Cos’è il phishing? La guida completa

Cos’è il phishing?

Il phishing è una forma di truffa informatica in cui i criminali cercano di ottenere dati sensibili come password, numeri di carta di credito o altre informazioni personali, fingendo di essere entità fidate, come istituzioni pubbliche o brand famosi. Il phishing è uno dei maggiori esempi di ingegneria sociale, strumento di manipolazione psicologica che fa leva sulle emozioni umane come paura, curiosità, empatia o sui desideri, come avere più soldi, ottenere un regalo, ecc.

Solitamente il phishing avviene attraverso messaggi di posta elettronica, messaggi istantanei, o siti web falsi che sembrano legittimi. Gli obiettivi del phishing possono includere il furto di identità, il furto di denaro o l’accesso non autorizzato a sistemi informatici. Il termine deriva dall’inglese “fishing”, letteralmente pescare, riferendosi alla capacità di attirare l’utente con un’esca per ottenere le informazioni desiderate. La sostituzione della “f” con “ph” sembra essere nata come un espediente stilistico della comunità online, sebbene alcune teorie suggeriscano un’origine dalla fusione di “password harvesting” (raccolta di password).

Come funziona il phishing?

Il phishing, pure nelle sue diverse tipologie, di cui parleremo più avanti, segue il medesimo schema:

• Preparazione: I truffatori o phisher scelgono il loro obiettivo e raccolgono informazioni su di esso. Possono cercare informazioni pubbliche sui social o su altre fonti per personalizzare quanto più possibile l’attacco.
• Creazione dell’attacco: I phisher creano un messaggio fraudolento che sembra provenire da una fonte attendibile e nota alla vittima, come una banca, un sito di shopping online o un servizio di pagamento. Utilizzano spesso loghi e grafica simili a quelli originali per aumentare la credibilità del messaggio.
• Invio del messaggio: Il messaggio viene inviato tramite email, messaggi istantanei, SMS o anche attraverso i social media. Il messaggio può contenere link fraudolenti che portano a siti web contraffatti o a siti web legittimi che sono stati compromessi.
• Inganno dell’utente: Il messaggio è studiato e confezionato per indurre la vittima ad “abboccare all’amo” e, dunque, a compiere una serie di azioni, come cliccare su un link, scaricare un allegato malevolo o fornire informazioni personali. Gli esempi comuni includono messaggi che avvisano di problemi con il conto bancario richiedendo l’accesso immediato per risolverli, oppure promozioni imperdibili per convincere la vittima a fornire dettagli di pagamento.
• Raccolta dei dati: Una volta che la vittima è caduta nel tranello della truffa online e fornisce le informazioni richieste, gli hacker possono utilizzare queste informazioni per rubare denaro o accedere agli account online dell’utente. Può accadere, inoltre, che decidendo di cliccare sul link malevolo, il dispositivo venga infettato da virus come trojan o malware.
• Utilizzo dei dati: I dati rubati possono essere venduti sul mercato nero, utilizzati per rubare identità o semplicemente per trarre profitto monetario diretto.

Come si riconosce un attacco di phishing?

Un attacco di phishing può essere particolarmente efficace nel trarre in inganno soprattutto chi è distratto o poco esperto, tuttavia i criminali informatici sono diventati sempre più abili a truffare, prendendo nella rete anche i più smaliziati . Come, ad esempio, è accaduto nel 2017 a circa un milione di utenti di Google Docs. Le vittime avevano ricevuto una email che le invitava a cliccare su un link per visionare un presunto documento, di fatto reindirizzandole a una falsa pagina di login di Google. La truffa appariva del tutto credibile poiché era ospitata sui server di Google.

È comunque possibile riconoscere gli attacchi di phishing prestando attenzione ad alcuni elementi come la presenza di errori grammaticali o il tono urgente e minaccioso del messaggio, o, ancora, la richiesta di informazioni personali e dati sensibili.

Ecco a quali dettagli prestare attenzione per riconoscere un attacco di phishing:

• Richiesta di informazioni personali: Se ricevi un’email che chiede password, numeri di carte di credito o altre informazioni sensibili, potrebbe essere un tentativo di phishing.
• Link sospetti: Se l’email contiene link verso siti web non familiari o con URL strani, potrebbe essere un modo per i truffatori di rubare le tue credenziali.
• Messaggi urgenti o minacciosi: Le email che creano un senso di urgenza, come avvisi di account bloccati o di multe imminenti, spesso sono segnali di phishing.
• Mancanza di personalizzazione: Le email legittime solitamente includono il tuo nome o altre informazioni personali. Se ricevi un’email generica, potrebbe essere un segno di phishing.
• Errore grammaticale o ortografico: Se l’email contiene errori grammaticali o ortografici evidenti, potrebbe indicare che è stata scritta da truffatori non madrelingua.
• Mittente sconosciuto o sospetto: Se non riconosci il mittente o l’indirizzo sembra strano, è meglio non interagire con l’email.

Tipologie di phishing

Esistono diverse tipologie di phishing e le nuove tecnologie come l’intelligenza artificiale ne contribuiscono a creare di nuove e più pericolose. Ogni tipologia utilizza metodi, canali e linguaggi specifici a seconda del target e dell’obiettivo. Eccone qui alcuni esempi.

