Che cos'è il phishing?

Gli attacchi di phishing sono una forma di ingegneria sociale. A differenza di altri attacchi informatici che mirano direttamente a reti e risorse, gli attacchi di ingegneria sociale sfruttano errori umani, storie false e tattiche di pressione per manipolare le vittime in modo che causino danni involontari a se stesse o alle loro organizzazioni.

In un tipico tentativo di phishing, un hacker finge di essere qualcuno di cui la vittima si fida, ad esempio un collega, un capo, una figura autorevole o un rappresentante di un noto marchio. L'hacker invia un messaggio che invita la vittima a pagare una fattura, aprire un allegato, fare clic su un collegamento o eseguire un'altra azione.

Poiché si fida della presunta fonte del messaggio, l'utente segue le istruzioni e cade nella trappola del truffatore. Quella "fattura" potrebbe portare direttamente all'account di un hacker. L'allegato potrebbe installare un ransomware sul dispositivo dell'utente. Il link potrebbe indirizzare l'utente a un sito web che ruba numeri di carte di credito, numeri di conto bancario, credenziali di accesso o altri dati personali.

Il phishing è popolare tra i criminali informatici ed è molto efficace. Secondo il report Cost of a Data Breach di IBM, il phishing è il vettore di violazione dei dati più comune, e rappresenta il 15% di tutte le violazioni. Le violazioni causate dal phishing costano alle organizzazioni in media 4,88 milioni di dollari.

Il phishing è una minaccia significativa perché utilizza le persone piuttosto che le vulnerabilità tecnologiche. Gli aggressori non devono violare direttamente i sistemi o gli strumenti di cybersecurity. Possono ingannare le persone che hanno accesso autorizzato al loro obiettivo (che si tratti di denaro, informazioni sensibili o altro) inducendole a svolgere il "lavoro sporco".

I phisher possono essere truffatori solitari o sofisticate bande di criminali. Possono utilizzare il phishing per molti scopi, tra cui furto di identità, frode con carta di credito, furto di denaro, estorsione, acquisizione di account, spionaggio e altro ancora.

Gli obiettivi del phishing vanno dalle persone comuni alle grandi aziende, fino alle agenzie governative. In uno dei più noti attacchi di phishing, gli hacker russi hanno utilizzato una falsa e-mail di reimpostazione della password per rubare migliaia di e-mail dalla campagna presidenziale statunitense di Hillary Clinton del 2016^.1

Poiché le truffe di phishing manipolano gli esseri umani, gli strumenti e le tecniche standard di monitoraggio della rete non sempre riescono a rilevare questi attacchi in corso. In effetti, nell'attacco alla campagna per Clinton, persino l'help desk informatico della campagna pensava che le e-mail fraudolente di ripristino della password fossero autentiche. 

Per combattere il phishing, le organizzazioni devono combinare strumenti avanzati di rilevamento delle minacce con una solida formazione dei dipendenti per garantire che gli utenti possano identificare con precisione e rispondere in modo sicuro ai tentativi di truffa.

La parola "phishing" allude al fatto che i truffatori utilizzano "esche" invitanti per ingannare le vittime, più o meno allo stesso modo in cui i pescatori usano le esche per catturare i pesci veri. Nel phishing, le esche sono messaggi fraudolenti che sembrano credibili ed evocano emozioni forti come paura, avidità e curiosità. 

Il tipo di esche utilizzate dai truffatori di phishing dipende da chi e cosa stanno cercando. Alcuni esempi comuni di attacchi di phishing includono:

Nel phishing via e-mail in massa, i truffatori inviano indiscriminatamente e-mail di spam a quante più persone possibile, sperando che una frazione degli obiettivi cada vittima dell'attacco.

I truffatori spesso creano e-mail che sembrano provenire da grandi aziende legittime, come banche, rivenditori online o creatori di app popolari. Impersonando brand noti, i truffatori aumentano le possibilità che i loro bersagli siano clienti di tali brand. Se una potenziale vittima interagisce regolarmente con un marchio, è più probabile che apra un'e-mail di phishing che sembra provenire da quel marchio.

