Di recente nel nostro magazine abbiamo parlato di sicurezza informatica in azienda e di errori tipici da non commettere. Oggi vogliamo tornare sull’argomento perché siamo freschi freschi di un caso di phishing perpetrato ai danni di un nostro cliente. L’occasione ci torna utile per trattare l’argomento nella sua vastità e complessità: non esiste infatti UN SOLO tipo di phishing. Le modalità di attacco sono molteplici e spaziano dalle più sofisticate alle più sempliciotte. Ma partiamo dalla definizione: che cosa si intende esattamente per phishing? L’etimologia del termine rimane dibattuta (c’è chi sostiene che la “fi” originale di “fishing” sia diventata “phi”, chi cita la pseudoetimologia e via discorrendo). Certo è che il termine phishing rimanda appunto all’azione della pesca (fishing vuol dire “pescare”), e quindi all’adescamento della vittima designata via web. Il motivo di tale stratagemma?
L’obiettivo primario del phishing è rubare dati, informazioni personali, password di accesso e quant’altro. Gli strumenti sono vari e includono email, siti web e non solo. Negli anni abbiamo affrontato decine di situazioni del genere, cercando di quantificare prima di tutto il danno, per poi modificare le password e recuperare se possibile eventuali dati. La cosa peggiore è che in molti casi il cattivo di turno ha già compiuto il crimine quando ormai è troppo tardi (trasferimento di soldi dal conto PayPal, prelievo dalla prepagata, ecc), ma è bene in ogni caso ricordare di tutelarsi evitando che uno scenario del genere si ripeta. Vediamo quindi cinque esempi pratici di phishing e un caso studio accaduto da poco.
1) EMAIL CAMUFFATE COME SE FOSSERO REALI
Rubare le credenziali di un utente è più facile di quanto sembri: basta chiederle per email. Non in modo diretto, certo, ma tramite un blando raggiro. È il phishing via email, lo stesso che vedremo nel caso studio finale. In pratica la vittima riceve un messaggio alla sua casella di posta elettronica, lo apre e compila un formulario, scarica un allegato o compie qualunque altra azione. Tale azione innesca l’attività di phishing, o diventa propedeutica al buon esito della truffa. Un buon filtro antispam aiuta, ma non sempre è sufficiente.
2) SMS BANCARI MALEVOLOLI E SMISHING
Stesse modalità, diverso canale: se al posto delle email adottiamo come strumento il caro vecchio SMS, ecco che il phishing si trasforma in smishing, una tecnica basata sull’impiego di SMS contenenti un messaggio malevolo destinato al malcapitato. L’SMS bancario fasullo è il più gettonato, poche righe di testo per chiedere di cliccare un link o rispondere con i propri dati, e siamo punto a capo. Ma non è soltanto la banca la protagonista dello smishing. Istituti di credito, assicurazioni, fondi pensione e perfino FBI (ebbene sì!): il corollario secondo il quale chi conosce il nostro numero sia per forza degno di considerazione, evidentemente, è duro a morire…
3) SITI, LANDING PAGE (PAGINA DI “ATTERRAGGIO” DOVE VENGONO INSERITE LE INFORMAZIONI) O ECOMMERCE CONTRAFFATTI
La tecnica di phishing meno diretto ma più subdola è quella del sito contraffatto, dove per sito intendiamo landing page, ecommerce e pagine web in generale. In questo caso il pirata informatico crea un sito fedele all’originale (successe per un periodo anche con PyaPal): gli utenti accedono in buona fede, magari scambiando il .it con il .com, inseriscono le credenziali e pensano di gestire ciò che vogliono come hanno sempre fatto. Nel frattempo i loro dati vengono archiviati e poi riutilizzati per accedere al vero portale, con tutte le conseguenze negative che possiamo immaginare. Un consiglio? Attenzione all’url del sito, che dovrà essere come minimo comprensibile e accompagnato da apposito lucchetto (certificato di sicurezza).
4) LINK MANIPOLATI DENTRO NEWSLETTER O EMAIL
Mai ricevuta una newsletter a cui non ricordavi di esserti iscritto? O un’email da parte di uno sconosciuto che si propone come partner o acquirente di un tuo bene (vedi oggetti in vendita su Subito o Ebay)? Ottimo, allora hai testato con mano ciò che si prova di fronte a un link manipolato ad arte. Anche qui basta un clic per cadere nella tela del ragno: seguono varie alternative, dalla compilazione di un form all’atterraggio in un landing malevola (punto 3). Come si può intuire, le tecniche di phishing vengono spesso combinate fra loro, risultando ancora più efficaci verso chi non è abbastanza prudente.
5) CHIAMATE TELEFONICHE (VISHING) E INGEGNERIA SOCIALE
Il phishing sembra limitato alla parte digitale scritta (email, siti, ecc), non è però così che stanno le cose: in realtà è sempre esistito e continua a esistere l’inganno telefonico, evolutosi in quella che viene chiamata ingegneria sociale. Il vishing – questo il nome tecnico – è un sistema che prevede l’inganno della vittima per telefono, ad esempio fingendo di essere un call center (della solita banca o della solita assicurazione). Lo scopo, come per l’ingegneria sociale, è quello di prelevare dati utili per poi sfruttarli in modo illecito. Ecco un nostro post in proposito pubblicato su LinkedIn.
IL CASO STUDIO DI UN PHISHING (E COME DIFENDERSI)
E veniamo dunque al nostro caso studio, accaduto a un cliente in data 1° dicembre 2020. L’attacco è avvenuto in questo modo:
- il cliente ha ricevuto un’email da un contatto conosciuto (in realtà dalla replica dell’indirizzo email del contatto)
- nel contenuto del messaggio era riportata la condivisione di un’ordinanza del tribunale
- la vittima, per accedere al file, doveva aprirlo e poi cliccare sul link all’interno del PDF
- scatta la trappola: l’utente vede comparire un banner pop up nel quale si chiede di inserire le credenziali per leggere il PDF.
Per fortuna le credenziali non sono state inserite, ma sarebbe bastato davvero poco per procedere e vedersi rubati i dati di login (riutilizzati poi su altri siti e portali). Se volete tutelarvi e mitigare gli effetti di questi attacchi, vi consigliamo di:
- usare sistemi di posta elettronica affidabili e professionali
- aggiornare i vostri software e programmi informatici (grazie anche al nostro Servizio di Sicurezza Gestita)
- non fornire MAI informazioni personali via web o telefono
Dubbi o domande? Inviaci la tua richiesta compilando il form!