Che cos'è il phishing e come può derubarti di denaro e segreti

Che cos'è il phishing e quanto è pericoloso

Il phishing è un tipo comune di frode informatica volta a compromettere l'account registrazioni e intercettazione del controllo su di essi, furto di dati di carte di credito o altri dati riservati informazione.

Molto spesso, gli aggressori utilizzano la posta elettronica: ad esempio, inviano lettere per conto di un'azienda nota, attirando gli utenti al suo sito Web fasullo con il pretesto di una promozione redditizia. La vittima non riconosce il falso, inserisce il nome utente e la password dal proprio account e quindi l'utente stesso trasferisce i dati ai truffatori.

Chiunque può soffrire. Le e-mail di phishing automatizzate sono spesso indirizzate a un vasto pubblico (centinaia di migliaia o addirittura milioni di indirizzi), ma esistono anche attacchi mirati a un target specifico. Molto spesso, questi obiettivi sono i top manager o altri dipendenti che hanno accesso privilegiato ai dati aziendali. Questa strategia di phishing personalizzata si chiama vailing (ing. caccia alle balene), che si traduce come "cattura di balene".

Le conseguenze degli attacchi di phishing possono essere devastanti. I truffatori possono leggere la tua corrispondenza personale, inviare messaggi di phishing alla tua cerchia di contatti, prelevare denaro da conti bancari e in generale agire per tuo conto in senso lato. Se gestisci un'impresa, il rischio è ancora maggiore. I phisher sono in grado di rubare segreti aziendali, distruggere file sensibili o divulgare dati dei tuoi clienti, danneggiando la reputazione dell'azienda.

Secondo il rapportoRapporto sulle tendenze delle attività di phishing Anti-Phishing Working Group, solo nell'ultimo trimestre del 2019, gli esperti di cybersecurity hanno scoperto oltre 162mila siti fraudolenti e 132mila campagne email. Durante questo periodo, circa un migliaio di aziende da tutto il mondo sono diventate vittime di phishing. Resta da vedere quanti attacchi non sono stati rilevati.

Ivan Budylin

Architetto del Microsoft Technology Center in Russia.

È importante essere chiari su te stesso e comunicare alcune cose ai tuoi colleghi, amici e familiari. Primo, l'industria è contro di noi. I cybercriminali non sono più dei burloni entusiasti, sono professionisti esperti che, in un modo o nell'altro, vogliono fare soldi con te. In secondo luogo, qualsiasi informazione ha valore, anche se non sembra importante. E la tua attività sui social network e il nome del tuo gattino preferito: tutto può essere utilizzato sia per monetizzazione diretta o come fase di attacco per accedere a risorse più "costose" dati. In terzo luogo, l'uso dell'autenticazione a più fattori e degli accessi senza password si sta gradualmente spostando dalla categoria delle raccomandazioni forti alla categoria dei requisiti severi di una realtà mutata.

Evoluzione e tipologie di phishing

Il termine "phishing" deriva dalla parola inglese "fishing". Questo tipo di truffa assomiglia davvero alla pesca: l'attaccante lancia l'esca sotto forma di un messaggio o di un link falso e attende che gli utenti abboccino.

Ma in inglese "phishing" si scrive in modo leggermente diverso: phishing. Digraph ph viene utilizzato al posto della lettera f. Secondo una versione, questo è un riferimento alla parola fasullo ("ingannatore", "truffatore"). Dall'altro - alla sottocultura dei primi hacker che erano chiamati phreaker ("phreaker").

Si ritiene che il termine phishing sia stato utilizzato pubblicamente per la prima volta a metà degli anni '90 nei newsgroup di Usenet. A quel tempo, i truffatori lanciarono i primi attacchi di phishing contro i clienti del provider Internet americano AOL. Gli aggressori hanno inviato messaggi chiedendo di confermare le proprie credenziali, impersonando i dipendenti dell'azienda.

Con lo sviluppo di Internet sono comparsi nuovi tipi di attacchi di phishing. I truffatori iniziarono a falsificare interi siti web e padroneggiarono vari canali e servizi di comunicazione. Questi tipi di phishing possono essere distinti oggi.

• Email phishing. I truffatori registrano un indirizzo postale simile all'indirizzo di un'azienda nota o di un conoscente della vittima selezionata e inviano lettere da esso. Allo stesso tempo, con il nome del mittente, il design e il contenuto, una lettera falsa può essere quasi identica all'originale. Solo all'interno è presente un collegamento a un sito falso, allegati infetti o una richiesta diretta di invio di dati riservati.
• Phishing SMS (smishing). Questo schema è simile al precedente, ma viene utilizzato l'SMS al posto dell'email. L'abbonato riceve un messaggio da un numero sconosciuto (solitamente breve) con una richiesta di dati riservati o con un collegamento a un sito falso. Ad esempio, un utente malintenzionato potrebbe presentarsi come banca e richiedere il codice di verifica che hai ricevuto in precedenza. In effetti, i truffatori hanno bisogno del codice per hackerare il tuo conto bancario.
• Phishing sui social media. Con la proliferazione di messaggistica istantanea e social media, gli attacchi di phishing hanno invaso anche questi canali. Gli aggressori possono contattarti tramite account falsi o compromessi di organizzazioni note o dei tuoi amici. Il resto del principio di attacco non differisce dai precedenti.
• Phishing telefonico (vishing). I truffatori non si limitano ai messaggi di testo e possono chiamarti. Molto spesso, a questo scopo viene utilizzata la telefonia Internet (VoIP). Il chiamante può impersonare, ad esempio, un dipendente del servizio di supporto del tuo sistema di pagamento e richiedere dati per accedere al portafoglio, presumibilmente per verifica.
• Cerca phishing. Puoi imbatterti in phishing direttamente nei risultati di ricerca. È sufficiente fare clic sul collegamento che porta a un sito falso e lasciare dati personali su di esso.
• Phishing pop-up. Gli aggressori utilizzano spesso i popup. Visitando una risorsa dubbia, potresti vedere uno striscione che promette alcuni vantaggi, ad esempio sconti o beni gratuiti, per conto di un'azienda nota. Facendo clic su questo collegamento, verrai reindirizzato a un sito controllato da criminali informatici.
• Agricoltura. Non è direttamente correlato al phishing, ma anche l'agricoltura è un attacco molto comune. In questo caso, l'attaccante falsifica i dati DNS, reindirizzando automaticamente l'utente al posto dei siti originali a quelli falsi. La vittima non vede messaggi o banner sospetti, il che aumenta l'efficacia dell'attacco.

