Tutti i tipi di phishing da conoscere nel 2023

Smishing, vishing, spear, evil twin sono diverse forme di phishing che anche nel primo semestre del 2023, è stato confermato il tipo di attacco informatico più diffuso per il furto di dati digitali

Autore

Valentina Nardi

Pubblicato

06/09/2023 08:58 AM

Immagine di pesce che abbocca all'amo.

Sentiamo parlare molto spesso di email phishing, attacco informatico che tramite messaggi di posta elettronica permette ai cybercriminali di appropriarsi dei nostri dati. Il successo di questo specifico tipo di attacco è dato soprattutto dalla sua efficacia: secondo i più recenti report del settore, la percentuale di dipendenti che cade nella trappola del phishing è ancora considerevole, 1 su 3.

Riconoscere il phishing per non abboccare

Il phishing è un tipo di crimine informatico che ricorda un po' la storia di Cappuccetto Rosso: i criminali si presentano online sotto le mentite spoglie di una una fonte altamente affidabile per indurre le vittime a consegnare informazioni personali e riservate come nomi utente, password fino ai numeri di carte di credito.

Il phishing è una trappola che, per funzionare, deve far abboccare la vittima ad un'esca e farle compiere volontariamente un'azione in modo da lasciare al criminale informatico libero accesso ai dati. Quali sono queste azioni? Ne citiamo alcune:

  • Download di un contenuto (documento, video ,immagine)
  • Clic su un link presente all'interno del messaggio
  • Telefonata a un certo numero (nel caso in cui abbiate ricevuto un sms)

Nel caso dell'email per esempio, la buona notizia è che non basta aprire il messaggio di posta per cadere nella trappola ma, una volta visualizzato è necessario "fare qualcosa". Per spingerci all'azione i messaggi di phishing possono contenere testi dai toni entusiasti oppure drammatici

Se avete un account di posta elettronica vi sarà capitato almeno una volta di ricevere un messaggio con oggetti tipo:

Congratulazioni! Hai vinto il primo premio! Clicca qui
Urgente! Rilevata attività sospetta nel tuo conto corrente! Verifica le tue credenziali qui
Il tuo pacco n.000000 è in giacenza! Traccia la spedizione!

Ricevere una comunicazione da parte di un ente pubblico/privato di questo tipo di cui non sapete nulla è altamente sospetto. A rendere le cose più difficili è la varietà di questo tipo di attacco. L'idea di phishing più diffusa e più nota è quella tramite email ma esistono molti altri metodi e canali diversi per mettere a segno un colpo. Ciò è particolarmente vero in questo periodo storico della tecnologia, in cui ci sono a disposizione strumenti molto sofisticati.

Panda Security ha pubblicato un elenco di 11 tipologie di phishing a cui prestare attenzione.

I diversi tipi di phishing secondo Panda security

Panda Security ha pubblicato un elenco di 11 tipologie di phishing a cui prestare attenzione:

  1. Email phihing
  2. Spear phishing
  3. Whaling
  4. Smishing
  5. Vishing
  6. Business email compromise
  7. Clone phising
  8. Evil twist phishing
  9. Social media phishing
  10. Phishing sui motori di ricerca
  11. Pharming

Vediamoli nel dettaglio nei paragrafi successivi con un caso pratico di esempio.

1. Email Phishing

Probabilmente il tipo più comune di phishing. Questo metodo spesso implica una tecnica “spray and pray” (sparare nel mucchio) in cui gli hacker impersonano un’identità o un’organizzazione legittima e inviano e-mail massive a quanti più indirizzi possono ottenere.

Il testo contenuto in queste e-mail trasmette un senso di tensione, imminenza, urgenza, informando il destinatario che un certo tipo di cosa è successo e che per risolverla deve rispondere immediatamente. L' obiettivo è quello di suscitare una determinata reazione nella vittima portandola a compiere un'azione specifica come fare clic su un collegamento dannoso che porta a una pagina di accesso falsa con i campi da compilare. Dopo aver inserito le proprie credenziali, le vittime ignare consegnano le proprie informazioni personali direttamente nelle mani del truffatore.