I criminali informatici fanno di tutto per far sembrare autentiche le e-mail di phishing. Potrebbero utilizzare il logo e il marchio del mittente impersonato. Potrebbero falsificare gli indirizzi e-mail per far sembrare che il messaggio provenga dal nome di dominio del mittente impersonato. Potrebbero persino copiare un'e-mail autentica dal mittente impersonato e modificarla a scopo di truffa.

I truffatori scrivono l'oggetto delle e-mail in modo da suscitare emozioni forti o creare un senso di urgenza. I truffatori più esperti utilizzano argomenti che potrebbero riguardare effettivamente il mittente impersonato, come "Problema con il tuo ordine" o "Invio fattura in allegato".

Il corpo dell'e-mail indica al destinatario di eseguire un'azione apparentemente ragionevole che si traduce nella divulgazione di informazioni sensibili o nel download di malware. Ad esempio, un link di phishing potrebbe essere: "Fai clic qui per aggiornare il tuo profilo". Quando la vittima fa clic su quel link dannoso, viene indirizzata a un sito web fasullo che ruba le credenziali di accesso. 

Alcuni truffatori programmano le campagne di phishing in modo che siano in linea con le festività e altri eventi in cui le persone sono più suscettibili alle pressioni. Ad esempio, gli attacchi di phishing sui clienti Amazon spesso si verificano durante il Prime Day, l'evento annuale di vendita del rivenditore online.² I truffatori inviano e-mail su offerte false e problemi di pagamento per approfittare del fatto che le persone hanno abbassato al guardia.

Lo spear phishing è un attacco di phishing mirato a una persona specifica. L'obiettivo è solitamente una persona con accesso privilegiato a dati sensibili o a una figura professionale, come un responsabile finanziario, che può trasferire fondi dai conti aziendali.

Uno spear phisher studia la vittima per raccogliere le informazioni necessarie per spacciarsi per qualcuno di cui si fida, ad esempio un amico, un superiore, un collega, un fornitore o un istituto finanziario. I social media e i siti di networking professionali, in cui le persone si congratulano pubblicamente con i colleghi, approvano i fornitori e tendono a condividere eccessivamente, sono fonti ricche di informazioni per le ricerche finalizzate allo spear phishing.

Gli spear phisher utilizzano le loro ricerche per creare messaggi che contengono dettagli personali specifici, che li rendono altamente credibili alle potenziali vittime. Ad esempio, uno spear phisher potrebbe spacciarsi per il capo della vittima e inviare un'email con scritto: "So che parti stasera per le vacanze, ma puoi pagare questa fattura prima della chiusura dell'attività di oggi?"

Un attacco di spear phishing mirato a un dirigente di livello C, a una persona benestante o a un altro obiettivo di alto valore è noto come whale phishing o whaling attack.

BEC è una classe di attacchi di spear phishing che tentano di rubare denaro o informazioni preziose, come ad esempio: segreti commerciali, dati dei clienti e informazioni finanziarie da un'azienda o un'altra organizzazione.

Gli attacchi BEC possono assumere diverse forme. Due delle più comuni tipologie di questi attacchi sono:

• Truffa del CEO: il truffatore si spaccia per un dirigente, spesso violando il suo account di posta elettronica, per poi inviare un messaggio a un dipendente di livello inferiore, istruendolo a trasferire fondi su un conto fraudolento, a effettuare un acquisto da un venditore fraudolento o a inviare file a una parte non autorizzata.
  
  
• Compromissione dell'account e-mail (EAC): il truffatore compromette l'account di posta elettronica di un dipendente di livello inferiore, ad esempio l'account di un manager del reparto finanza, vendite o ricerca e sviluppo, e lo utilizza per inviare fatture fraudolente ai fornitori, istruire altri dipendenti a effettuare pagamenti fraudolenti o richiedere l'accesso a dati riservati.