Il phishing continua ad evolversi. Microsoft ha rivelato nuove tecniche che il suo servizio anti-phishing di Office 365 Advanced Threat Protection ha scoperto nel 2019. Ad esempio, i truffatori hanno imparato a mascherare meglio i contenuti dannosi nei risultati di ricerca: all'inizio visualizzare collegamenti legittimi che portano l'utente a siti di phishing utilizzando più reindirizzamenti.

Inoltre, i criminali informatici hanno iniziato a generare automaticamente collegamenti di phishing e copie esatte di materiale elettronico lettere a un livello qualitativamente nuovo, che consente di ingannare più efficacemente gli utenti e aggirare i fondi protezione.

Come proteggersi dal phishing

Migliora la tua competenza tecnica. Come si suol dire, chi viene avvertito è armato. Studia la sicurezza delle informazioni da solo o consulta esperti per un consiglio. Anche una semplice conoscenza delle basi dell'igiene digitale può farti risparmiare un sacco di problemi.

Stai attento. Non seguire link o aprire allegati in lettere di interlocutori sconosciuti. Si prega di controllare attentamente i dettagli di contatto dei mittenti e gli indirizzi dei siti visitati. Non rispondere alle richieste di informazioni personali, anche quando il messaggio sembra credibile. Se un rappresentante dell'azienda chiede informazioni, è meglio chiamare il call center e segnalare la situazione. Non fare clic sui popup.

Usa le password con saggezza. Utilizza una password univoca e complessa per ogni account. Abbonarsi a servizi che avvisano gli utenti se le password dei propri account vengono visualizzate sul Web e modificare immediatamente il codice di accesso se risulta compromesso.

Configura l'autenticazione a più fattori. Questa funzione protegge inoltre l'account, ad esempio utilizzando password monouso. In questo caso, ogni volta che accedi al tuo account da un nuovo dispositivo, oltre alla password, dovrai farlo inserire un codice di quattro o sei caratteri inviato tramite SMS o generato in un apposito applicazione. Potrebbe non sembrare molto conveniente, ma questo approccio ti proteggerà dal 99% degli attacchi comuni. Dopo tutto, se i truffatori rubano la password, non saranno comunque in grado di entrare senza un codice di verifica.

Utilizzare strutture di accesso senza password. In quei servizi, ove possibile, si dovrebbe abbandonare completamente l'uso delle password, sostituendole con chiavi di sicurezza hardware o autenticazione tramite un'applicazione su smartphone.

Usa un software antivirus. Un antivirus aggiornato tempestivamente ti aiuterà a proteggere il tuo computer da programmi dannosi che reindirizzano a siti di phishing o rubano accessi e password. Ma ricorda che la tua protezione principale è ancora il rispetto delle norme di igiene digitale e l'aderenza alle raccomandazioni sulla sicurezza informatica.

Se gestisci un'attività

I seguenti suggerimenti saranno utili anche per gli imprenditori e gli amministratori delegati.

Forma i tuoi dipendenti. Spiegare ai subordinati quali messaggi evitare e quali informazioni non devono essere inviate tramite e-mail e altri canali di comunicazione. Proibisci ai dipendenti di utilizzare la posta aziendale per scopi personali. Istruiscili su come lavorare con le password. Vale anche la pena considerare un criterio di conservazione dei messaggi: ad esempio, per motivi di sicurezza, è possibile eliminare i messaggi più vecchi di un certo periodo.

Conduci attacchi di phishing educativi. Se vuoi testare la reazione dei dipendenti al phishing, prova a simulare un attacco. Ad esempio, registra un indirizzo postale simile al tuo e invia lettere da esso ai subordinati chiedendo loro di fornirti dati riservati.

Scegli un servizio postale affidabile. I provider di posta elettronica gratuiti sono troppo vulnerabili alle comunicazioni aziendali. Le aziende dovrebbero scegliere solo servizi aziendali sicuri. Ad esempio, gli utenti del servizio di posta di Microsoft Exchange incluso nella suite Office 365 dispongono di una protezione completa contro il phishing e altre minacce. Per contrastare i truffatori, Microsoft analizza centinaia di miliardi di e-mail ogni mese.

Assumi un esperto di sicurezza informatica. Se il tuo budget lo consente, trova un professionista qualificato che fornisca una protezione continua contro il phishing e altre minacce informatiche.

Cosa fare se sei vittima di phishing

Se c'è motivo di ritenere che i tuoi dati siano finiti nelle mani sbagliate, agisci immediatamente. Verifica la presenza di virus sui tuoi dispositivi e modifica le password degli account. Informa il personale della banca che i tuoi dati di pagamento potrebbero essere stati rubati. Se necessario, informare i clienti della potenziale perdita.

Per evitare che tali situazioni si ripetano, scegli servizi di collaborazione affidabili e moderni. I prodotti con meccanismi di protezione integrati sono i più adatti: funzioneranno nel modo più conveniente possibile e non dovrai rischiare la sicurezza digitale.