News

Phishing: un fenomeno in crescita che può colpire chiunque

Cos’è?

Il phishing è un tipo di truffa effettuata su internet. Il malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

La più comune forma di phishing è perpetrata attraverso l’invio di un’e-mail o altra comunicazione fraudolenta. Il messaggio è strutturato in modo da ingannare l’utente circa l’affidabilità del mittente. Spesso l’e-mail, che presenta un logo contraffatto di un istituto di credito, invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, credenziali identificative di un account aziendale), motivando tale richiesta con ragioni di sicurezza o di ordine tecnico. Talvolta, nel computer della vittima, può essere installato un malware a sua insaputa.

Oltre all’invio massivo di e-mail, il phishing utilizza altri canali quali, ad esempio: chiamate, SMS, banner pubblicitari e qualsiasi altro mezzo idoneo a raggiungere l’obiettivo.

 

Quali sono i diversi tipi di attacchi di phishing?

Gli attacchi di phishing possono avere una vasta gamma di destinatari a seconda degli obiettivi che l’attaccante intende perseguire:

Phishing: è rivolto ad un numero indefinito di destinatari. In questo attacco la quantità è prevalente rispetto alla qualità dei soggetti raggiunti;

Spear phishing: viene dall’inglese “spear”, che significa “trafiggere, infilzare”. A differenza del phishing prende di mira un gruppo o un tipo specifico di individui, come gli amministratori di sistema di un’azienda. I destinatari vengono precedentemente identificati attraverso operazioni di social engineering. Di conseguenza lo spear phishing ha la finalità di raggiungere un soggetto a fronte della qualità che esso ricopre;

Whaling: assume i connotati di una vera e propria “caccia alla balena”. Si tratta, perciò, di un tipo di phishing ancora più mirato, in quanto punta ai top manager di un settore o di una specifica azienda, e sofisticato;

Smishing: è un attacco che, per attirare l’attenzione, utilizza SMS. Molte persone, infatti, si fidano maggiormente di un servizio di messaggistica sul telefono rispetto ad una e-mail. In realtà, all’inverso, è più facile raggiungere un soggetto tramite il suo numero di telefono che attraverso la sua e-mail, nonché più alte sono le possibilità che il messaggio venga effettivamente letto dal destinatario. Ciò rende i messaggi di testo un mezzo perfetto per gli attacchi degli hacker;

Vishing: questo attacco viene eseguito tramite una chiamata vocale. A differenza del phishing classico, il vishing fa leva sulla maggiore fiducia che l’essere umano tende a riporre in una persona che sembra essere autorizzata a richiedere tali informazioni (es. operatore di un call center o di un istituto di credito). Il vishing è una tipologia di attacco poco conosciuto e, proprio per questo motivo, gli hacker hanno maggiori chance di avere successo adottando tale tecnica.

L’utente deve diffidare da:

  • Un indirizzo del mittente poco probabile, gli hacker utilizzano indirizzi e-mail che sembrano reali ma che nulla hanno a che fare con il presunto mittente. È possibile riconoscerli in quanto gli indirizzi sono completamente differenti da quelli originali oppure, nei casi più insidiosi, presentano delle aggiunte rispetto agli indirizzi autentici (si può trattare di una lettera, un numero, un segno grafico, una maiuscola anziché una minuscola o un dominio differenti). La revisione dei metadati dell’e-mail è molto utile ai fini della verifica. In Gmail è, infatti, possibile inserire l’opzione “mostra originale”, mentre in Outlook è presente la dicitura “visualizza sorgente”;
  • Messaggi impersonali contenenti errori grammaticali o di sintassi. Bisogna sempre controllare l’ortografia, in quanto ogni azienda, durante la stesura del testo e prima di inviare una e-mail, presta molta attenzione alla struttura e al contenuto del messaggio. Bisogna focalizzarsi anche sui minimi dettagli (quali, ad esempio: presenza di parole senza accenti, confusione tra maschile e femminile, singolare e plurale, tempi verbali e logicità dei periodi). Non di rado, inoltre, le e-mail sono indirizzate ad un destinatario specifico e avanzano richieste ben precise. Perciò, un primo campanello d’allarme consiste nella presenza di messaggi vaghi, rivolti ad un soggetto qualunque e, pertanto, carenti di quei requisiti identificativi propri di una comunicazione mirata ed autentica;
  • Allegati sospetti, con testi che invitano all’aperura degli stessi à soprattutto se disponibili in formati particolari in quanto potrebbero contenere virus di qualsiasi tipo;
  • Link da fonti non sicure, non è prudente cliccare su eventuali collegamenti contenuti nell’e-mail. È fondamentale, anzitutto, verificare l’affidabilità del link posizionando il puntatore del mouse sul collegamento. In ogni caso, è comunque sconsigliato cliccare direttamente sullo stesso. Il suggerimento è quello di raggiungere il sito digitando manualmente l’URL corretto, in modo da essere certi di navigare su una pagina ufficiale (una delle tecniche più diffuse è, infatti, quella di inoltrare nel corpo del messaggio un collegamento ad una pagina fake, estremamente simile all’originale);
  • Un’urgenza di inserire dati personali o finanziari, assai raramente enti istituzionali richiedono dati personali tramite e-mail. In particolare, se si è registrati presso un ente, lo stesso dispone già delle informazioni necessarie e non avrà bisogno di richiederle. Pertanto, nel caso in cui vi siano sospetti, è necessario contattare l’azienda per appurare la veridicità della provenienza della comunicazione;
  • Proposte fortemente vantaggiose, non si tratta di vere vincite, ma di una modalità posta in essere dagli attaccanti di recupero dei dati personali, da utilizzare in vario modo (commercio di dati, furto di identità, estorsione, truffa…). Il campanello d’allarme deve scattare qualora i messaggi provengano da presunte lotterie e promettano premi in denaro o di qualsiasi altra natura in assenza di previa iscrizione o acquisto di alcun biglietto.

