Phishing: il mestiere cyber più antico del mondo

In un’epoca segnata dall’onniscenza della tecnologia nell’ambiente che ci circonda ci sorge spontaneo porci una domanda: riusciremo mai interagire con essa senza il dubbio di venire truffati?

Quando parliamo di comunicazione one-to-one attraverso la tecnologia, pensiamo immediatamente alle e-mail. E se pensiamo alle e-mail non possiamo che pensare al phishing informatico.

Una delle domande che poniamo più di frequente ai nostri potenziali clienti è: “Ricevi molte e-mail spam?”

Alcuni ci rispondono di no, ma la maggior parte ammette di cestinare ogni giorno decine di messaggi indesiderati. Le e-mail sono forse lo strumento più prezioso all’interno di un’azienda ma possono rivelarsi dei vasi di Pandora.

Questo motivo, unito al fatto che stiamo attraversando un epoca storica nella quale le tecnologie sembrano essere divenute le estensione dei nostri arti, ci spingono ancora una volta a parlarvi di cosa sta realmente accadendo.

In questo articolo, vi promettiamo, non useremo termini tecnici. Parleremo di phishing e campagne phishing come se ci fossimo incontrati per caso in una tavola calda e stessimo parlando del più e del meno.

Insieme, scopriamo di cosa si tratta: continua a leggere.

1. Phishing cos è

2. Come immaginare il phishing?

3. Phishing kit fai-da-te

4. Tipi di phishing

5. Random Phishing

6. Clone Phishing

7. Smishing

8. Vishing

9. Social network phishing

10. Search engine phishing

11. Le aziende più colpite dal phishing

12. Come riconoscere le truffe phishing

13. Phishing cosa fare dopo

14. Anti Phishing, i migliori consigli gratuiti

15. Phishing, Update Aprile 2021

Il phishing è una forma di truffa online che utilizza le email come vettore per colpire gli utenti. Non si tratta di virus informatici.

Non immaginatelo nella vostra testa come un software cattivo che rompe il computer: nemmeno per un istante.

Come immaginare il phishing?

Immaginate il phishing come un distinto signore, vestito in giacca e cravatta. Un bel paio di scarpe eleganti e i capelli sistemati. Pensate a questo signore mentre suona il campanello di casa vostra:

“Buongiorno, mi scusi se la disturbo, sono il suo consulente per l’energia elettrica. Lavoro per la società che ha in carico la sua utenza, mi hanno mandato per verificare lo stato del suo contatore. Sia gentile, ho bisogno solo di qualche dato della sua bolletta e in pochi minuti dovremmo concludere.”

Ed è proprio così che accade.

Dopo avergli fornito nome, cognome, email e perché no: numero di carta di credito sul quale addebitare il costo delle prossime bollette, senza l’ingombro di doversi recare il posta. Il distinto signore se ne va: il guaio lo scoprirete solo dopo pochi minuti.

Di per sé il fishing informatico non richiede alcuna attitudine di hacking. Ciò nonostante, viene considerato il metodo hacking più efficace e utilizzato per rubare dati e informazioni informazioni agli utenti.

Se ci pensate, quando riceviamo un’e-mail compiamo, come in una catena di produzione, sempre le stesse azioni:

• riceviamo la notifica dell’email
• leggiamo l’ogetto dell’e-mail
• controlliamo l’indirizzo del mittente
• quindi finalmente la apriamo

Sbam!
L’hacker ha già vinto, il phishing ha già vinto.

Sai perché? Sono riusciti a fare qualcosa che persino i migliori marketer al mondo faticano a fare: farti compiere un’azione.

Questo è fishing mail.

Naturalmente questi cyber-criminal sono stati i più furbi, dal principio.

Proprio loro hanno capito che esiste un’unica cosa che accomuna tutte le aziende del mondo e ancor meglio, tutte le persone su questo pianeta: l’indirizzo e-mail.
Ce l’abbiamo tutti, anche la vecchietta dell’appartamento sotto casa vostra. Persino il cane di Chiara Ferragni possiede probabilmente uno se non più indirizzi e-mail (anche se probabilmente non li gestisce in autonomia).

Considerato quanto la posta elettronica sia uno strumento diffuso, agli hacker basta solo quel quid in più.

Un hacker esperto di phishing dovrà semplicemente essere in grado di:

• avere un indirizzo e-mail attendibile
• inventare un oggetto e-mail credibile

Questi sono i punti principali: lasciatecelo dire è un vero gioco da ragazzi. Chiunque ci riuscirebbe. Se parallelamente, l’hacker riuscisse a scrivere un messaggio credibile e allegare un file o link infetto: il risultato è assicurato: ha messo in piedi un vero e proprio attacco email phishing.

In resto è storia…

Ora che ti è chiara la definizione, devi assolutamente sapere che l’astuzia degli hacker ha dato vita a diverse forme di phishing. Sono tutte metodologie che avrai sicuramente incontrato sul tuo cammino perché sono diffusissime.