Riconoscere ed etichettare dei messaggi come pericolosi è un'operazione tutt'altro che semplice. Negli anni, la tecnica dei criminali informatici è molto migliorata e l'aspetto grafico è sempre più credibile e realistico. Tuttavia, è ancora possibile minimizzare il rischio grazie al riconoscimento di questi elementi ricorrenti:

  • Allegati e link
  • Errori ortografici
  • Testo sgrammaticato
  • Grafica non professionale
  • Richieste urgenti di verifica di informazioni
  • Forme di saluto generiche come "Gentile cliente"

Se nel messaggio che avete ricevuto sono presenti tutti insieme siete di fronte ad un tentativo di phishing da manuale. Il problema sono, ça va sans dire, le zone grigie, quei casi in cui abbiamo un indizio ma non gli altri. Che fare di fronte ad un messaggio dalla grafica super perfetta ricevuto dalla nostra banca, con il testo scritto bene e un link di invito a cliccare?

Il Daily Swig ha segnalato un attacco di phishing avvenuto nel dicembre 2020 presso l’operatore sanitario statunitense Elara Caring. L’aggressore ha ottenuto l’accesso agli account di posta elettronica dei dipendenti, con conseguente esposizione dei dati personali di oltre 100.000 pazienti anziani, inclusi nomi, date di nascita, informazioni finanziarie e bancarie, numeri di previdenza sociale, numeri di patente di guida e informazioni sull’assicurazione. L’aggressore ha mantenuto un accesso non autorizzato per un’intera settimana prima che Elara Caring potesse contenere completamente la violazione dei dati.

2. Spear Phishing

Lo spear phishing invece di utilizzare il metodo dello sparare nel mucchio, consiste nell’invio di e-mail dannose a individui specifici all’interno di un’organizzazione. Piuttosto che inviare messaggi a migliaia di destinatari ci si rivolge a determinati dipendenti di aziende appositamente scelte. Il testo di queste e-mail è più personalizzato per far credere alla vittima di avere una sorta di relazione con il mittente.

Armorblox ha segnalato un attacco di spear phishing nel settembre 2019 contro un dirigente di un’azienda denominata una delle 50 migliori aziende innovative al mondo. L’e-mail conteneva un allegato che sembrava essere un rapporto finanziario interno, che ha portato il dirigente a una falsa pagina di accesso di Microsoft Office 365. La falsa pagina di accesso aveva già il nome utente del dirigente già inserito nella pagina, aggiungendo ulteriore credibilità alla pagina web fraudolenta.

3. Whaling

Il Whaling somiglia molto allo spear phishing, ma invece di inseguire qualsiasi dipendente all’interno di un’azienda, i truffatori prendono di mira specificamente i dirigenti senior (o “il pesce grosso”, da cui il termine whaling – caccia alle balene). Ciò include il CEO, il CFO o qualsiasi dirigente di alto livello con accesso a dati più sensibili rispetto ai dipendenti di livello inferiore. Spesso, queste e-mail contengono collegamenti che descrivono una situazione di tensione come l'anteprima di una dichiarazione della società citata in giudizio. Questa urgenza induce i destinatari ad andare oltre e fare clic sul collegamento o allegato dannoso cedendo ulteriori informazioni.

Nel novembre 2020, Tessian ha riferito di un attacco avvenuto contro il co-fondatore dell’hedge fund australiano Levitas Capital. Il co-fondatore ha ricevuto un’e-mail contenente un falso link Zoom che ha piantato malware sulla rete aziendale dell’hedge fund e ha quasi causato una perdita di 8,7 milioni di dollari in fatture fraudolente. L’aggressore alla fine è riuscito a cavarsela con soli $ 800.000, ma il conseguente danno alla reputazione ha portato alla perdita del più grande cliente dell’hedge fund, costringendolo a chiudere definitivamente.

4.Smishing

Il phishing tramite SMS, o smishing, utilizza i messaggi di testo anziché la posta elettronica. Il modus operandi è lo stesso: gli aggressori inviano testi he contengono collegamenti dannosi, da fonti che sembrano essere affidabili. I link potrebbero essere camuffati da un codice coupon di sconto o un’offerta imperdibile per avere la possibilità di vincere qualcosa di desiderabile come i biglietti per i concerti.

Nel settembre 2020, Tripwire ha segnalato una campagna smishing che utilizzava l’ufficio postale degli Stati Uniti (USPS) come travestimento. Gli aggressori hanno inviato messaggi SMS informando i destinatari della necessità di fare clic su un collegamento per visualizzare informazioni importanti su un’imminente consegna USPS. Il collegamento dannoso ha effettivamente portato le vittime a varie pagine Web progettate per rubare le credenziali dell’account Google dei visitatori

5.Vishing

Il vishing, noto anche come phishing vocale, è simile allo smishing in quanto viene utilizzato un telefono come veicolo canale per sferrare un attacco, ma invece di adescare le vittime tramite messaggio di testo, viene usata la voce. Una chiamata in vishing spesso trasmette un messaggio vocale automatizzato da quella che dovrebbe sembrare un’istituzione legittima, come una banca o un’entità governativa o addirittura un presunto parente. Con l'ingresso delle AI questo tipo di attacco si è evoluto ed è diventato estremamente pericoloso per la capacità dell'AI di modulare la voce molto vicina a quella di un essere umano.

