Il phishing è una delle tante tecniche di ingegneria sociale utilizzate per ingannare gli utenti. Si tratta di un tipo di frode utilizzato per ottenere informazioni sensibili da una persona o un'azienda, come password e dettagli della carta di credito.
Gli autori della frode, utilizzando una comunicazione elettronica - tipicamente e-mail, messaggistica istantanea o messaggi di testo – possono parlare a nome di un’entità o di una persona considerata affidabile, come può essere una banca, un avvocato o un collega e invitare quindi gli utenti a fornire i propri dati personali per risolvere un problema, ad es. tecnico o relativo al suo conto bancario, o accettare un'offerta promozionale imperdibile. Di solito la vittima viene indirizzata su un sito Web falso, che imita l'aspetto di quello autentico, con l’obiettivo di indurla a inserire i propri dati.
Se il tentativo di phishing si avvale della posta elettronica (e-mail phishing), a volte si tenta di indurre l'utente ad aprire un allegato infetto - una fattura falsa, una lettera di un avvocato - che carica malware nel computer (ricorda: anche se il tuo antivirus è aggiornato, non sei mai sicuro al 100%!).
Quando il phishing si rivolge a una persona o azienda specifica, si parla di spear phishing, in particolare se la persona è un decisore di alto livello, si parla invece di whale phishing.
Ecco alcuni numeri per dare un'idea della rilevanza del phishing nell'ambiente malware. Per maggiori dettagli provengono da Verizon Data Breach Investigations Report 2020, Symantec Internet Security Threat Report 2019 e Proofpoint State of the Phish Report 2020.
Le semplici regole che elencherò, se seguite attentamente, vi potranno aiutare a scoprire la maggior parte dei tentativi di phishing effettuati tramite posta elettronica. Bisogna tener presente, tuttavia, che quando si tratta di spear phishing, accorgersene potrebbe essere molto, molto difficile.
Le aziende non chiedono le tue informazioni personali tramite e-mail né ti invitano ad aprire un link che punta a una pagina in cui puoi inserirle.
Innanzitutto, le e-mail importanti e che possiamo definire “conformi” non contengono link cliccabili. Se ce ne sono, è importante passarci sopra con il mouse senza cliccare e verificare che gli indirizzi che appaiono siano uguali a quelli della posta (se sono diversi molti client di posta lo faranno notare). Anche se sembrano uguali, controlla che non siano "strani", come appple.com o anche che non abbiano alcun riferimento al nome del sito reale.
E’ importante ricordare che, a meno che l'e-mail non sia firmata digitalmente, il mittente può essere facilmente falsificato. Quindi, solo perché sembra che l'email provenga da una persona di cui ci si fid, non significa che sia stata proprio questa persona ad aver mandato l’email. Occorre osservare molto attentamente l'indirizzo del mittente: potrebbe essere molto simile a quello giusto (es. Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo. invece di Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.), o potrebbe anche essere corretto se il malintenzionato non ha bisogno di una risposta ( ad esempio, vuole che si apra un allegato dannoso, vedi sotto).
Gli allegati possono essere molto pericolosi (i numeri di prima parlano da soli). In questo caso il fatto che l'indirizzo del mittente sia corretto non è significativo, quindi, anche si nutre un minimo dubbio, è meglio chiamare per verificare. Se l'allegato, una volta aperto, chiede di abilitare le macro (è meglio tenerle sempre disabilitate), ecco che i campanellini d’allarme dovrebbero cominciare a suonare. Ed è un errore anche fidarsi troppo del proprio antivirus: nessuno è perfetto e c'è sempre una concreta possibilità di infezione.
Attenzione all'urgenza o alle offerte incredibili! I truffatori vogliono indurti a comportarti in maniera impulsiva.
Esempi tipici sono offerte di smartphone con sconti incredibili, comunicazioni che avvisano che l’account sta per scadere o che sono state rivelate attività sospette sullo stesso e quindi è necessario fornire informazioni per evitare il blocco (alcuni siti affidabili, ad esempio Google, potrebbero chiedere all’utente di reimpostare la password, ma lo faranno chiedendogli di effettuare il login al di fuori dell'interfaccia e-mail, certamente non facendo clic su un collegamento all'interno dell'e-mail).
Le email di phishing sono spesso piene di errori di ortografia e di grammatica o, peggio, è evidente che siano un output di un servizio quale Google translator o simile.
La maggior parte dei mittenti “legittimi” include una signature block alla fine della e-mail.
Espressioni generiche, come "Cliente stimato", "Ciao a tutti" o "A tutti i dipendenti" vanno trattate con sospetto.
Se si ha un dubbio, anche se minimo, occorre contattare subito il proprio amministratore di sistema!
Indipendentemente da che ora sia, ogni amministratore di sistema degno del suo nome preferirebbe di gran lunga affrontare un falso allarme piuttosto che mettere l'organizzazione a rischio di essere violata.
Roberto Cecchini: Laureato in Fisica troppi anni fa. Negli oltre 20 anni in cui ha lavorato nel campo della sicurezza, ha creato e gestito CA INFN (Istituto Nazionale di Fisica Nucleare), l’Autorità di Certificazione INFN e GARR-CERT, il servizio CSIRT per la Rete GARR.
I suoi principali interessi sono la lettura, il giardinaggio e il trekking.
Pier Luca Montessoro, Università degli Studi di Udine - Conferenza GARR 2018
Matteo Arrigoni, Fortinet - Conferenza GARR 2019
Il contenuto di questo sito è rilasciato, tranne dove altrimenti indicato,
secondo i termini della licenza Creative Commons attribuzione - Non commerciale Condividi allo stesso modo 3.0 Italia
GARR News è edito da Consortium GARR, la rete italiana dell'università e della ricerca
GARR News n°22 - estate 2020 - Tiratura: 11.000 copie - Chiuso in redazione: 10 luglio 2020
Hanno collaborato a questo numero: Claudio Barchesi, Paolo Bolletta, Sebastiano Buscaglione, Andrea Corleto, Valeria De Paola, Marco Ferrazzoli, Marco Galliani, Mara Gualandi, Marco Malaspina, Giuditta Marinaro, Laura Moretti, Cristina Pacciani, Claudio Pisa, Leonardo Tunesi, Antonella Varaschin, Gloria Vuagnin
Abbiamo 38 visitatori e nessun utente online