Che cos'è il phishing?

Scopri cos'è il phishing e ottieni competenze, strumenti e migliori pratiche per proteggere te e la tua organizzazione da questa minaccia in continua evoluzione.

Panoramica

Definizione
Come funziona
Tipi di attacchi
Rileva e previeni gli attacchi

Soluzioni di sicurezza

Il phishing è un tipo di crimine informatico in cui gli aggressori si fingono un'organizzazione o un individuo di fiducia per ottenere informazioni sensibili dalla vittima. Il phishing si manifesta spesso come attacchi di e-mail automatizzati, essendo un sottoinsieme delle tattiche di ingegneria sociale, ma anche con metodi più diretti, come chiamate telefoniche, messaggi di testo e messaggi tramite app. L'obiettivo è acquisire dati personali, come credenziali di accesso o informazioni finanziarie, che possono essere utilizzate per attività dannose, tra cui furto di identità o danni pecuniari.

Come funziona il phishing

Il phishing è una forma di ingegneria sociale. In altre parole, opera manipolando la psicologia umana e la fiducia tecnologia per ingannare le vittime. Fondamentalmente, si basa su e-mail o altri metodi di comunicazione elettronica che sembrano provenire da fonti attendibili.

I criminali informatici creano messaggi ingannevoli, usando tecniche di ingegneria sociale per indurre le vittime a intraprendere determinate azioni—come cliccare su un link, aprire un allegato o fornire direttamente informazioni personali.

Vedi altro

In un tipico attacco di phishing, l'aggressore decide innanzitutto quale organizzazione o individuo prendere di mira. A questo punto, raccoglie alcune informazioni preliminari sui bersagli da dati disponibili pubblicamente sui social network, come Facebook, Twitter e LinkedIn. Tali informazioni personali vengono poi utilizzate per arricchire il contesto del messaggio di phishing. Negli attacchi mirati, potrebbe includere il nome, la professione e l'indirizzo e-mail della vittima, nonché interessi e attività per farlo apparire familiare. L'aggressore potrebbe creare un'e-mail o un messaggio convincente apparentemente proveniente da una fonte fidata, ma che contiene allegati dannosi o collegamenti a siti web dannosi per promuovere l'attacco.

Se la vittima ci casca—cliccando su un link, aprendo un allegato o inserendo informazioni in un sito web falso—l'aggressore raggiunge il suo obiettivo. Ciò potrebbe spaziare dall'installare malware sul dispositivo della vittima—tra cui ransomware—al furto di informazioni sensibili, come nomi utente, password o dettagli della carta di credito.

Tipi di attacchi di phishing

Il phishing via e-mail è un sottoinsieme degli attacchi di phishing in cui i criminali informatici utilizzano essenzialmente la posta elettronica per ingannare il proprio obiettivo. In genere, tali criminali creano nomi di dominio falsi che assomigliano molto a quelli di organizzazioni legittime e affidabili. Per esempio, un'e-mail di phishing potrebbe sembrare provenire da un dominio come "paypa1.com" invece dell'autentico "paypal.com", o potrebbe usare un sottodominio per sembrare più convincente, come "support.apple.com.fake.com". Questi sottotitoli, che gli aggressori mascherano con una vasta gamma di tecniche, spesso passano inosservati al destinatario, rendendo l'e-mail ancora più credibile.

Lo spear phishing consiste in un attacco focalizzato su individui particolari piuttosto che un tentativo più ampio effettuato con l'invio di e-mail di massa. Armati di dettagli, come il nome e la professione della vittima, nonché spesso campioni dei loro testi, gli aggressori personalizzano le proprie e-mail per renderle ancora più autentiche. Lo spear phishing è una tattica molto potente negli attacchi coordinati volti a violare le difese di un'azienda. È particolarmente pericoloso a causa del suo approccio personalizzato, che lo rende più difficile da individuare rispetto alle e-mail di phishing di massa.