Ciò premesso, le soluzioni adottabili a livello individuale possono essere coadiuvate da interventi posti in essere dall’azienda a livello generale, in modo da perseguire un’azione unitaria di lotta alla criminalità informatica e rafforzare gli standard di sicurezza globale.

L’azienda può:

  • Generare consapevolezza, in modo da informare i dipendenti sui pericoli legati agli attacchi informatici à la formazione continua rappresenta un elemento fondamentale per rendere consapevole il personale, prevenire l’insorgenza di possibili attacchi e limitare gli eventuali danni. È, pertanto, sempre consigliabile la somministrazione di corsi di security awareness e data protection analysis, del personale a tutti i livelli;
  • Adottare soluzioni sandbox via cloud che consentono di individuare la natura del file in un ambiente emulato, lo scopo consiste nell’eseguire il presunto malware in un ambiente diverso dal proprio sistema, ossia in uno spazio virtuale sicuro e isolato. Tali soluzioni forniscono un’analisi approfondita e dinamica delle minacce non rilevabili attraverso altri strumenti, provvedendo ad un blocco automatico degli attacchi;
  • Proteggere il dominio e-mail dell’azienda attraverso l’uso di strumenti specifici, in modo da minimizzare le possibilità di attacchi, si pensi a strumenti banali quali programmi antivirus o antispam;
  • Implementare l’utilizzo di strumenti di scansione in grado di rilevare e bloccare il malware, impedendo ai file dannosi di oltrepassare la rete, programmi antimalware sono in grado di tutelare anche da minacce più insidiose. Molto utili risultano, altresì, strumenti di gestione delle password, che consentono di salvare le credenziali dell’utente, aiutano nella generazione di password (che avviene in modo automatico e casuale) e provvedono al monitoraggio costante delle medesime (ad esempio, inviando segnali di alert nel caso in cui si stiano utilizzando password deboli o ripetute su diverse piattaforme);
  • Predisporre un’autenticazione a più fattori per ridurre le possibilità di furto di dati e credenziali di un account; tale soluzione si basa sull’utilizzo congiunto di due differenti metodi di autenticazione (come, ad esempio, nome utente e password + invio di un pin tramite messaggio o chiamata) al fine di rendere l’accesso ancora più sicuro.

 

