Al giorno d’oggi è la norma ricevere decine di messaggi di posta elettronica quotidianamente. Chiunque sa cosa significhi scorrere la pagina principale del proprio indirizzo e-mail e trovare una miriade di messaggi indesiderati provenienti dagli angoli più disparati del web. In mezzo agli innumerevoli messaggi inutili che pullulano nella casella elettronica di ciascun utente, ce ne sono alcuni decisamente più pericolosi di tutti gli altri. Questi messaggi vengono usati da esperti malintenzionati per cercare di truffare l’utente.
Contenuti
Il phishing tramite mail è uno dei pericoli maggiori da cui è importante imparare a difendersi. Cercando di dare una definizione di phishing, si potrebbe dire che è un tentativo di impadronirsi illegalmente dei dati sensibili di una persona. Questi dati vengono poi usati dalla persona malintenzionata per un proprio vantaggio economico.
Questo termine proviene dalla lingua inglese, dove fishing indica l’azione del pescare. Evidentemente, ciò allude all’arte di riuscire a far abboccare l’utente all’esca e dunque “pescare” le informazioni desiderate. La sostituzione della f iniziale con il ph sembra sia attribuibile a un vezzo espressivo della comunità online, anche se sono state avanzate ipotesi relative alla fusione di due parole come password harvesting (letteralmente “raccolta di password”).
Ci sono numerose tipologie diverse di phishing, ma il processo che sta dietro a ogni tentativo è pressappoco lo stesso e può essere riassunto nelle seguenti fasi:
1. Il phisher, ossia la persona malintenzionata, invia un’e-mail che replica in maniera più o meno perfetta la forma di quella di un servizio o un’istituzione noti al destinatario (può trattarsi della banca del destinatario, così come del suo account Amazon o del suo provider di posta elettronica);
2. Il messaggio contiene un problema da risolvere (come un addebito sul proprio conto o la scadenza del proprio account);
3. Il messaggio invita l’utente a risolvere subito il problema, rimandando a un sito internet fasullo che replica perfettamente l’originale;
4. Una volta giunto sul sito, all’utente viene chiesto di inserire i propri dati sensibili (nome utente, password, carta di credito e così via) al fine di risolvere il problema;
5. Questi dati vengono quindi utilizzati dal phisher per fare degli acquisti, trasferire del denaro o persino come base per ulteriori attacchi.
Questi inviti possono davvero assumere numerose forme, e non è sempre così facile riuscire a distinguere le comunicazioni ufficiali dalle copie truffaldine, anche per un occhio allenato e istruito.
Sebbene sia stato utilizzato il mail phishing come esempio per spiegarne il funzionamento, in realtà questa truffa online può assumere molteplici forme sia a seconda dell’obiettivo del phishing, che a seconda della modalità di sottrazione delle informazioni:
Come nell’esempio fatto in precedenza, questo tipo di phishing è indirizzato a specifiche persone o aziende e utilizza l’eventuale possesso di dati sensibili per rendere ancora più verosimile il contenuto indirizzato all’utente. Lo spear phishing è di gran lunga il più utilizzato su Internet, e ne ha notoriamente fatto le spese anche la campagna elettorale di Hillary Clinton nel 2016.
Il clone phishing consiste nello sfruttamento di una precedente e-mail “vera”, ricevuta dall’utente, per produrne una replica perfettamente uguale che tuttavia reindirizza a domini appartenenti al phisher. Ovviamente, affinché questa strategia possa essere utilizzata, l’account di posta elettronica deve già essere stato violato in precedenza.
Il whaling è un caso specifico di spear phishing, nel quale vengono presi di mira dei profili con una posizione di un certo livello economico e/o sociale (spesso consiglieri di qualche società). Il contenuto della mail viene adattato per il target di riferimento e spesso ha per oggetto istanze aziendali o reclami.
Alla luce di quanto detto finora, risulta evidente che il phisher tenti di creare un messaggio la cui forma, provenienza e contenuto siano sufficientemente credibili dall’utente perché questo decida di assecondarne la richiesta. Affinché questo sia possibile, vengono utilizzati vari stratagemmi dai phisher.
È molto comune l’utilizzo di sottodomini che facciano sembrare un sito come appartenente a una particolare istituzione. Ad esempio, l’indirizzo www.lamiabanca.accesso.com potrebbe far pensare che rimandi al sito di “lamiabanca”, quando in realtà sta rimandando alla fantomatica sezione “lamiabanca” del sito “accesso”, che sarà a quel punto facile accesso da parte del phisher.
Anche prestando attenzione alla presenza del corretto indirizzo di un sito web, non si è comunque del tutto al sicuro. In alcuni casi, infatti, è possibile far apparire, nella barra dell’indirizzo, un URL in cui in realtà non ci si trova in quel momento, rendendo molto più difficile il riconoscimento del tentativo di phishing da parte dell’utente.
Altri esempi più facilmente riconoscibili di phishing includono link che sembrano rimandare a indirizzi innocui, come un Google Docs o una testata di informazione, che invece non si rivelano tali. Oppure, i phisher possono posizionare dei pop-up sul sito della banca dell’utente in modo che questi inserisca il suo account e la password, pensando che sia la banca a richiederli. Questo può essere fatto anche tramite una contraffazione della voce di una persona, magari sfruttando quella dell’impiegato della propria banca per inviare un messaggio vocale che richiede la verifica di alcuni dati.
Una volta delineate la pericolosità e la capillarità di questa minaccia, viene spontaneo domandarsi se sia possibile eliminare il phishing o quantomeno proteggersi in qualche modo. Sembrerà banale ma, come in molti altri casi, l’arma più potente a disposizione è la formazione.
È possibile imparare e allenarsi a riconoscere i tentativi di phishing prestando maggiore attenzione ai propri movimenti online e instaurando dei comportamenti virtuosi volti a limitare le probabilità di cadere in trappola. Molte aziende fanno delle vere e proprie simulazioni per mettere alla prova i propri dipendenti. Ad esempio, quando si riceve una e-mail che richiede la verifica di alcuni dati sensibili, sarebbe opportuno contattare la società mittente del messaggio per avere un riscontro sull’effettiva veridicità del messaggio ricevuto.
Oltre alla sensibilizzazione e alla formazione dell’utente, è possibile adottare alcune misure di stampo tecnico capaci di segnalare un tentativo di phishing e salvaguardare l’utente prima che sia troppo tardi:
La sicurezza online inizia con un semplice clic.
Resta al sicuro con la VPN leader a livello mondiale