Lo smishing(SMS phishing) utilizza i messaggi di testo come mezzo per indurre gli utenti a svelare informazioni riservate. Questi messaggi SMS ingannevoli spesso impersonano aziende note come Amazon o FedEx, inquadrando il messaggio come un avviso o una notifica urgente.

Il social media phishing è diventato un terreno molto fertile per gli attacchi di phishing. I truffatori sfruttano le funzionalità di messaggistica di piattaforme come WhatsApp, Facebook, Twitter e LinkedIn per inviare link di phishing o richiedere informazioni sensibili. Questi tentativi di phishing appaiono spesso come richieste di assistenza clienti o come notifiche dal sito di social media stesso.

Anche il Business Email Compromise (BEC) è una forma di spear phishing incentrata sulla frode aziendale, che costa alle vittime miliardi all'anno e impiega meccanismi specifici, come false fatture, frode del CEO, compromissione dell'account e-mail (EAC), impersonificazione di un avvocato o furto di dati e merci.

Gli attacchi ATO (Account Takeover) coinvolgono i criminali informatici che ottengono l'accesso alle credenziali tramite phishing, utilizzando account compromessi per ulteriori frodi o furti di dati.

Il vishing (voice phishing) usa le telefonate per indurre gli utenti a fornire informazioni sensibili.

Il whaling (rivolto a individui di alto profilo) si basa su ricerche approfondite sulle proprie vittime e crea e-mail così personalizzate da indurle ad autorizzare transazioni di grandi dimensioni o divulgare informazioni riservate.

Il pharming reindirizza gli utenti da un sito web legittimo a uno dannoso, sfruttando spesso le vulnerabilità del Domain Name System (DNS).

Altri tipi di attacchi: il clone phishing duplica le e-mail legittime sostituendo eventuali link o allegati con altri dannosi. Il phishing Evil Twin crea false reti Wi-Fi per intercettare i dati. Il phishing HTTPS nasconde i siti dannosi con il protocollo HTTPS protetto. Il pop-up phishing inganna con pop-up di siti web falsi. Gli attacchi man-in-the-middle intercettano e potenzialmente alterano le comunicazioni online. Il phishing di messaggistica in-app – utilizza app di messaggistica popolari, come WhatsApp, Telegram e Vibe, per indurre gli utenti a svelare informazioni sensibili.

Gli attacchi di phishing possono avere diverse forme, ognuna delle quali sfrutta tecniche e mezzi diversi per ingannare gli utenti o le organizzazioni. La vigilanza, la consapevolezza e le misure di cybersecurity sono essenziali per bloccare queste tattiche di phishing emergenti.

Come rilevare un attacco di phishing?

Il phishing è uno strumento importante negli attacchi di ingegneria sociale, che può essere il primo passo per violazioni informatiche molto più dannose. Sfrutta essenzialmente l'inganno ed è per questo che conoscere come rilevare un attacco di phishing è tanto importante quanto salvaguardare i propri dati.

Fortunatamente, ci sono alcuni indicatori comuni che possono aiutare a individuare un tentativo di phishing e a differenziarlo da una comunicazione legittima:

· Manipolazione di link e collegamenti ipertestuali dannosi: uno degli obiettivi comuni delle e-mail di phishing è indurre il destinatario a cliccare su un link dannoso. Tali link possono sembrare legittimi a prima vista, ma portano a siti web di phishing in cui vengono raccolte informazioni personali. Bisogna fare attenzione se l'URL effettivo non corrisponde al sito web del presunto mittente o contiene errori di ortografia.

· File e allegati dannosi: alcune e-mail di phishing sono dotate di allegati progettati per infettare il dispositivo. Potrebbero contenere malware in grado di compromettere i dati una volta scaricati. Qualsiasi file con un formato diverso da .txt dovrebbe essere trattato con estrema cautela.

· Rispondere con informazioni personali: più di rado, le e-mail di phishing possono chiedere ai destinatari di rispondere con informazioni personali o finanziarie. Poiché l'e-mail sembra provenire da una fonte attendibile, gli utenti a volte lo fanno.