Ti farò vedere una serie di esempi di campagne phishing, ma ovviamente, tieni presente che in circolazione ci sono decine, migliaia di opzioni ed è per questo che ti preghiamo di fare molta attenzione a tutto il materiale che ti mostreremo d’ora in poi.

Alias ndo cojo cojo.

Il random phishing consiste nell’invio massivo di e-mail. In altre parole, un hacker si dota di un indirizzo e-mail che a prima vista può sembrare attendibile e diffonde messaggi in riferimento a problemi tecnici, procedure di aggiornamento software o addirittura tentativi di accessi indesiderati.

Il messaggio invita l’utente a cliccare su un link. Ma cosa rende questa tecnica così persuasiva? Indubbiamente il tono del messaggio e magari anche i dettagli grafici: ansia, paura, dubbio, responsabilità. Sono tutte stati d’animo che vengono indotti nell’utente e che lo inducono a cliccare il collegamento. Ovviamente il link sarà malevolo.

Questa particolare versione di phishing attack prevede che l’hacker riutilizzi un’e-mail legittima magari inviata in passato da un’ente e semplicemente corregge il tipo di file o link allegato.

In questo modo l’hacker sfrutta la credibilità di un brand che voi conoscete bene per riuscire ad entrare in casa vostra. Anche in questo caso l’attacco è random, cioè indirizzato a chiunque

Lo potete chiamare in diversi modi ma sono tutti riferiti ad uno specifico fenomeno phishing. Dalla definizione smishing riuscite già a percepire le caratteristiche di questa versione della truffa online. Lo smishing da manuale non ricorre all’utilizzo delle e-mail quali vettori per invitare l’utente a cliccare su un link bensì, utilizzano i cari e obsoleti SMS. Tecnica obsoleta direte voi, e invece ancora in auge.

Questa tecnica phishing solitamente sfrutta la credibilità di enti pubblici, istituti finanziari e banche per riuscire ad attrarre l’attenzione dell’utente. Quindi… fate attenzione agli SMS (ormai pochi) che ricevete.

Ps.: se siete interessati ad assistere ad un vero attacco informatico Smishing leggete il nostro articolo: Banca MPS: truffa Smishing in corso

Quando si dice che il phishing si può non solo vedere anche sentire, questo è il caso.

Squilla il vostro telefono. Alzate la cornetta e dall’altro lato vi risponde una voce autorevole e professionale:

“Buonasera Sig. XXX,

sono di Unicredit banca, abbiamo rilevato un ingresso sospetto al suo portale dell’home banking. Gentilmente se volesse fornirmi i suoi dati facciamo una verifica interna e le riabilitiamo tutte le funzioni del conto.”

Detta così non fa una piega. Peccato che la telefonata arrivi da un centralino VoIP non di proprietà di Unicredit. In questo caso la centralinista rientra tra gli elementi dell’attacco vishing.

Se desideri approfondire il fenomeno vishing, leggo il nostro articolo dedicato qui sul blog: Vishing, cos’è? Come difendersi.

Abbiamo dedicato diversi articoli a questa tematica e per questo vi invitiamo ad approfondire. Se vuoi saperne di più sul phishing social media leggi il nostro articolo sul Phishing di Instagram.

Il fenomeno delle truffe sui social network ha l’obiettivo di sottrarre credenziali e informazioni personali degli utenti. Infatti, per un hacker risulta davvero semplice reperire informazioni sui social, che risultano un vero e proprio pozzo nel quale si può reperire ogni genere di dato (persino numeri di cellulare e indirizzo di residenza).

Una variante di phishing per social network prevede che l’hacker riproduca una finta pagina di login di accesso al social, l’utente ignaro inserisce tutte le credenziali di accesso pensando di loggarsi in Instagram, Facebook o Twitter ed il gioco è fatto. L’hacker in brevissimo tempo riesce a sottrarre tutti i dati di cui ha bisogno: ID Utente e password.

Anche su LinkedIn esiste il fenomeno del phishing: in questo caso l’hacker invia un link ad un sito phishing tramite chat un messaggio. Lo stesso accadde nel caso di Facebook.

Un caso molto in voga negli ultimi tempi è il cosiddetto “paga per avere più follower“: anche in questo caso parliamo di una vasta categoria di attacchi phishing. L’hacker crea un annuncio nel quale promette più seguaci al profilo o alla pagina social in cambio di denaro e dati personali.

Anche nel caso del phishing su social media gli attacchi sono mirati a veicolare infezioni ben più pericolose (virus informatici e ransomware).

Esattamente il punto dove desideriamo soffermarci. Sì perché di recente questa tecnica ha generato qualche problema alla Pubblica Amministrazione.

Una piccola premessa.

