manifestarsi sotto varie forme, e sebbene spesso avvenga tramite email, esistono molteplici metodi che i criminali informatici utilizzano per realizzare i loro schemi.
Ciò è particolarmente vero oggi, poiché il phishing continua ad evolversi in maniera sempre più sofisticata. Sebbene l’obiettivo di qualsiasi truffa di phishing sia sempre quello di impossessarsi di informazioni personali, esistono diverse tipologie di phishing di cui dovremmo essere a conoscenza.
1. Email Phishing
Probabilmente la tipologia più comune di phishing, che spesso comporta una tecnica "spray and pray" in cui gli hacker impersonano un'identità o un'organizzazione legittima e inviano e-mail di massa a tutti gli indirizzi che riescono ad ottenere.
Queste e-mail spesso informano il destinatario che un account personale è stato compromesso e che deve rispondere immediatamente.
L’obiettivo è suscitare una determinata azione da parte della vittima, come fare clic su un collegamento dannoso che porta a una pagina di accesso falsa. Dopo aver inserito le proprie credenziali, le vittime purtroppo consegnano le proprie informazioni personali direttamente nelle mani del truffatore.
Esempio di Email Phishing
Il Daily Swig ha riportato un attacco di phishing verificatosi nel dicembre 2020 presso l’operatore sanitario statunitense Elara Caring, avvenuto dopo l’intrusione non autorizzata nel pc dei due dipendenti che erano stati presi di mira.
L'autore dell'attacco ha ottenuto l'accesso agli account di posta elettronica dei dipendenti, con conseguente esposizione dei dettagli personali di oltre 100.000 pazienti, inclusi nomi, date di nascita, informazioni finanziarie e bancarie, numeri di previdenza sociale, dati della patente di guida e informazioni sull'assicurazione.
L'autore dell'attacco ha mantenuto l'accesso non autorizzato per un'intera settimana prima che Elara Caring potesse contenere completamente la violazione dei dati.
2. Spear Phishing
Anziché utilizzare il metodo "spray and pray" come descritto sopra, lo spear phishing implica l'invio di e-mail dannose a utenti specifici all'interno di un'organizzazione.
Invece di inviare e-mail di massa a migliaia di destinatari, questo metodo si rivolge a determinati dipendenti di aziende appositamente selezionate. Questi tipi di email sono spesso più personalizzati per far credere alla vittima di avere una relazione con il mittente.
Esempio di Spear Phishing
Armorblox ha segnalato un attacco di spear phishing nel settembre 2019 contro un dirigente di un'azienda nominata tra le 50 migliori aziende innovative al mondo.
L'e-mail conteneva un allegato che sembrava essere un rapporto finanziario interno, che ha portato il dirigente a una falsa pagina di accesso a Microsoft Office 365. La pagina aveva il nome utente del dirigente già preinserito nella pagina, facendo sembrare anche più verosimile la pagina Web fraudolenta.
3. Whaling
Il whaling è molto simile allo spear phishing, ma invece di perseguire qualsiasi dipendente all'interno di un'azienda, i truffatori prendono di mira specificamente i dirigenti senior (o "il pesce grosso", da qui il termine whaling – caccia alle balene).
Ciò include il CEO, il CFO o qualsiasi dirigente di alto livello con accesso a dati più sensibili rispetto agli altri dipendenti. Spesso, queste e-mail utilizzano una situazione ad alta pressione per agganciare le loro vittime, come la trasmissione di una dichiarazione della società citata in giudizio. Ciò induce i destinatari a fare clic sul collegamento o sull'allegato dannoso per ottenere ulteriori informazioni.
Esempio di Whaling
Nel novembre 2020, Tessian ha riferito di un attacco di whaling che ha avuto luogo contro il co-fondatore dell'hedge fund australiano Levitas Capital. Il co-fondatore ha ricevuto un'e-mail contenente un falso collegamento Zoom che ha impiantato un malware nella rete aziendale dell'hedge fund e ha quasi causato una perdita di 8,7 milioni di dollari in fatture fraudolente.
Il criminale alla fine è riuscito a farla franca con soli 800.000 dollari, ma il conseguente danno reputazionale ha comportato la perdita del più grande cliente dell'hedge fund, costringendolo a chiudere definitivamente.
4. Smishing
Il phishing SMS, o smishing, sfrutta i messaggi di testo anziché le e-mail per eseguire un attacco di phishing. I criminali agiscono in modo molto simile agli attacchi di phishing basati su e-mail: gli aggressori inviano messaggi da quelle che sembrano fonti legittime (come aziende fidate) che contengono collegamenti dannosi. I link potrebbero essere camuffati da codice coupon (20% di sconto sul tuo prossimo ordine!) o un'offerta per vincere un premio come i biglietti per un concerto.
