Il phishing è un tipo di crimine informatico in cui i criminali si presentano come una fonte affidabile online per indurre le vittime a consegnare informazioni personali come nomi utente, password o numeri di carte di credito.
Un attacco di phishing può assumere varie forme e, sebbene spesso avvenga tramite e-mail, esistono molti metodi diversi utilizzati dai truffatori per realizzare i loro schemi. Ciò è particolarmente vero oggi poiché il phishing continua a evolversi in sofisticazione e diffusione.
Panda Security ha pubblicato 11 tipologie di phishing a cui prestare attenzione per proteggersi dal cadere vittima di un attacco di phishing e 11 esempi di phishing di vita reale.
- Email Phishing
Probabilmente il tipo più comune di phishing, questo metodo spesso implica una tecnica “spray and pray” in cui gli hacker impersonano un’identità o un’organizzazione legittima e inviano e-mail di massa a quanti più indirizzi possono ottenere.
Queste e-mail sono spesso scritte con un senso di urgenza, informando il destinatario che un account personale è stato compromesso e deve rispondere immediatamente. Il loro obiettivo è quello di suscitare una determinata azione dalla vittima, come fare clic su un collegamento dannoso che porta a una pagina di accesso falsa. Dopo aver inserito le proprie credenziali, le vittime purtroppo consegnano le proprie informazioni personali direttamente nelle mani del truffatore.
Esempio di Email Phishing
Il Daily Swig ha segnalato un attacco di phishing avvenuto nel dicembre 2020 presso l’operatore sanitario statunitense Elara Caring, avvenuto dopo un’intrusione informatica non autorizzata che aveva preso di mira due dipendenti. L’aggressore ha ottenuto l’accesso agli account di posta elettronica dei dipendenti, con conseguente esposizione dei dati personali di oltre 100.000 pazienti anziani, inclusi nomi, date di nascita, informazioni finanziarie e bancarie, numeri di previdenza sociale, numeri di patente di guida e informazioni sull’assicurazione. L’aggressore ha mantenuto un accesso non autorizzato per un’intera settimana prima che Elara Caring potesse contenere completamente la violazione dei dati.
- Spear Phishing
Anziché utilizzare il metodo “spray and pray” come descritto sopra, lo spear phishing implica l’invio di e-mail dannose a individui specifici all’interno di un’organizzazione. Piuttosto che inviare e-mail di massa a migliaia di destinatari, questo metodo si rivolge a determinati dipendenti di aziende appositamente scelte. Questi tipi di email sono spesso più personalizzati per far credere alla vittima di avere una relazione con il mittente.
Esempio di Spear Phishing
Armorblox ha segnalato un attacco di spear phishing nel settembre 2019 contro un dirigente di un’azienda denominata una delle 50 migliori aziende innovative al mondo. L’e-mail conteneva un allegato che sembrava essere un rapporto finanziario interno, che ha portato il dirigente a una falsa pagina di accesso di Microsoft Office 365. La falsa pagina di accesso aveva già il nome utente del dirigente già inserito nella pagina, aggiungendo ulteriormente il travestimento della pagina web fraudolenta.
- Whaling
Il Whaling somiglia molto allo spear phishing, ma invece di inseguire qualsiasi dipendente all’interno di un’azienda, i truffatori prendono di mira specificamente i dirigenti senior (o “il pesce grosso”, da cui il termine whaling – caccia alle balene). Ciò include il CEO, il CFO o qualsiasi dirigente di alto livello con accesso a dati più sensibili rispetto ai dipendenti di livello inferiore. Spesso, queste e-mail utilizzano una situazione di alta pressione per agganciare le loro vittime, come la trasmissione di una dichiarazione della società citata in giudizio. Ciò induce i destinatari a fare clic sul collegamento o allegato dannoso per ottenere ulteriori informazioni.
