Spear phishing cos è
Tra i tanti tipi di phishing ampiamente utilizzati dai criminali informatici, lo spear phishing è particolarmente insidioso in quanto è altamente personalizzato e per questo tra i più difficili da individuare.
Il termine spear phishing significa letteralmente lancia phishing o phishing diretto.
Ma lo spear phishing cos è?
Normalmente le campagne di phishing consistono nel invio massivo di e-mail contraffatte: ebbene questa tecnica fa eccezione.
Gli attacchi di spear phishing sono mirati contro un individuo o una categoria di individui oppure contro una azienda o contro i clienti di una azienda nello specifico.
Questa sua caratteristica fa si che abbia una percentuale di successo altissima.
Proprio per questo motivo oggi vogliamo spiegarvi nel dettaglio di che cosa si tratta e ovviamente fornirvi delle pillole di sicurezza per difendervi dagli hacker anche quando, come in questo caso, sono più credibili.
Sommario degli argomenti
La parola phishing già di per se rimanda alla pesca proprio per l’idea che gli hacker lascino delle esche nel web in attesa che qualche malcapitato abbocchi.
Quando si parla invece di spear phishing indichiamo un gruppo di hacker che hanno accuratamente scelto la loro vittima calibrando l’attacco appositamente su di lei.
In questo senso, la metafora della pesca con il fucile subacqueo (spearfishing in inglese) è più adatta di quella del semplice pescatore che getta l’amo e aspetta.
Nonostante la modalità leggermente diversa però, l’obiettivo non cambia. L’hacker vuole indurre l’utente a rivelare dati personali con le quali può arricchirsi o infettare il suo computer per ottenere un qualche altro profitto.
Ogni piano ben congegnato ha uno schema da seguire, un attacco di spear phishing non fa eccezione:
ecco le fasi che caratterizzano la progettazione e realizzazione di questa truffa.
- Per prima cosa l’hacker deve scegliere la sua vittima.
Evidentemente sceglierà secondo la sua convenienza dopo aver valutato che la sua potenziale vittima possa essere sufficientemente redditizia da giustificare un attacco dedicato.
- Successivamente sarà fondamentale per il criminale acquisire quante più informazioni personali possibili sulla vittima designata.
Può cercare di scoprire ad esempio chi sia il suo datore di lavoro, o da chi sia composta la sua cerchia di amici abituali. Potrebbe informarsi sulle sue abitudini o su eventi recenti a cui ha preso parte magari un acquisto particolare, una conferenza.
- A questo punto il cybercriminale scrive e invia al malcapitato un messaggio o una e-mail su misura apparentemente autentica riuscendo a camuffarsi in modo verosimile per una fonte attendibile come può essere un amico o una società con cui è in affari.
In altri casi per risultare ancora più credibile l’hacker potrebbe utilizzare un account reale ma compromesso.
Ad esempio, se un vostro amico ha subito un furto di identità e voi non ne siete a conoscenza potreste ricevere un messaggio che risponde esattamente all’ultimo che voi gli avete inviato o che parla di argomenti che condividete spesso.
- A questo punto se l’utente non si accorge del fatto che il messaggio è fittizio potrebbe cedere delle sue informazioni personali oppure fare clic su un link che lo reindirizzi su un sito malevolo o aprire senza pensare un allegato contenente un virus.
Abbiamo già sottolineato che il punto si forza di questo tipo di attacco phishing risiede nel fatto che il messaggio oltre a provenire da una fonte di fiducia (almeno all’apparenza) parla di fatti noti. L’esca sarà tanto più pericolosa quante più informazioni l’hacker possiederà.
Inoltre molto spessa l’e-mail è simile a molte altre che un utente riceve ogni giorno, ad esempio notifiche di programmi o applicazioni o messaggi da parte di amici e collaboratori e questo fa si che non si metta in allarme.
Ecco alcuni esempi possibili per chiarire ulteriormente come faccia questo tipo di truffa a risultare così efficace e remunerativa per i criminali.
Un esempio di un messaggio di spear phishing è il seguente:
“Cara Mara, vista la tua passione per i manga ti suggeriamo un evento a cui potresti essere interessata.
Francesco e Chiara sono già interessati a partecipare. Dai un’occhiata alla pagina dell’evento. (Segue il link contraffatto)”.
Questo messaggio potrebbe venire apparentemente da un social e il malintenzionato potrebbe per scoperto sulle pagine social di Mara, che condivide la sua passione per i Manga con Francesco e Chiara. Naturalmente, lo stesso messaggio non avrebbe alcun effetto su un’altra persona.