· Offerte troppo belle per essere vere: le truffe di phishing spesso attirano le proprie vittime con offerte irrealistiche e redditizie. Che si tratti di aver vinto una lotteria o un iPhone, tali e-mail dovrebbero immediatamente far scattare un campanello d'allarme.

· Senso di urgenza: molte e-mail di phishing creano un falso senso di urgenza, insistendo sul fatto che è necessario agire rapidamente per evitare la sospensione del proprio account o per richiedere un determinato premio.

· Mittente o richieste insolite: che si tratti di un conoscente che agisce in modo insolito o di un perfetto sconosciuto che richiede azioni non usuali, potrebbero essere tutti segnali di un tentativo di phishing.

· Errori linguistici: errori grammaticali e di ortografia sono spesso segni evidenti che si tratti di e-mail di phishing.

· Domini e indirizzi e-mail non corrispondenti: è necessario esaminare sempre con attenzione l'indirizzo e-mail del mittente. Se il nome del dominio non corrisponde o è scritto in modo errato, è probabile che si tratti di un tentativo di phishing.

Come prevenire le truffe di phishing?

Prevenire le truffe di phishing è uno sforzo collettivo che coinvolge sia i singoli utenti che le organizzazioni. Soluzioni tecniche sofisticate e una maggiore consapevolezza sono entrambi fattori essenziali per bloccare con efficacia gli attacchi di phishing.

Per gli utenti:

• Usare filtri antispam: tali filtri valutano l'origine, il software utilizzato e il contenuto del messaggio per determinare se si tratta di un'e-mail di phishing o di spam. Offrono una prima linea di difesa contro il phishing.

• Impostazioni del browser: configura le impostazioni del browser per bloccare i siti web falsi e gli URL dannosi. I browser moderni ti avvisano dei siti di phishing noti.

• Implementare l'autenticazione a più fattori (MFA): attiva la MFA sui tuoi account. Questo livello di sicurezza va oltre alla semplice verifica della password.

• Modifiche regolari della password: cambia la password regolarmente ed evita di utilizzare la stessa per più account. Considera di utilizzare anche un gestore di password.

• Aggiornamenti software: mantieni tutti i software personali, in particolare quelli di sicurezza, sempre aggiornati per proteggerti da nuove vulnerabilità negli attacchi di phishing.

Per le organizzazioni/gli amministratori:

• Protezione degli endpoint: riunisci tutti i segnali provenienti da più endpoint, reti, cloud e altre fonti di dati per rilevare gli incidenti.

• Meccanismi di reportistica: fornisci sistemi facili da usare per segnalare e-mail di phishing sospette. Ciò aiuta a migliorare le future misure di sicurezza.

• Sistemi di backup: effettua regolarmente un backup dei dati sensibili in una posizione sicura per il ripristino dopo l'attacco.

• Applicare i protocolli di sicurezza del browser: assicurati che i browser blocchino i siti dannosi e aggiorna tali impostazioni in base alle nuove minacce.

Proteggere la tua organizzazione dagli attacchi di phishing

Per proteggere la tua organizzazione dagli attacchi di phishing, ti serve una soluzione completa e proattiva che possa rilevare e bloccare e-mail, siti web e allegati dannosi prima che raggiungano gli utenti. È anche necessario istruire gli utenti su come individuare ed evitare i tentativi di phishing e su come segnalare eventuali attività sospette.

Il phishing non riguarda solo le e-mail ingannevoli, ma fa parte di una più ampia sequenza di attacco. Per contrastare il phishing e gli attacchi che spesso scatena, cerca più livelli in una soluzione completa e unificata. Una strategia multiforme per questo complesso tipo di minaccia dovrebbe basarsi su:

Prevenzione: minimizza la superficie di attacco esposta e riduci i punti di ingresso. Per affrontare le vulnerabilità, assicurati di garantire l'implementazione tempestiva di patch e soluzioni di gestione dei rischi.