Esempio di Whaling
Nel novembre 2020, Tessian ha riferito di un attacco di caccia alle balene avvenuto contro il co-fondatore dell’hedge fund australiano Levitas Capital. Il co-fondatore ha ricevuto un’e-mail contenente un falso link Zoom che ha piantato malware sulla rete aziendale dell’hedge fund e ha quasi causato una perdita di 8,7 milioni di dollari in fatture fraudolente. L’aggressore alla fine è riuscito a cavarsela con soli $ 800.000, ma il conseguente danno alla reputazione ha portato alla perdita del più grande cliente dell’hedge fund, costringendolo a chiudere definitivamente.
- Smishing
Il phishing tramite SMS, o smishing, utilizza i messaggi di testo anziché la posta elettronica per eseguire un attacco di phishing. Funzionano in modo molto simile agli attacchi di phishing basati su e-mail: gli aggressori inviano testi da quelle che sembrano essere fonti legittime (come aziende affidabili) che contengono collegamenti dannosi. I link potrebbero essere camuffati da un codice coupon (20% di sconto sul prossimo ordine!) o un’offerta per avere la possibilità di vincere qualcosa come i biglietti per i concerti.
Esempio di Smishing
Nel settembre 2020, Tripwire ha segnalato una campagna smishing che utilizzava l’ufficio postale degli Stati Uniti (USPS) come travestimento. Gli aggressori hanno inviato messaggi SMS informando i destinatari della necessità di fare clic su un collegamento per visualizzare informazioni importanti su un’imminente consegna USPS. Il collegamento dannoso ha effettivamente portato le vittime a varie pagine Web progettate per rubare le credenziali dell’account Google dei visitatori.
- Vishing
Il vishing, noto anche come phishing vocale, è simile allo smishing in quanto un telefono viene utilizzato come veicolo per un attacco , ma invece di sfruttare le vittime tramite messaggio di testo, viene eseguito con una telefonata. Una chiamata in vishing spesso trasmette un messaggio vocale automatizzato da quella che dovrebbe sembrare un’istituzione legittima, come una banca o un’entità governativa.
Gli aggressori potrebbero affermare che devi una grande quantità di denaro, la tua assicurazione auto è scaduta o la tua carta di credito ha un’attività sospetta che deve essere risolta immediatamente. A questo punto, alla vittima viene solitamente detto che deve fornire informazioni personali come le credenziali della carta di credito o il numero di previdenza sociale al fine di verificare la propria identità prima di intraprendere un’azione su qualsiasi reclamo venga presentato.
Esempi di Vishing
Nel settembre del 2020, l’organizzazione sanitaria Spectrum Health System ha segnalato un attacco vishing che ha coinvolto pazienti che ricevevano telefonate da individui mascherati da dipendenti. Gli aggressori miravano a estrarre i dati personali dai pazienti e dai membri di Spectrum Health, inclusi i numeri ID dei membri e altri dati sulla salute personale associati ai loro account. Spectrum Health ha riferito che gli aggressori hanno utilizzato misure come lusinghe o addirittura minacce per spingere le vittime a consegnare i propri dati, denaro o accedere ai propri dispositivi personali.
- Business Email Compromise (frode del CEO)
La frode del CEO è una forma di phishing in cui l’attaccante ottiene l’accesso all’account di posta elettronica aziendale di un dirigente di alto rango (come il CEO). Con l’account compromesso a loro disposizione, inviano e-mail ai dipendenti all’interno dell’organizzazione che si spacciano per l’amministratore delegato con l’obiettivo di avviare un bonifico bancario fraudolento o ottenere denaro tramite fatture false.
Esempio di frode del CEO
Inky ha segnalato un attacco fraudolento del CEO contro la società aerospaziale austriaca FACC nel 2019. Questo attacco ha comportato un’e-mail di phishing inviata a un contabile di basso livello che sembrava provenire dal CEO di FACC. L’e-mail ha trasmesso le informazioni sui finanziamenti necessari per un nuovo progetto e il contabile ha inconsapevolmente trasferito 61 milioni di dollari in conti esteri fraudolenti.