Gli attacchi BEC possono essere tra gli attacchi informatici più costosi, poiché i truffatori spesso rubano milioni di dollari alla volta. In un esempio straordinario, un gruppo di truffatori ha rubato più di 100 milioni di dollari a Facebook e Google spacciandosi per un fornitore di software legittimo^.3

Alcuni truffatori BEC stanno abbandonando queste tattiche di alto profilo per lanciare piccoli attacchi contro obiettivi multipli. Secondo l'Anti-Phishing Working Group (APWG), gli attacchi BEC sono diventati più frequenti nel 2023, ma i truffatori hanno chiesto in media meno soldi per ogni attacco.⁴

SMS phishing o smishing, utilizza falsi messaggi di testo per ingannare gli obiettivi. I truffatori di solito si spacciano per il provider wireless della vittima, inviando un messaggio che offre un "regalo gratuito" o chiede all'utente di aggiornare i dati della propria carta di credito.

Alcuni smisher si spacciano per il servizio postale degli Stati Uniti o per un'altra compagnia di spedizioni. Inviano messaggi nei quali dicono alle vittime che devono pagare una commissione per ricevere un pacco che hanno ordinato.

Il phishing vocale, o vishing, è il phishing tramite chiamata telefonica. I casi di vishing sono esplosi negli ultimi anni, con un aumento del 260% tra il 2022 e il 2023 secondo l'APWG^.5 L'aumento del vishing è in parte dovuto alla disponibilità della tecnologia VoIP (Voice over IP), che i truffatori possono utilizzare per effettuare milioni di chiamate di vishing automatizzate al giorno. 

I truffatori spesso utilizzano la tecnica del caller ID spoofing per far sembrare che le loro chiamate provengano da organizzazioni legittime o da numeri di telefono locali. Le chiamate di vishing di solito spaventano i destinatari con avvisi di problemi di elaborazione delle carte di credito, pagamenti in ritardo o problemi con il fisco. I destinatari finiscono per fornire dati sensibili o denaro ai criminali informatici per "risolvere" i loro problemi.

Il social media phishing utilizza le piattaforme social per ingannare le persone. I truffatori utilizzano le funzionalità di messaggistica integrate nelle piattaforme, ad esempio Facebook Messenger, LinkedIn InMail e i messaggi diretti di X (ex Twitter) nello stesso modo in cui utilizzano le e-mail e i messaggi di testo.

I truffatori spesso si fingono utenti che hanno bisogno dell'aiuto della vittima per accedere al proprio account o vincere un concorso. Usano questo stratagemma per rubare le credenziali di accesso della vittima e impossessarsi del suo account sulla piattaforma. Questi attacchi possono essere particolarmente onerosi per le vittime che utilizzano le stesse password su più account, una pratica fin troppo comune.

I truffatori escogitano costantemente nuove tecniche di phishing per evitare il rilevamento. Alcuni sviluppi recenti includono:

Il phishing basato sull'AI utilizza gli strumenti di intelligenza artificiale generativa (AI) per creare messaggi di phishing. Questi strumenti possono generare e-mail e SMS personalizzati privi di errori di ortografia, incoerenze grammaticali e altri comuni segnali di tentativi di phishing.

L'AI generativa può anche aiutare i truffatori a scalare le loro operazioni. Secondo l'X-Force Threat Intelligence Index di IBM, un truffatore impiega 16 ore per creare manualmente un'e-mail di phishing. Con l'AI, i truffatori possono creare messaggi ancora più convincenti in soli cinque minuti.

I truffatori utilizzano anche generatori di immagini e sintetizzatori vocali per aggiungere ulteriore credibilità ai loro schemi. Ad esempio, nel 2019, gli aggressori hanno utilizzato l'AI per clonare la voce del CEO di una società energetica e truffare un direttore di banca per 243.000 USD⁷.

Il quishing utilizza codici QR falsi incorporati in e-mail e messaggi di testo o pubblicati nel mondo reale. Il quishing consente agli hacker di nascondere siti Web e software dannosi in bella vista.