Si chiederebbe subito: perché non dare uno sguardo al programma dell’evento?
E sarebbe molto facile per lei cadere nel tranello.
Un ulteriore esempio spear phishing è la ricezione di una notifica che invita ad accedere ad un programma che utilizzate abitualmente e che vi chiede periodicamente di aggiornarne la password.
Questa e-mail presenta un link che rinvia ad una pagina simile a quella di accesso al servizio in questione.
Una volta inserite le credenziali e premuto invio il malintenzionato ha ottenuto l’accesso al nostro account e può essere lui ad aggiornare la password estromettendovi dal servizio.
Questa minaccia non è di certo una delle ultime trovate in fatto di truffe online, infatti, già nel passato ci sono state campagne di spear phishing che hanno avuto anche vittime illustri tra cui alcune delle società tecnologiche più grandi al mondo.
Ecco alcuni esempi.
Facebook e Google
Un esempio eclatante di come nessuna azienda possa sentirti al sicuro è il case history ch ha coinvolto Google e Facebook tra il 2013 e il 2014.
I due colossi tecnologici sono stati derubati da un gruppo di hacker che gli ha rubato svariati milioni di dollari.
Cosa è accaduto in questo caso di spear phishing?
Spacciandosi per un’azienda fornitrice ed inviando delle finte fatture, le due società hanno prontamente pagato.
In questo caso si è trattato di frode telefonica di spear phishing attraverso uno schema che includeva l’invio di e-mail di phishing ai dipendenti di Facebook e Google e che ha consentito di sottrarre oltre $ 100 milioni in totale tra il 2013 e il 2015, almeno questo è quanto dichiara l’ufficio del procuratore degli Stati Uniti.
La frode è stata poi scoperta e l’hacker perseguito per i reati commessi ma non è stato possibile recuperare l’intero importo versato.
E dopo Google e Facebook anche Barack Obama, Elon Musk, Kanye West, Bill Gates, Jeff Bezos e Joe Biden sono state colpite dal cosiddetto phone spear phishing.
Phone Spear phishing, come si svolge la truffa
Un corposo gruppo di hacker è stato in grado di ottenere i numeri di telefono interni di diversi membri dello staff di Twitter sfruttando una tecnica pressoché infallibile: si sono finti membri del reparto IT dell’azienda e hanno convinti le vittime a mandare loro le credenziali d’accesso ad un tool interno a Twitter tramite il quale è possibile resettare le password e i secondi fattori d’autenticazione di tutti gli account.
Un vero disastro sul fronte sicurezza per il colosso tecnologico.
Una volta ottenuto l’accesso alla risorsa, gli hacker sono naturalmente riusciti a violare gli account e a lanciare la campagna phishing. Non si è certo trattato di un attacco che richiedeva grandi conoscenze in ambito tecnico. Piuttosto, pura ingegneria sociale.
Questo tipo di attacco oltre ad essere estremamente difficile da riconoscere per un utente non esperto può comportare rischi altissimi per i privati così come per le aziende: dalla diffusione di virus informatici, ai furti di identità, allo spionaggio industriale, alla violazione dei segreti di ufficio.
Ad essere prese di mira sono gli utenti privati ma anche aziende, enti pubblici e associazioni no profit.
I sistemi di protezione tradizionali sono certamente utili ma non sono sempre in grado di riconoscere queste minacce, poiché non si tratta di messaggi standard ma di contenuti creati su misura per ingannare la vittima.
Ciononostante è fondamentale avere un sistema di protezione delle e-mail aggiornato e solido che controlli le destinazioni dei link ed effettui uno scanner gli allegati.
Altra strategia vincente (se combinata con la precedente) è investire nella formazione dei dipendenti sui temi della sicurezza informatica e sui trend dei tentativi di frode utilizzando se necessario dei servizi che simulino attacchi di phishing.
La formazione sulla cybersicurezza è oramai un must per qualsiasi società che voglia evitare spiacevoli sorprese per il suo futuro.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Laureata in Fisica, sta proseguendo gli studi in “Fisica dell’atmosfera, climatologia e meteorologia” presso l’università di Roma Tor Vergata. Nel frattempo, unisce la sua passione per la scrittura a quella per la cybersecurity per promuovere la consapevolezza digitale attraverso il blog di Onorato Informatica.