Protezione: utilizza strumenti di sicurezza attivi per endpoint e rete che sconfiggano attivamente gli attacchi che tentano di compromettere i sistemi. Una protezione efficace impiega varie tecniche, dal filtraggio della rete all'ispezione avanzata della memoria e dei processi.

Rilevamento e risposta: anche le migliori misure preventive possono essere aggirate. Perciò, è necessario avere sistemi di rilevamento in tempo reale, come EDR e XDR, che offrano una visibilità approfondita della rete e degli endpoint. Combinali con funzionalità, come consulenti per gli incidenti, per fornire linee guida chiare per le azioni da intraprendere quando vengono rilevate eventuali minacce.

Managed Detection and Response (MDR): migliora la tua sicurezza con servizi di monitoraggio 24/7 che forniscano avvisi in tempo reale, intelligence sulle minacce e indicazioni professionali per affrontare e neutralizzare le minacce.

L'approccio multilivello di Bitdefender si basa su una tecnologia anti-phishing che utilizza il machine learning avanzato e l'analisi comportamentale per identificare e bloccare gli attacchi di phishing in tempo reale, esaminando e filtrando il traffico web, i messaggi e-mail e i download dei file alla ricerca di link o contenuti dannosi.

Domande frequenti

Cosa devo fare se ricevo un'e-mail di phishing?

Se ricevi un tentativo di phishing, presta attenzione a non interagire in alcun modo con il messaggio. Verifica l'identità del mittente tramite i canali ufficiali prima di condividere qualsiasi informazione personale. Contrassegna i messaggi sospetti come spam ed eliminali. In presenza di link in messaggi imprevisti, gli utenti devono sempre passare il cursore del mouse su di essi per verificarne la destinazione prima di decidere di cliccarci sopra. Se il collegamento sembra sospetto o non corrisponde al sito web del mittente, segnala l'e-mail al tuo responsabile IT o al team di cybersecurity appropriato per ulteriori indagini, in quanto potresti essere il bersaglio di un attacco di tipo spear.

Cosa devo fare se ho subito una truffa di phishing?

Ricorda che la prima linea di difesa contro il phishing e le altre minacce informatiche è un utente preparato, in grado di riconoscere e contrastare i tentativi di phishing. Tuttavia, se dovessi aver subito una truffa di phishing e hai divulgato informazioni sensibili, dovresti agire subito per ridurre al minimo i danni:

1. Modifica subito le password compromesse, non solo per l'account interessato, ma anche per tutti gli altri account in cui è stata utilizzata la stessa password. Prendi in considerazione la possibilità di utilizzare un gestore di password per gestirle in modo sicuro.

2. Se hai divulgato i tuoi dati bancari, contatta subito la banca per avvisarla che hai subito una truffa. Discuti con loro eventuali soluzioni.

3. Segnala l'incidente alle autorità competenti, soprattutto se hai effettuato un pagamento al truffatore o se ha ottenuto l'accesso ai tuoi dispositivi. In molti casi, non saranno in grado di recuperare le perdite, ma la tua segnalazione aiuta la comunità a combattere ulteriori truffe.

4. Se fai parte di un'organizzazione e ritieni di aver subito una truffa che possa metterne a repentaglio la sicurezza, consulta le tue procedure interne e inoltra il problema al personale appropriato per evitare ulteriori complicazioni.

Questi consigli per il consumatore della Federal Trade Commission suddividono la domanda in consigli attuabili da una fonte attendibile.

Qual è la differenza tra phishing e spoofing?

Il phishing cerca di indurre gli utenti a rivelare informazioni personali o riservate, in genere tramite e-mail, messaggi o pagine web. Lo spoofing consiste nel mascherare l'origine di una comunicazione per farla apparire come se provenisse da una fonte attendibile. Mentre il phishing cerca di ottenere informazioni, lo spoofing si concentra nell'ingannare il destinatario o aggirarne le misure di sicurezza. Sono ovviamente diversi, ma correlati. Gli attacchi di phishing utilizzano spesso lo spoofing per apparire più credibili.