Cos’è il phishing?

Il phishing è una delle tante tecniche di ingegneria sociale utilizzate per ingannare gli utenti. Si tratta di un tipo di frode utilizzato per ottenere informazioni sensibili da una persona o un'azienda, come password e dettagli della carta di credito.

Roberto Cecchini ha creato e gestito CA INFN (Istituto Nazionale di Fisica Nucleare), l’Autorità di Certificazione INFN e GARR-CERT, il servizio CSIRT per la Rete GARR.

Gli autori della frode, utilizzando una comunicazione elettronica - tipicamente e-mail, messaggistica istantanea o messaggi di testo – possono parlare a nome di un’entità o di una persona considerata affidabile, come può essere una banca, un avvocato o un collega e invitare quindi gli utenti a fornire i propri dati personali per risolvere un problema, ad es. tecnico o relativo al suo conto bancario, o accettare un'offerta promozionale imperdibile. Di solito la vittima viene indirizzata su un sito Web falso, che imita l'aspetto di quello autentico, con l’obiettivo di indurla a inserire i propri dati.

Se il tentativo di phishing si avvale della posta elettronica (e-mail phishing), a volte si tenta di indurre l'utente ad aprire un allegato infetto - una fattura falsa, una lettera di un avvocato - che carica malware nel computer (ricorda: anche se il tuo antivirus è aggiornato, non sei mai sicuro al 100%!).

Quando il phishing si rivolge a una persona o azienda specifica, si parla di spear phishing, in particolare se la persona è un decisore di alto livello, si parla invece di whale phishing.

Alcuni numeri

Ecco alcuni numeri per dare un'idea della rilevanza del phishing nell'ambiente malware. Per maggiori dettagli provengono da Verizon Data Breach Investigations Report 2020, Symantec Internet Security Threat Report 2019 e Proofpoint State of the Phish Report 2020.

• L'88% delle organizzazioni ha subito attacchi di spear phishing che nel 55% sono andati a segno;
• Il 96% degli attacchi di phishing avviene tramite e-mail;
• Il 94% del malware è giunto a destinazione tramite e-mail e il 48% degli allegati dannosi sono file di Office;
• Il 65% degli aggressori ha utilizzato lo spear phishing per diffondere i virus;
• 3 M € è il costo medio di una violazione dei dati (IBM Cost of a Data Breach Report 2020);
• i dati più frequentemente compromessi in un attacco di phishing sono le credenziali (password, nomi utente), dati personali, dati interni dell’azienda, dati medici e bancari.

email phishing checklist

email phishing checklist

Le semplici regole che elencherò, se seguite attentamente, vi potranno aiutare a scoprire la maggior parte dei tentativi di phishing effettuati tramite posta elettronica. Bisogna tener presente, tuttavia, che quando si tratta di spear phishing, accorgersene potrebbe essere molto, molto difficile.

Informazioni personali

Le aziende non chiedono le tue informazioni personali tramite e-mail né ti invitano ad aprire un link che punta a una pagina in cui puoi inserirle.

Collegamenti

Innanzitutto, le e-mail importanti e che possiamo definire “conformi” non contengono link cliccabili. Se ce ne sono, è importante passarci sopra con il mouse senza cliccare e verificare che gli indirizzi che appaiono siano uguali a quelli della posta (se sono diversi molti client di posta lo faranno notare). Anche se sembrano uguali, controlla che non siano "strani", come appple.com o anche che non abbiano alcun riferimento al nome del sito reale.

Mittente

E’ importante ricordare che, a meno che l'e-mail non sia firmata digitalmente, il mittente può essere facilmente falsificato. Quindi, solo perché sembra che l'email provenga da una persona di cui ci si fid, non significa che sia stata proprio questa persona ad aver mandato l’email. Occorre osservare molto attentamente l'indirizzo del mittente: potrebbe essere molto simile a quello giusto (es. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. invece di Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.), o potrebbe anche essere corretto se il malintenzionato non ha bisogno di una risposta ( ad esempio, vuole che si apra un allegato dannoso, vedi sotto).

Allegati

Gli allegati possono essere molto pericolosi (i numeri di prima parlano da soli). In questo caso il fatto che l'indirizzo del mittente sia corretto non è significativo, quindi, anche si nutre un minimo dubbio, è meglio chiamare per verificare. Se l'allegato, una volta aperto, chiede di abilitare le macro (è meglio tenerle sempre disabilitate), ecco che i campanellini d’allarme dovrebbero cominciare a suonare. Ed è un errore anche fidarsi troppo del proprio antivirus: nessuno è perfetto e c'è sempre una concreta possibilità di infezione.

Urgenza o offerte meravigliose

Attenzione all'urgenza o alle offerte incredibili! I truffatori vogliono indurti a comportarti in maniera impulsiva.

Esempi tipici sono offerte di smartphone con sconti incredibili, comunicazioni che avvisano che l’account sta per scadere o che sono state rivelate attività sospette sullo stesso e quindi è necessario fornire informazioni per evitare il blocco (alcuni siti affidabili, ad esempio Google, potrebbero chiedere all’utente di reimpostare la password, ma lo faranno chiedendogli di effettuare il login al di fuori dell'interfaccia e-mail, certamente non facendo clic su un collegamento all'interno dell'e-mail).

Spelling e grammatica

Le email di phishing sono spesso piene di errori di ortografia e di grammatica o, peggio, è evidente che siano un output di un servizio quale Google translator o simile.

Firma

La maggior parte dei mittenti “legittimi” include una signature block alla fine della e-mail.

Modo di presentarsi

Espressioni generiche, come "Cliente stimato", "Ciao a tutti" o "A tutti i dipendenti" vanno trattate con sospetto.

Last but not least….

Se si ha un dubbio, anche se minimo, occorre contattare subito il proprio amministratore di sistema!

Indipendentemente da che ora sia, ogni amministratore di sistema degno del suo nome preferirebbe di gran lunga affrontare un falso allarme piuttosto che mettere l'organizzazione a rischio di essere violata.