In questo caso parliamo di truffe online basate sui motori di ricerca ovvero: viene creata una pagina web, l’hacker la cura nella scelta dei testi, delle immagini e tutto questo lavoro SEO ha un tornaconto: Google la indicizza. 

La pagina sale tra i risultati fino a raggiungere l’attenzione degli utenti. Un utente che cade nella trappola ed esegue una qualsiasi transazione su pagine simili rimane truffato. Ps.: Questo è quello che è accaduto agli utenti NoiPA

Insomma: qualsiasi forma di attacco phishing ti colpisca, porterà con sé in pezzettino della tua identità: nome, cognome, password, numeri di carte di credito. Tutte le informazioni raccolte, vengono rivendute a caro prezzo.

Durante la nostra esperienza tête-à-tête con gli episodi di phishing, abbiamo stilato una classifica di brand e aziende direttamente tirati in causa dalle organizzazioni di cybercriminali per generare le truffe online.

Nel complesso, le principali campagne spam via e-mail riguardano in particolar modo:

• le compagnie di trasporti (DHL, TNT, Poste Italiane)
• gli istituti bancari o gli enti di previdenza (Gruppo ISP, INPS, Banca MPS, Wells Fargo, Unicredit, ecc…)
• e-commerce come Amazon e Zalando
• aziende della big tech: Google, Amazon, Microsoft, LinkedIn, Roblox, Apple o DropBox

I nomi di queste grandi aziende vengono sfruttati da questi gruppi di criminali per diffondere email fraudolente e ingannevoli, allo scopo di sottrarre dati alle vittime ignare.

Riconoscere gran parte delle truffe è semplice, vi basterà sviluppare con il tempo un sano senso critico.

La maggior parte delle truffe si diffonde prettamente tramite email ed è proprio a questo elemento che dovete porre particolare attenzione. Ad esempio, diffidate delle offerte straordinarie inviate via email, diffidate dalle comunicazioni via posta elettronica che vi chiedono di inserire i vostri dati (compresa la carta di credito).

Inoltre, se vi arriva un messaggio di posta elettronica che vi chiede di collegarvi ad un link “al più presto possibile” o “perché il vostro account è stato bloccato” cestinatela immediatamente.

Inoltre, controllate sempre il mittente delle email che vi arrivano. Nel caso in cui il mittente sia sospetto, verificate direttamente (magari tramite telefonata) che l’indirizzo dal quale avete ricevuto la comunicazione sia effettivo o meno.

Se sei proprietario di un’azienda è importante prevedere un piano B nel caso in cui un tuo dipendente venga colpito da una truffa email. Infatti quando si dice phishing cosa fare dopo s’intende proprio il genere di azioni da intraprendere in risposta all’attacco.

L’obiettivo sarà quello di ridurre al minimo il danno derivante dall’attacco:

1. il dipendente o la persona colpita dovrà immediatamente segnalare l’accaduto al reparto tecnico. Questo servirà a capire se si tratta di semplice phishing o se in rete si è diffusa un’infezione più grave.
2. Identificare la tipologia di truffa
3. Verificare tutti i log al sistema e capire quali tecnologie possono essere state coinvolte
4. Agire: filtri della navigazione, modifica password e tutti i dati forniti per quanto possibile, monitoraggio.

Eccola qui, la panacea made in Italy o meglio made in Onorato Informatica per difendersi dagli attacchi di mail phishing.

Ala luce della forte crescita degli attacchi e-mail (sono cresciuti del 400%) ecco i nostri 5 migliori consigli per difendere voi stessi e le informazioni che vi appartengono.

• Non cliccare link o allegati nelle e-mail se sei in dubbio
• Diffida delle catene di Sant’Antonio o delle iniziative “Troppo belle per essere vere”. Eccoti un’esempio proprio qui
• Per la tua azienda, utilizza servizi e-mail professionali e affidabili
• Attenzione alle raccolte di beneficenza online
• Controlla gli URL dei link contenuti nelle e-mail

E solo per oggi un consiglio extra ai fortunati che arriveranno fino alla fine del nostro articolo:

sviluppate un sano e onnisciente senso critico verso ciò che arriva nella vostra casella di posta elettronica

Nel bel mezzo della quarantena da Covid-19, riceviamo ogni giorno decine di segnalazioni circa nuove campagne phishing in atto. Soprattutto in questo momento, nel quale i lavoratori sono in telelavoro da casa ti suggeriamo di non sottovalutare il problema truffe email anche a casa.

Contattaci, siamo un’azienda di sicurezza informatica di Mantova. Siamo specializzati nella protezione e-mail e vogliamo proteggerti.

Per proteggerti sono necessari due elementi imprescindibili: un po’ di cultura del pericoli web e servizi cyber-security. Onorato Informatica può fornirli entrambi. Se la tua azienda sta lavorando senza protezione anti phishing potrebbe essere un problema.

Onorato Informatica è un’azienda specializzata in cyber security dal 2006. Siamo certificati ISO 27001 e ISO 9001.