- Clone Phishing
Se hai mai ricevuto un’e-mail legittima da un’azienda solo per ricevere quello che sembra essere lo stesso messaggio poco dopo, hai assistito al clone phishing in azione. Questo metodo di phishing funziona creando una replica dannosa di un messaggio recente che hai ricevuto e rinviandolo da una fonte apparentemente credibile. Eventuali collegamenti o allegati dell’e-mail originale vengono sostituiti con altri dannosi. Gli aggressori in genere utilizzano la scusa di inviare nuovamente il messaggio a causa di problemi con i collegamenti o gli allegati nell’e-mail precedente.
Esempi di Clone Phishing
Un ricercatore di sicurezza ha dimostrato la possibilità di seguire un collegamento e-mail a un sito Web fake che sembra mostrare l’URL corretto nella finestra del browser, ma inganna gli utenti utilizzando caratteri che assomigliano molto al nome di dominio legittimo. Visita sempre i siti Web dai tuoi segnalibri o digitando tu stesso l’URL e non fare mai clic su un collegamento da un’e-mail inaspettata (anche se sembra legittimo).
- Evil Twin Phishing
Evil twin phishing implica la creazione di quella che sembra essere una rete WiFi legittima che attira le vittime a un sito di phishing quando si connettono ad esso. Una volta atterrati sul sito, in genere viene richiesto di inserire i propri dati personali, come le credenziali di accesso, che poi vanno direttamente all’hacker. Una volta che l’hacker ha questi dettagli, può accedere alla rete, prenderne il controllo, monitorare il traffico non crittografato e trovare modi per rubare informazioni e dati sensibili.
Esempio di Evil Twin Phishing
Nel settembre 2020, Nextgov ha segnalato una violazione dei dati contro i sistemi interni del Dipartimento degli interni degli Stati Uniti. Gli hacker hanno utilizzato evil twin phishing per rubare credenziali uniche e ottenere l’accesso alle reti WiFi del dipartimento. Ulteriori indagini hanno rivelato che il dipartimento non operava all’interno di un’infrastruttura di rete wireless sicura e la politica di rete del dipartimento non è riuscita a garantire che gli uffici applicassero forti misure di autenticazione dell’utente, testassero periodicamente la sicurezza della rete o richiedessero il monitoraggio della rete per rilevare e gestire attacchi comuni.
- Social Media Phishing
Il phishing sui social media si verifica quando gli aggressori utilizzano siti di social network come Facebook, Twitter e Instagram per ottenere dati sensibili delle vittime o indurli a fare clic su collegamenti dannosi. Gli hacker possono creare account falsi impersonando qualcuno che la vittima conosce per condurli nella loro trappola, oppure possono persino impersonare l’account del servizio clienti di un marchio noto per depredare le vittime che si rivolgono al marchio per ottenere supporto.
Esempio di Social Media Phishing
Nell’agosto 2019, Fstoppers ha segnalato una campagna di phishing lanciata su Instagram in cui i truffatori hanno inviato messaggi privati agli utenti di Instagram avvertendoli di aver commesso una violazione del copyright dell’immagine e chiedendo loro di compilare un modulo per evitare la sospensione del proprio account.
Una vittima ha ricevuto un messaggio privato da quello che sembrava un account ufficiale di North Face in cui si accusava una violazione del copyright e l’ha spinta a seguire un collegamento a “InstagramHelpNotice.com”, un sito web apparentemente legittimo in cui agli utenti viene chiesto di inserire le proprie credenziali di accesso. Le vittime cadute nella trappola alla fine hanno fornito agli hacker l’accesso alle informazioni del proprio account e ad altri dati personali collegati al proprio account Instagram.