Esempio di Smishing
Nel settembre 2020, Tripwire ha riportato una campagna smishing che ha sfruttato l'ufficio postale degli Stati Uniti (USPS). Gli aggressori hanno inviato messaggi SMS informando i destinatari della necessità di fare clic su un collegamento per visualizzare informazioni importanti su un'imminente consegna USPS.
Il collegamento dannoso ha effettivamente portato le vittime a varie pagine Web progettate per impossessarsi delle credenziali dell'account Google.
5. Vishing
Il vishing, noto anche come phishing vocale, è simile allo smishing in quanto un telefono viene utilizzato come veicolo per un attacco, ma invece di sfruttare le vittime tramite messaggio di testo, viene eseguito con una telefonata. Una chiamata vishing spesso trasmette un messaggio vocale automatico da quella che dovrebbe sembrare un'istituzione legittima, come una banca o un ente governativo.
Gli aggressori solitamente informano la vittima della presenza di un debito di una grande quantità di denaro, che l’assicurazione auto è scaduta o che la carta di credito ha attività sospette che devono essere risolte immediatamente.
A questo punto, la vittima deve fornire informazioni personali come le credenziali della carta di credito o il numero di previdenza sociale per verificare la propria identità prima di intraprendere un'azione su qualsiasi richiesta venga presentata.
Esempio di Vishing
Nel settembre del 2020, l'organizzazione sanitaria Spectrum Health System ha subìto un attacco di vishing che ha coinvolto pazienti che hanno ricevuto telefonate da individui che si fingevano dipendenti.
Gli aggressori miravano ad estrarre dati personali dai pazienti e dai membri di Spectrum Health, compresi i numeri ID dei membri e altri dati sanitari personali associati ai loro account. Spectrum Health ha riferito che gli aggressori hanno utilizzato misure come l'adulazione o persino minacce per spingere le vittime a consegnare i propri dati, denaro o l'accesso ai propri dispositivi personali.
6. Business Email Compromise (Frode del CEO)
La frode del CEO è una forma di phishing in cui il criminale ottiene l'accesso all'account e-mail aziendale di un dirigente di alto livello (come il CEO). Con l'account compromesso a loro disposizione, inviano e-mail ai dipendenti all'interno dell'organizzazione spacciandosi per l'amministratore delegato con l'obiettivo di avviare bonifici bancari fraudolenti o ottenere denaro tramite fatture false.
Esempio di Frode del CEO
Inky ha segnalato un attacco di frode del CEO contro la società aerospaziale austriaca FACC nel 2019. Il criminale informatico ha inviato un'e-mail di phishing a un contabile che sembrava provenire dal CEO di FACC. L'e-mail riportava informazioni sui finanziamenti necessari per un nuovo progetto e il contabile ha inconsapevolmente trasferito 61 milioni di dollari in conti esteri fraudolenti.
7. Clone Phishing
Questa tipologia di phishing consiste in una replica dannosa di un messaggio ricevuto e inviandolo nuovamente da una fonte apparentemente credibile. Eventuali collegamenti o allegati dall'e-mail originale vengono sostituiti con quelli dannosi. Gli aggressori in genere sfruttano la scusa di inviare nuovamente il messaggio a causa di problemi con i collegamenti o gli allegati nell'e-mail precedente.
Esempi di Clone Phishing
Un ricercatore di sicurezza ha dimostrato la possibilità di seguire un collegamento e-mail a un sito Web falso che sembra mostrare l'URL corretto nella finestra del browser, ma inganna gli utenti utilizzando caratteri che assomigliano molto al nome di dominio legittimo.
8. Evil Twin Phishing
Il phishing “evil twin” implica la creazione di quella che sembra essere una rete WiFi legittima che in realtà attira le vittime su un sito di phishing quando si connettono ad esso.
Una volta atterrati sul sito, in genere viene chiesto loro di inserire i propri dati personali, come le credenziali di accesso, che poi vanno direttamente all'hacker. Una volta che l'hacker ha questi dettagli, può accedere alla rete, prenderne il controllo, monitorare il traffico non crittografato e trovare modi per rubare informazioni e dati sensibili.
Esempi di Evil Twin Phishing
Nel settembre 2020, Nextgov ha segnalato una violazione dei dati contro i sistemi del Dipartimento degli Interni degli Stati Uniti. Gli hacker hanno utilizzato questa tipologia di phishing per impossessarsi delle credenziali univoche e ottenere l'accesso alle reti WiFi del dipartimento.
Ulteriori indagini hanno rivelato che il dipartimento non operava all'interno di un'infrastruttura di rete wireless sicura e la policy di rete del dipartimento non è riuscita a garantire che gli uffici applicassero forti misure di autenticazione degli utenti, testassero periodicamente la sicurezza della rete o richiedessero il monitoraggio della rete per rilevare e gestire attacchi comuni.
9. Social Media Phishing
Il social media phishing si verifica quando gli aggressori utilizzano siti di social network come Facebook, Twitter e Instagram per ottenere i dati sensibili delle vittime o indurli a fare clic su collegamenti dannosi.