Ad esempio, la Federal Trade Commission (FTC) statunitense ha avvertito lo scorso anno di una truffa in cui i criminali sostituiscono i codici QR sui parchimetri pubblici con i propri codici che rubano i dati di pagamento.⁶

Gli attacchi di vishing ibridi combinano il phishing vocale con altri metodi per eludere i filtri antispam e guadagnare la fiducia delle vittime.

Ad esempio, un truffatore potrebbe inviare un'e-mail che pretende di provenire dall'IRS. Questa e-mail comunica al destinatario che c'è un problema con la dichiarazione dei redditi. Per risolvere il problema, la vittima deve chiamare un numero di telefono fornito nell'e-mail, che lo collega direttamente al truffatore.

I dettagli possono variare da truffa a truffa, ma ci sono alcuni segnali comuni che indicano che un messaggio potrebbe essere un tentativo di phishing. Questi segnali includono:

Poiché le truffe di phishing prendono di mira le persone, i dipendenti sono spesso la prima e l'ultima linea di difesa di un'organizzazione contro questi attacchi. Le organizzazioni possono ciascun utente come riconoscere i segnali dei tentativi di phishing e rispondere a e-mail e messaggi di testo sospetti. Ciò può includere fornire ai dipendenti modi semplici per segnalare tentativi di phishing al team IT o di sicurezza.

Le organizzazioni possono anche stabilire politiche e pratiche che rendono più difficile il successo da parte dei phisher.

Ad esempio, le organizzazioni possono vietare alle persone di avviare trasferimenti di denaro tramite e-mail. Possono richiedere ai dipendenti di verificare le richieste di denaro o le informazioni contattando il richiedente tramite mezzi diversi da quelli forniti nel messaggio. Ad esempio, i dipendenti possono digitare un URL direttamente nel browser anziché fare clic su un link, oppure chiamare il numero dell'ufficio di un collega invece di rispondere a un messaggio da un numero sconosciuto.

Le organizzazioni possono integrare la formazione dei dipendenti e le policy aziendali con strumenti di sicurezza che aiutano a rilevare i messaggi di phishing e a contrastare gli hacker che utilizzano il phishing per infiltrarsi nelle reti.

• I filtri antispam e i software per la sicurezza delle e-mail utilizzano dati sulle truffe di phishing esistenti e algoritmi di machine learning per identificare le e-mail di phishing e altri messaggi di spam. Le truffe e lo spam vengono quindi spostati in una cartella separata, dove i link e i codici dannosi vengono eliminati.
  
  
• Software antivirus e antimalware rilevano e neutralizzano file o codice nocivi contenuti nelle e-mail di phishing.
   
• L'autenticazione a più fattori può impedire agli hacker di impossessarsi degli account degli utenti. Gli autori del phishing possono rubare le password, ma hanno molto più difficoltà a rubare un secondo fattore, ad esempio una scansione delle impronte digitali o un codice di accesso monouso.
  
  
• Gli strumenti per la sicurezza degli endpoint come le soluzioni di rilevamento e risposta degli endpoint (EDR) e gestione unificata degli endpoint (UEM) possono utilizzare l'intelligenza artificiale (AI) e analisi avanzate per intercettare i tentativi di phishing e bloccare il malware.
  
  
• I filtri web impediscono agli utenti di visitare siti web dannosi conosciuti e visualizzano degli avvisi quando gli utenti visitano pagine sospette. Questi strumenti possono aiutare a mitigare i danni se un utente fa clic su un link di phishing.
  
  
• Le soluzioni di cybersecurity aziendale, come le piattaforme SOAR (Security Orchestration, Automation and Response) e SIEM (Security Information and Event Management), utilizzano l'AI e l'automazione per rilevare le attività anomale e adottare le necessarie misure di risposta. Queste soluzioni possono aiutare a bloccare i phisher che tentano di installare malware o di impossessarsi degli account.