La "voce" potrebbero insistere sul fatto che hai un debito con la tua assicurazione o compagnia telefonica o un problema con la carta di credito in cui è stata rilevata un'attività sospetta. In ogni caso si tratta sempre di qualcosa che deve essere risolto immediatamente e che per farlo si devono fornire informazioni personali come le credenziali della carta di credito o il numero di previdenza sociale per verificare la propria identità prima di procede.

Nel settembre del 2020, l’organizzazione sanitaria Spectrum Health System ha segnalato un attacco vishing che ha coinvolto pazienti che ricevevano telefonate da individui che si spacciavano per dipendenti. Gli aggressori miravano a carpire i dati personali dai pazienti e dai membri di Spectrum Health, inclusi i numeri ID dei membri e altri dati sulla salute personale associati ai loro account. Spectrum Health ha riferito che gli aggressori avevano toni lusinghieri o addirittura minacciosi per spingere le vittime a consegnare i propri dati, denaro o accedere ai propri dispositivi personali.

6.Business Email Compromise (frode del CEO)

La frode del CEO è una forma di phishing in cui l'attacco permette di ottenere l’accesso all’account di posta elettronica aziendale di un dirigente di alto rango (come il CEO). Con l’account compromesso a loro disposizione, inviano e-mail ai dipendenti all’interno dell’organizzazione spacciandosi per l’amministratore delegato chiedendo di eseguire operazioni come un bonifico bancario fraudolento o pagare fatture false scadute.

Inky ha segnalato un attacco fraudolento del CEO contro la società aerospaziale austriaca FACC nel 2019. Questo attacco ha comportato un’e-mail di phishing inviata a un contabile di basso livello che sembrava provenire dal CEO di FACC. L’e-mail ha trasmesso le informazioni sui finanziamenti necessari per un nuovo progetto e il contabile ha inconsapevolmente trasferito 61 milioni di dollari in conti esteri fraudolenti.

7.Clone Phishing

Se vi è capitato di ricevere un’e-mail legittima da un’azienda molto nota e subito dopo ricevere di nuovo quello che sembra essere lo stesso messaggio, avete assistito molto probabilmente al clone phishing in azione. Questa tattica di phishing crea una replica dannosa di un messaggio recente che hai ricevuto e rinviandolo da quella che sembra essere la stessa fonte. Eventuali collegamenti o allegati dell’e-mail originale vengono sostituiti con altri dannosi.

Un tipico esempio clone phishing è un'e-mail urgente dall'assistenza clienti di un'azienda fidata e ampiamente utilizzata, come Poste Italiane, PayPal o Amazon. L'e-mail oltre ad essere graficamente irriconoscibile dall'originale del tutto richiede di in genere di accedere al proprio account "Adesso" o " Subito

8.Evil Twin Phishing

Evil twin phishing implica la creazione di quella che sembra essere una rete WiFi sicura. Le potenziali vittime che accedono a questa rete in realtà atterrano su un sito in cui viene richiesto di inserire delle credenziali di accesso, che finiscono direttamente nelle mani del cracker. Una volta ottenute queste informazioni, il cracker può accedere alla rete e prenderne il controllo e monitorare il traffico non crittografato per scovare e rubare informazioni e dati personali.

Nel settembre 2020, Nextgov ha segnalato una violazione dei dati contro i sistemi interni del Dipartimento degli interni degli Stati Uniti. I cracker hanno utilizzato il metodo evil twin phishing per rubare credenziali uniche e ottenere l’accesso alle reti WiFi del dipartimento. Ulteriori indagini hanno rivelato che il dipartimento non operasse all’interno di un’infrastruttura di rete wireless sicura, che il personale negli uffici non adottasse protocolli forti di autenticazione dell’utente, che fossero eseguiti test di sicurezza periodici o che fosse richiesto il monitoraggio della rete per rilevare e gestire attacchi comuni.