Gli hacker possono creare account falsi impersonando qualcuno che la vittima conosce per indurli nella loro trappola, o possono persino impersonare l'account del servizio clienti di un noto marchio per depredare le vittime che contattano il marchio per assistenza.
Esempi di Social Media Phishing
Nell'agosto 2019, Fstoppers ha segnalato una campagna di phishing lanciata su Instagram in cui i truffatori hanno inviato messaggi privati agli utenti di Instagram avvertendoli di aver violato il copyright dell'immagine e chiedendo loro di compilare un modulo per evitare la sospensione del proprio account.
Una vittima ha ricevuto un messaggio privato da quello che sembrava essere un account ufficiale di North Face, relativo a una violazione del copyright, e gli ha chiesto di cliccare sul link "InstagramHelpNotice.com", un sito Web apparentemente legittimo in cui agli utenti veniva chiesto di inserire le proprie credenziali di accesso.
Le vittime che sono cadute nella trappola alla fine hanno fornito agli hacker l'accesso alle informazioni del loro account e ad altri dati personali collegati al loro account Instagram.
10. Search Engine Phishing
Il search engine phishing coinvolge gli hacker che creano il proprio sito Web e lo indicizzano su motori di ricerca legittimi. Questi siti Web spesso presentano prodotti economici e offerte incredibili per attirare acquirenti online.
Se fanno clic su di esso, di solito viene richiesto di registrare un account o inserire le informazioni del proprio conto bancario per completare un acquisto. Naturalmente, i truffatori si impossessano di questi dati personali per essere utilizzati per guadagni finanziari o furto di identità.
Esempi di Search Engine Phishing
Nel 2020, Google ha riferito che ogni giorno sono state rilevate 25 miliardi di pagine di spam. Inoltre, Wandera ha riferito che, nel 2020, è stato lanciato un nuovo sito di phishing ogni 20 secondi. Ciò significa che tre nuovi siti di phishing appaiono sui motori di ricerca ogni minuto!
11. Pharming
Il pharming, una combinazione delle parole "phishing" e "farming", coinvolge gli hacker che sfruttano i meccanismi della navigazione Internet per reindirizzare gli utenti a siti Web dannosi, spesso prendendo di mira i server DNS (Domain Name System).
I server DNS indirizzano le richieste del sito Web all'indirizzo IP corretto. Gli hacker che si dedicano al pharming spesso prendono di mira i server DNS per reindirizzare le vittime a siti Web fraudolenti con indirizzi IP falsi.
Esempio di Pharming
Secure List ha segnalato un attacco di pharming rivolto a una campagna umanitaria di volontari in Venezuela nel 2019. La campagna includeva un sito Web in cui i volontari potevano registrarsi per partecipare alla campagna e il sito richiedeva loro di fornire dati personali come nome, ID personale, telefono cellulare numero, la posizione di casa e altro ancora.
Pochi giorni dopo il lancio del sito Web, è apparso un sito Web quasi identico con un dominio simile. L'hacker ha creato questo dominio falso utilizzando lo stesso indirizzo IP del sito Web originale. Ogni volta che un volontario apriva il sito Web autentico, tutti i dati personali inseriti venivano migrati sul sito Web falso, con conseguente furto di dati di migliaia di volontari.
Suggerimenti per Individuare e Prevenire Attacchi di Phishing
Una delle modalità migliori per proteggersi dal cadere vittima di un attacco di phishing è studiare esempi di phishing in azione. Ma, in generale, è importante riconoscere questi segnali di avvertimento per scoprire un potenziale attacco:
- Un'e-mail che chiede di confermare le informazioni personali - un'e-mail che sembra autentica ma inaspettata, è probabile che si tratti di una fonte inaffidabile;
- Grammatica scadente - le parole errate, la grammatica scadente o uno strano modo di esprimersi sono un segnale d'allarme immediato di un tentativo di phishing;
- Messaggi su una situazione ad alto rischio - se un messaggio sembra essere stato progettato per far impaurire la vittima e agire immediatamente, è bene procedere con cautela; questa è una manovra comune tra i criminali informatici;
- Link o allegati sospetti - messaggi imprevisti che richiedono l’apertura di un allegato sconosciuto;
- Offerte troppo belle per essere vere - se vieni contattato per quello che sembra essere un affare irripetibile, probabilmente è falso.
Panda Adaptive Defense è la soluzione centralizzata, gestita in Cloud, per proteggere tutti i dispositivi dell'azienda, compresi portatili, smartphone, tablet, server e sistemi di virtualizzazione. La soluzione Panda Adaptive Defense consente di monitorare in tempo reale e con la massima semplicità la rete e tutti i dispositivi connessi.
Se vuoi avere maggiori informazioni su Panda Security e sulle altre soluzioni per la sicurezza informatica invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
Visita la sezione dedicata a soluzioni e servizi di Cyber Security sul nostro sito per ricevere ulteriori informazioni o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.