Spear phishing

Lo spear phishing è una forma sofisticata di phishing che prende di mira individui specifici o gruppi ristretti all’interno di un’organizzazione. A differenza del phishing tradizionale, lo spear phishing utilizza informazioni personalizzate raccolte dai truffatori attraverso fonti pubbliche come social media e siti web aziendali. Questi attacchi sono progettati per essere altamente convincenti, menzionando dettagli personali e lavorativi delle vittime, rendendo il messaggio più credibile. Gli obiettivi degli attacchi di spear phishing possono includere il furto di dati sensibili, l’accesso non autorizzato a sistemi aziendali o il trasferimento fraudolento di denaro.

Clone phishing

Il clone phishing è una tecnica di phishing in cui gli aggressori copiano una email reale che la vittima ha già ricevuto. Successivamente, modificano la versione clonata per includere link o allegati malevoli e la inviano alla vittima, fingendo che sia una comunicazione legittima e conosciuta. Poiché la vittima ha già ricevuto un’email simile, è più probabile che, ritenendola familiare, clicchi sul link o apra l’allegato malevolo, rendendo questa tecnica particolarmente efficace.

Whaling

Il whaling è una forma particolare di spear phishing perché indirizzata a figure di alto livello all’interno di un’organizzazione, come CEO, CFO e altri dirigenti. Questi attacchi sono caratterizzati da un alto grado di sofisticazione e personalizzazione, poiché utilizzano informazioni dettagliate e specifiche per ingannare la vittima. L’obiettivo del whaling è ottenere informazioni sensibili, trasferimenti di denaro o accesso a sistemi aziendali critici, sfruttando la posizione di autorità della vittima per rendere l’attacco più convincente. Gli attacchi di whaling spesso simulando email o messaggi da colleghi, partner commerciali o altre figure autorevoli.

Smishing

Lo smishing è una forma di phishing che avviene attraverso l’uso di messaggi di testo (SMS) anziché tramite email. Gli aggressori inviano messaggi SMS fraudolenti che spesso chiedono alle vittime di cliccare su link malevoli, chiamare numeri di telefono fraudolenti o fornire informazioni personali. Tra i più comuni esempi di smishing c’è quello che riguarda i servizi di spedizione: i truffatori inviano un SMS in cui comunicano alla vittima che gli è stato inviato un pacco e che può tracciarne la spedizione cliccando sul link contenuto nell’SMS stesso.

Cosa fare se ho subito un attacco di phishing?

Ho cliccato su un link di phishing e ora sono nel panico! Lo comprendiamo, ma in questi casi è meglio mantenere il sangue freddo e seguire i nostri consigli.

• Disconnettiti: sembra estremo, ma credici, non lo è. Per evitare la diffusione di virus o il controllo da remoto dei tuoi dispositivi collegati alla rete è importante essere offline.
• Backup dei dati: perdere i propri dati personali può essere il peggiore degli incubi, per questo è consigliabile effettuare un backup offline dei dati.
• Scan anti-malware: Utilizza un software antivirus o antimalware affidabile come il prodotto di cybersecurity avanzato Threat Protection Pro di NordVPN per scansionare il tuo dispositivo alla ricerca di eventuali malware.
• Cambia la password: Accedi al tuo account online tramite un browser sicuro (non utilizzare il link sospetto dalla mail) e cambia immediatamente la password. Scegli una password forte e unica per migliorare la sicurezza.
• Segnala il phishing: Utilizza la funzione di segnalazione spam o phishing nel tuo client di posta elettronica per informare il provider del servizio di posta del tentativo di phishing.

Come difendersi dal phishing?

Difendersi dal phishing è possibile, occorre consapevolezza, vigilanza e l’adozione di pratiche sicure. Ecco alcuni suggerimenti per prevenire gli attacchi di phishing e proteggere i propri dati o quelli della propria azienda:

• Adotta una soluzione anti-phishing: sono diverse le soluzioni anti-phishing affidabili, come VPN, software antivirus o estensioni del browser dedicate. Queste soluzioni possono aiutarti a rilevare e bloccare i tentativi di phishing prima che sia tardi, ad esempio analizzando le e-mail in arrivo o verificando se gli URL contengono segnali di phishing. Per proteggerti dalla maggior parte dei tipi di phishing, NordVPN offre il suo software anti-phishing con la funzionalità Threat Protection Pro. Sfruttando tecnologie innovative alimentate dall’AI, la soluzione NordVPN è in grado di identificare e rilevare le minacce più recenti.
• Attiva l’autenticazione a più fattori (MFA): pur non impedendo direttamente l’attacco di phishing, lo rende più complicato da attuare, poiché fornisce una protezione ulteriore ai tuoi account.
• Filtro e-mail: gli appositi filtri di spam nella propria casella di posta permettono di identificare immediatamente un buon numero di messaggi potenzialmente dannosi e di rimuoverli in automatico dalla Posta in arrivo.
• Fidarsi è bene, ma è meglio non farlo: quando si naviga in internet la diffidenza non è mai troppa. Mai fidarsi di chi promette smartphone gratuiti, vacanze gratis alle Maldive o minaccia la chiusura dei tuoi conti bancari. Ed è sempre fondamentale non condividere mai informazioni sensibili se non si è sicuri della legittimità della fonte.