Attacchi Phishing: cosa ci succede?

phishing mantova azienda

In un’epoca segnata dall’onniscenza della tecnologia nell’ambiente che ci circonda ci sorge spontaneo porci una domanda: riusciremo mai interagire con essa senza il dubbio di venire truffati?

Quando parliamo di comunicazione on-to-one attraverso la tecnologia, pensiamo immediatamente alle e-mail. E per questo, oggi parleremo della più grossa minaccia e-mail che sia mai esistita

Una delle domande che poniamo più di frequente ai nostri potenziali clienti è: “Ricevi molte e-mail spam?”. Qualcuno ci risponde di no, ma la maggior parte ammette di cestinare ogni giorno decine di messaggi indesiderati. Le e-mail sono forse lo strumento più prezioso all’interno di un’azienda ma possono rivelarsi anche il covo di truffe online. Per questo oggi parleremo di phishing, la truffa e-mail per antonomasia e come poter rimuovere una volta per tutte il problema delle e-mail infette.

Cos’è il Phishing

phishing attenzione

Il phishing è una forma di truffa online che utilizza le email come mezzo per arrivare agli utenti e rubare dati personali. Di per sé il phishing (o spear-phishing) non richiede nessuna attitudine di hacking, eppure viene considerato il metodo hacking più efficace per rubare dati e informazioni personali.

Se ci pensi bene, quando ricevi un’e-mail compi sempre le stesse azioni: leggi l’indirizzo del mittente e se attendibile passi all’oggetto, quindi la apri.

Sbam!
L’hacker ha già vinto, il phishing ha già vinto.

Sai perché? Sono riusciti a fare qualcosa che persino i migliori marketer al mondo faticano a fare: farti compiere un’azione. Questo è Phishing.

Naturalmente questi cyber-criminal (chiamarli criminali informatici suonava male) sono stati i più furbi, dal principio.

Ebbene, hanno capito che esiste una cosa che accomuna tutte le aziende e ancor di più, tutte le persone esistenti su questo pianeta: l’indirizzo e-mail.
Ce l’abbiamo tutti, anche la vecchietta dell’appartamento sotto casa vostra. Persino il cane di Chiara Ferragni possiede probabilmente uno o più indirizzi e-mail (anche se probabilmente non li gestisce in autonomia).

Considerato quanto la posta elettronica sia uno strumento diffuso, agli hacker basta solo quel quid in più. Un buon hacker esperto di phishing dovrà essere in grado di:

  • avere un indirizzo e-mail attendibile
  • inventare un oggetto e-mail credibile

Questi sono i punti principali. Se parallelamente riuscisse a scrivere un messaggio credibile e allegare un file o link infetto: il risultato è assicurato!

In resto è storia…

Le diverse forme di Phishing

Ora che ti è chiaro cosa sia il phishing, devi assolutamente sapere che l’astuzia degli hacker ha dato vita a diverse forme di spear-phising. Sono tutte metodologie che avrai sicuramente incontrato sul tuo cammino perché sono diffusissime.

Ti farò vedere una serie di esempi di campagne phishing, ma ovviamente, tieni presente che in circolazione ci sono decine, migliaia di opzioni phishing ed è per questo che ti preghiamo di fare molta attenzione a tutto il materiale che ti mostreremo d’ora in poi.

Random Phishing

office 365 phishing email

Alias ndo cojo cojo.

Il random phishing consiste nell’invio massivo di e-mail. In altre parole, un hacker si dota di un indirizzo e-mail che a prima vista può sembrare attendibile e diffonde messaggi in riferimento a problemi tecnici, procedure di aggiornamento software o addirittura tentativi di accesso indesiderati.

Il messaggio invita l’utente a cliccare su un link. Ma cosa rende questa tecnica così persuasiva? Indubbiamente il tono del messaggio e magari anche i dettagli grafici: ansia, paura, dubbio, responsabilità. Sono tutte stati d’animo che vengono indotti nell’utente e che lo inducono a cliccare il collegamento. Ovviamente il link sarà malevolo.

Clone Phishing

e-mail clone phishing

Questa particolare versione di phishing attack prevede che l’hacker riutilizzi un’e-mail legittima magari inviata in passato da un’ente e semplicemente corregge il tipo di file o link allegato.

In questo modo l’hacker sfrutta la credibilità di un brand che voi conoscete bene per riuscire ad entrare in casa vostra. Anche in questo caso l’attacco è random, cioè indirizzato a chiunque

Smishing

banca MPS sms phishing smish

Smishing, SMS phishing, smish phishing

Lo potete chiamare in diversi modi ma sono tutti riferiti ad uno specifico fenomeno phishing. Dalla definizione smishing riuscite già a percepire le caratteristiche di questa versione della truffa online. L’SMS Phishing da manuale non ricorre all’utilizzo delle e-mail quali vettori per invitare l’utente a cliccare su un link bensì, utilizzano i cari e obsoleti SMS. Tecnica obsoleta direte voi, e invece ancora in auge.

Questa tecnica phishing solitamente sfrutta la credibilità di enti pubblici, istituti finanziari e banche per riuscire ad attrarre l’attenzione dell’utente. Ma l’attacco, si svolge in modo pressoché eguale al normale phishing. Quindi.. fate attenzione agli SMS (ormai pochi) che ricevete.

Ps.: se siete interessati ad assistere ad un vero attacco informatico Smishing leggete il nostro articolo: Banca MPS: truffa Smishing in corso

Vishing o Phone Phishing

vishing o phone phishing

Quando si dice che il phishing si può non solo vedere anche sentire, questo è il caso.

Squilla il vostro telefono. Alzate la cornetta e dall’altro lato vi risponde una voce autorevole e professionale:

Buonasera Sig. XXX,

sono di Unicredit banca, abbiamo rilevato un ingresso sospetto al suo portale dell’home banking. Gentilmente se volesse fornirmi i suoi dati facciamo una verifica interna e le riabilitiamo tutte le funzioni del conto.”

Detta così non fa una piega. Peccato che la telefonata arrivi da un centralino VoIP non di proprietà di Unicredit. In questo caso la centralinista rientra tra gli elementi dell’attacco vishing.

Search engine phishing

search engine phishing

Esattamente il punto dove desideriamo soffermarci. Sì perché di recente questa tecnica phishing ha generato qualche problema alla Pubblica Amministrazione.

Una piccola premessa.

In questo caso parliamo di truffe online basate sui motori di ricerca ovvero: viene creata una pagina web, l’hacker la cura nella scelta dei testi, delle immagini e tutto questo lavoro SEO ha un tornaconto: Google la indicizza. 

La pagina sale tra i risultati fino a raggiungere l’attenzione degli utenti. Un utente che cade nella trappola ed esegue una qualsiasi transazione su pagine simili rimane truffato.

Questo è quello che è accaduto agli utenti NoiPA

Insomma: qualsiasi forma di attacco phishing ti colpisca, porterà con sé in pezzettino della tua identità: nome, cognome, password, numeri di carte di credito. Tutte le informazioni raccolte, vengono rivendute a caro prezzo.

Dunque è chiaro: adesso sei cosciente di che cos’è il Phishing e in quale veste può bussare alla porta della tua azienda.

Per proteggerti sono necessari due elementi imprescindibili: un po’ di cultura del pericoli web e servizi cyber-security. Onorato Informatica può fornirteli entrambi.

Hai già avuto esperienze con il phishing? Com’è andata?