- Phishing sui motori di ricerca (Search Engine Phishing)
Il phishing nei motori di ricerca coinvolge gli hacker che creano il proprio sito Web e lo fanno indicizzare su motori di ricerca legittimi. Questi siti Web presentano spesso prodotti economici e offerte incredibili per attirare ignari acquirenti online che vedono il sito Web su una pagina dei risultati di ricerca di Google. Se fanno clic su di esso, di solito viene richiesto di registrare un account o di inserire le informazioni del proprio conto bancario per completare un acquisto. Naturalmente, i truffatori poi si girano e rubano questi dati personali per essere utilizzati per guadagni finanziari o furti di identità.
Esempio di Search Engine Phishing
Nel 2020, Google ha riferito che ogni giorno sono stati rilevati 25 miliardi di pagine di spam, dai siti Web di spam alle pagine Web di phishing. Inoltre, Wandera ha riferito nel 2020 che un nuovo sito di phishing viene lanciato ogni 20 secondi. Ciò significa che tre nuovi siti di phishing compaiono sui motori di ricerca ogni minuto!
- Pharming
Pharming, una combinazione delle parole “phishing” e “farming”, coinvolge gli hacker che sfruttano i meccanismi della navigazione in Internet per reindirizzare gli utenti a siti Web dannosi, spesso prendendo di mira i server DNS (Domain Name System). Esistono server DNS per indirizzare le richieste del sito Web all’indirizzo IP corretto. Gli hacker che si dedicano al pharming spesso prendono di mira i server DNS per reindirizzare le vittime a siti Web fraudolenti con indirizzi IP falsi. I dati personali delle vittime diventano vulnerabili al furto da parte dell’hacker quando arrivano sul sito Web con un server DNS danneggiato .
Esempio di pharming
Secure List ha segnalato un attacco pharming mirato a una campagna umanitaria di volontari creata in Venezuela nel 2019. La campagna includeva un sito Web in cui i volontari potevano registrarsi per partecipare alla campagna e il sito richiedeva di fornire dati come nome, ID personale, telefono cellulare numero, posizione dell’abitazione e altro ancora.
Pochi giorni dopo il lancio del sito web, è apparso un sito web quasi identico con un dominio simile. L’hacker ha creato questo falso dominio utilizzando lo stesso indirizzo IP del sito web originale. Ogni volta che un volontario ha aperto il sito Web autentico, tutti i dati personali inseriti sono stati filtrati nel sito Web falso, con conseguente furto di dati di migliaia di volontari.
Suggerimenti per individuare e prevenire gli attacchi di phishing
Uno dei modi migliori per proteggersi dal cadere vittima di un attacco di phishing è studiare esempi di phishing in azione. Questa guida della Federal Trade Commission (FTC) è utile per capire cosa cercare quando si tenta di individuare un attacco di phishing, nonché per i passaggi che è possibile eseguire per segnalare un attacco alla FTC e mitigare future violazioni dei dati. In generale, tieni a mente questi segnali di avvertimento per scoprire un potenziale attacco di phishing:
- Un’e-mail ti chiede di confermare le informazioni personali: se ricevi un’e-mail che sembra autentica ma sembra fuori dal nulla, è un forte segno che si tratta di una fonte inaffidabile.
- Grammatica scadente: parole con errori di ortografia, grammatica scadente o una strana svolta della frase sono una bandiera rossa immediata di un tentativo di phishing.
- Messaggi su una situazione di alta pressione: se un messaggio sembra essere stato progettato per farti prendere dal panico e agire immediatamente, procedi con cautela: questa è una manovra comune tra i criminali informatici.
- Collegamenti o allegati sospetti: se hai ricevuto un messaggio inaspettato che ti chiede di aprire un allegato sconosciuto, non farlo mai a meno che tu non sia completamente certo che il mittente sia un contatto legittimo.
- Offerte troppo belle per essere vere: se vieni contattato per quello che sembra essere un affare irripetibile, probabilmente è falso».
“La seconda migliore linea di difesa contro tutti i tipi di attacchi di phishing e attacchi informatici in generale è assicurarsi di essere dotati di un antivirus affidabile”, concludono gli esperti di Panda Security.
https://www.pandasecurity.com/en/mediacenter/tips/types-of-phishing/