9.Social Media Phishing

Il phishing sui social si verifica quando gli aggressori utilizzano i social network come Facebook e Instagram per ottenere dati sensibili delle vittime o indurli a fare clic su collegamenti dannosi. I cracker possono creare account falsi impersonando qualcuno che la vittima conosce, oppure possono persino impersonare l’account del servizio clienti di un marchio noto per derubare le vittime che si rivolgono al marchio per ottenere supporto.

_Nell’agosto 2019, Fstoppers ha segnalato una campagna di phishing lanciata su Instagram in cui i truffatori hanno inviato messaggi privati agli utenti avvertendoli di aver commesso una violazione del copyright dell’immagine e chiedendo loro di compilare un modulo per evitare la sospensione del proprio account. Il messaggio privato arrivava da quello che sembrava a tutti gli effetti essere un account ufficiale di North Face e spingeva i malcapitati a seguire le istruzioni fino a collegarsi a “InstagramHelpNotice.com”, un sito web apparentemente legale in cui veniva chiesto di inserire le proprie credenziali di accesso condividendo così le informazioni del proprio account e altri dati personali collegati a Instagram._

10.Phishing sui motori di ricerca (Search Engine Phishing)

Il phishing nei motori di ricerca, SEP, è il dark side della SEO. Viene creato un sito web e si indicizza sui principali motori di ricerca. Questi siti presentano spesso prodotti economici e offerte incredibili per attirare ignari acquirenti online che vedono il sito tra i primi risultati di ricerca del motore. Se si clicca in questi siti attratti da prezzi interessanti e si procede con l'acquisto il prodotto non arriverà mai. In compenso il portafoglio sarà sicuramente più leggero.

Nel 2020, Google ha riferito che ogni giorno sono stati rilevati 25 miliardi di pagine di spam, dai siti Web di spam alle pagine Web di phishing. Inoltre, Wandera ha riferito nel 2020 che un nuovo sito di phishing viene lanciato ogni 20 secondi. Ciò significa che tre nuovi siti di phishing compaiono sui motori di ricerca ogni minuto!

11.Pharming

Pharming è un neologismo che combina le parole “phishing” e “farming”. I cracker in questo caso sfruttano i meccanismi della navigazione in Internet per reindirizzare gli utenti a siti Web dannosi, spesso prendendo di mira i server DNS (Domain Name System). I criminali che si dedicano a questa attività cercano di danneggiare i server DNS per reindirizzare le vittime ai siti Web fraudolenti con indirizzi IP falsi. I dati personali delle vittime che arrivano al DNS danneggiato a questo punto diventano vulnerabili e soggetti al furto.

Secure List ha segnalato un attacco pharming mirato a una campagna umanitaria di volontari creata in Venezuela nel 2019. La campagna includeva un sito Web in cui i volontari potevano registrarsi per partecipare alla campagna e il sito richiedeva di fornire dati come nome, ID personale, telefono cellulare numero, posizione dell’abitazione e altro ancora. Pochi giorni dopo il lancio del sito web, è apparso un sito web quasi identico con un dominio simile. Il cracker aveva creato questo falso dominio utilizzando lo stesso indirizzo IP del sito web originale. Ogni volta apriva il sito Web autentico, tutti i dati personali inseriti finivano nel sito Web falso, con conseguente furto di dati di migliaia di volontari.

Come affrontare una minaccia in costante evoluzione?

Forse arrivati a questo punto sembrerà difficile pensare a delle strategie per difendersi. In realtà ognuna di queste tattiche non può riuscire senza l'intervento attivo della vittima e fa affidamento proprio sulla carenza di educazione degli utenti in fatto di sicurezza.

Esistono delle precauzioni che possiamo prendere che anche in caso di attacchi subdoli come il pharming e il vishing che possono minimizzare i danni

  • Non accedere mai alle reti gratuite senza una VPN installata
  • Valutare sempre la relazione che avete con il mittente
  • Verificare gli URL e gli indirizzi di posta
  • Non fare mai clic su un collegamento da un’e-mail inaspettata (anche se sembra legittima)
  • Non dare mai i vostri dati per telefono a meno che non siate voi a chiamare il servizio
  • Utilizzare le autenticazioni a due fattori e password forti
  • Monitorare le attività online soprattutto delle fasce meno esperte come anziani e giovani
  • Verificare la credibilità di un sito controllando la sua attività online (recensioni, attività, p.iva)

Viviamo in un'era in cui la tecnologia informatica permea quasi ogni aspetto della nostra vita: conoscere le minacce e prevenirle sono aspetti che non possiamo ignorare.

Condividi
Copyright © Microdesign 2023P.IVA: 01542590433