Come limitare i danni

  • Modifica delle credenziali​ e degli accessi a seguito di un attacco, la prima cosa da fare è, senza dubbio, sostituire le password violate con altre che rispettino i requisiti minimi di sicurezza. Se necessario, si può procedere con la segregazione dei dati e l’individuazione dei soggetti legittimati ad accedere a quelle specifiche informazioni;
  • Utilizzo di e-mail professionali per i soli scopi aziendali e di connessioni sicure e ciò vale, in particolar modo, quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i wi-fi pubblici, sprovvisti di un sistema di protezione. Per una maggiore sicurezza, è possibile installare VPN che possono cifrare il traffico;
  • Aggiornamento dei software, rende il proprio dispositivo più sicuro, diminuendo il rischio di malfunzionamenti connessi ad attacchi informatici. Specifiche tipologie di malware, infatti, sfruttano le falle di sicurezza dei sistemi operativi per accedere nei computer ed infettarli. Di conseguenza, è consigliabile eseguire gli aggiornamenti o installare le nuove versioni dei programmi rilasciati dalle aziende di software per la rimozione delle suddette vulnerabilità riscontrate;
  • Salvataggio dei file di log: si tratta di file che registrano l’intero flusso cronologico delle operazioni effettuate da un utente o da una macchina, con contestuale rilevazione di eventuali errori o anomalie. Negli stessi sono contenute anche tutte le operazioni che un computer svolge in autonomia, senza necessità di intervento umano. La gestione dei log consente, pertanto, di monitorare e tenere traccia di una serie di attività: accessi al sistema effettuati in un dato lasso temporale (evidenziando altresì quelli avvenuti fuori dall’orario di lavorativo, quelli non andati a buon fine o quelli effettuati tramite VPN), anomalie di sistema e possibili minacce;
  • Verifiche e operazioni tecniche necessarie per la rimozione di eventuali malware​, la rimozione di alcuni risulta difficoltosa in quanto può accadere che i normali sistemi di scansione antivirus non riescano a rilevarne l’esistenza o che il malware stesso provveda alla disinstallazione dei sistemi di protezione approntati; è possibile, altresì, che taluni virus informatici e software indesiderati si reinstallano automaticamente nonostante la rilevazione e la susseguente cancellazione degli stessi. L’infezione può tradursi in un sistema improvvisamente più lento del solito, nella comparsa di errori o di finestre popup che fanno riferimento alla presenza di errori sul file system o nel registro di sistema (del tutto ingannevoli e con l’unico scopo di portare l’utente all’installazione di un software, anch’esso fittizio, per la pulizia e la risoluzione dei problemi). Ad ogni modo, aggiornando il computer e utilizzando gli strumenti di rimozione malware, è possibile rimuovere definitivamente il software indesiderato;
  • Monitoraggio costante dei sistemi e dell’utilizzo degli stessi, è preferibile adottare un monitoraggio da remoto dei sistemi aziendali, in modo da garantire un controllo continuo dell’intera infrastruttura informatica ed evitare fastidiosi disservizi. Il software è, infatti, in grado di analizzare il sistema e attivare solamente i controlli applicabili, a seconda delle componenti hardware e software rilevate, e di generare degli alert solo nel caso in cui vengano rinvenute delle anomalie;
  • Corsi di formazione rivolti a tutti i livelli del personale, affinché i dipendenti possano assumere un adeguato bagaglio informativo e una maggiore consapevolezza circa i rischi scaturenti da comportamenti inadeguati o negligenti, al fine di garantire una piena tutela della sicurezza delle informazioni e dei dati.

L’impatto del Covid

Durante l’emergenza da Covid-19, sono stati registrati 300 nuovi siti di phishing in Europa, di cui 27 italiani.

La sempre maggiore diffusione del lavoro agile e da remoto, l’uso di dispositivi personali e reti domestiche hanno incrementato gli obiettivi di attacco. Da un recente studio (2021) condotto dall’ Osservatorio Cybersecurity & Data Protection ​della School of Management del Politecnico di Milano emerge come le violazioni informatiche hanno registrato, nel periodo della pandemia, un incremento di oltre il 40% rispetto all’anno precedente. In particolare, gli attacchi di phishing sono aumentati rispettivamente dell’11%.

La maggior parte delle violazioni ha riguardato furti di credenziali e dati particolari e le organizzazioni intervistate hanno registrato tra i 637 e i 3,3 miliardi di tentativi di accesso fraudolenti nel corso dell’anno 2021 (Data Breach Investigations Report di Verizon Business (Dbir 2021)).

Tali attacchi hanno avuto ripercussioni sulla sicurezza globale delle aziende e hanno registrato un’evidenza interessante: dai dati è emerso come il gap fra le violazioni a danno delle grandi aziende e quelle che vedono come vittime le piccole e medie imprese si sia assottigliato sempre di più nel corso degli anni. Gli attacchi non mirano più al “pesce più grande”, ma si espandono a macchia d’olio e colpiscono anche le PMI, certamente più vulnerabili e meno attrezzate in ambito cybersecurity e data protection.

È per questo motivo che, nonostante la recente crisi economica che ha colpito il mercato globale, il 54% delle imprese ha deciso di investire nel settore tecnologico. Contemporaneamente, si è deciso di agire anche sul fronte awareness, al fine di aumentare la sensibilità e consapevolezza dei dipendenti riguardo alla sicurezza e alla protezione dei dati.

Conclusione

Il phishing è un fenomeno diffuso e rappresenta una tattica di cyberattacco ancora molto efficace, in grado di compromettere la sicurezza delle informazioni aziendali e provocare conseguenze estremamente impattanti. La ragione può essere ricondotta alla sua capacità di evolvere e mutare costantemente a seconda degli obiettivi da colpire. Gli attacchi sono divenuti sempre più sofisticati, motivo per il quale è necessario prestare una costante attenzione nel proteggere le informazioni delle quali si dispone e operare sempre in modo diligente e proattivo.