Gli attacchi di phishing sono e-mail, messaggi di testo, telefonate o siti web fraudolenti progettati per indurre le persone a scaricare malware, condividere informazioni sensibili (ad esempio, numeri di previdenza sociale e carta di credito, numeri di conti bancari, credenziali di accesso) o intraprendere altre azioni che espongono se stesse o le proprie organizzazioni alla criminalità informatica.
Gli attacchi di phishing riusciti spesso portano a furto d'identità, frodi con carta di credito, attacchi ransomware, violazioni dei dati e ingenti perdite finanziarie per individui e aziende.
Il phishing è la forma più comune di ingegneria sociale, la pratica di ingannare, esercitare pressioni o indurre le persone a inviare informazioni o asset beni alle persone sbagliate. Per ottenere risultati positivi, gli attacchi di ingegneria sociale si basano sull'errore umano e su tattiche di pressione. Generalmente, l'aggressore finge di essere una persona o un'organizzazione di cui la vittima si fida - ad esempio, un collega, un capo, un'azienda con cui la vittima o il datore di lavoro della vittima ha relazioni commerciali - e crea un senso di urgenza che spinge la vittima ad agire in modo avventato. Gli hacker utilizzano queste tattiche perché è più facile e meno costoso ingannare le persone che violare un computer o una rete.
Secondo l'FBI, le email di phishing sono il metodo, o vettore, di attacco più diffuso, utilizzato dagli hacker per o vettore, utilizzato dagli hacker per inviare ransomware a individui e organizzazioni. E, secondo il report Costo di una violazione dei dati di IBM del 2021, il phishing è la quarta causa più comune e la seconda più costosa per quanto riguarda le violazioni dei dati, con un costo medio per le aziende pari a 4,65 milioni di dollari per violazione.
Il phishing di email di massa è il tipo di attacco di phishing più comune. Un truffatore crea un messaggio email che sembra provenire da un'azienda o organizzazione legittima grande e molto nota — una banca nazionale o globale, un grande rivenditore online, i produttori di una popolare app o applicazione software — e lo invia a milioni di destinatari. Il phishing di email è un gioco di numeri: più grande o popolare è il mittente impersonato, più è probabile che i destinatari siano clienti, abbonati o membri.
L'email di phishing riguarda un argomento che il mittente impersonato potrebbe affrontare in modo credibile e che si affida a forti emozioni — paura, avidità, curiosità, senso di urgenza o mancanza di tempo — per attirare l'attenzione dei destinatari. Le righe tipiche dell'oggetto includono 'Aggiorna il tuo profilo utente', 'Problemi con il tuo ordine', 'I documenti di chiusura sono pronti per la firma', 'La fattura è allegata.'
Il testo dell'e-mail indica al destinatario di effettuare un'azione che sembra perfettamente ragionevole e coerente con l'argomento, ma comporterà la divulgazione di informazioni sensibili da parte del destinatario - numeri di previdenza sociale, numeri di conto bancario, numeri di carta di credito, credenziali di accesso - o il download di un file che infetta il dispositivo o la rete del destinatario. Ad esempio, ai destinatari potrebbe essere richiesto di 'fare clic su questo link per aggiornare il tuo profilo', ma il link visualizza un sito Web falso, in cui le vittime immettono le reali credenziali di accesso mentre apparentemente aggiornano il proprio profilo. Oppure, potrebbe essere richiesto di aprire un allegato che sembra legittimo (ad esempio, 'invoice20.xlsx') ma che invia malware o codice dannoso al dispositivo o alla rete del destinatario.
Lo spear phishing è un attacco di phishing che prende di mira un individuo specifico - generalmente, una persona che dispone di accesso privilegiato a dati sensibili o risorse di rete o di un'autorizzazione speciale che il truffatore può utilizzare per scopi fraudolenti o nefasti.
Uno spear phisher studia il bersaglio per raccogliere le informazioni necessarie per fingere di essere una persona o un'entità di cui la vittima si fida veramente — un amico, un capo, un collega, un fornitore attendibile o un istituto finanziario — o per fingere di essere la persona presa di mira. I social media e i siti di social networking, in cui le persone si congratulano pubblicamente con i colleghi, approvano colleghi e fornitori e tendono a condividere eccessivamente riunioni, eventi o programmi di viaggio - sono diventati ricche fonti di informazioni per la ricerca sullo spear phishing.
Una volta in possesso di queste informazioni, lo spear phisher può inviare un messaggio contenente dettagli personali specifici o informazioni finanziarie ed una richiesta credibile rivolta alla vittima - ad esempio, 'So che stasera sei in partenza per le vacanze, puoi pagare questa fattura (o trasferire XXX.XX USD su questo account) prima della fine della giornata lavorativa?'
Alcune email di spear phishing provano a raccogliere ancora più informazioni, in preparazione per un attacco su larga scala. Ad esempio, un messaggio di spear phishing potrebbe chiedere a un CEO di aggiornare le credenziali dell'account email perse durante una breve interruzione, ma fornire invece un link a un sito Web falso dannoso progettato per rubare quelle credenziali. Una volta in possesso di tali credenziali, l'aggressore ha pieno accesso alla casella di posta del CEO - può studiare i messaggi email del CEO per raccogliere ulteriori informazioni e inviare un messaggio convincente e fraudolento direttamente dall'account email del CEO, utilizzando l'indirizzo email effettivo del CEO.
Questo è un esempio di Business Email Compromise (BEC), un tipo particolarmente pericoloso di attacco di spear phishing progettato per indurre i dipendenti di un'azienda a inviare somme di denaro molto ingenti o asset preziosi a un aggressore. Le email BEC vengono inviate o sembrano essere inviate dagli account email dei membri di rango più elevato dell'azienda - o da associati di alto livello della stessa, come avvocati, importanti business partner o grandi fornitori - e contengono dettagli sufficienti per sembrare altamente credibili.
Lo spear phishing non è l'unica tecnica utilizzata per ottenere le informazioni necessarie per mettere in scena un attacco BEC di successo. Gli hacker possono anche inviare malware o sfruttare le vulnerabilità di sistema per ottenere accesso ai dati degli account email. Oppure, se non riescono ad ottenere l'accesso ai dati dell'account, gli hacker possono provare a falsificare l'indirizzo del mittente - utilizzando un indirizzo email così simile a quello effettivo del mittente che il destinatario non noti la differenza.
Indipendentemente dalle tattiche, gli attacchi BEC riusciti sono tra gli attacchi informatici più costosi. In uno degli esempi più noti di BEC, gli hacker che hanno impersonato un CEO hanno convinto il dipartimento finanziario della sua azienda a trasferire quasi 50 milioni di euro su un conto bancario fraudolento.
Il phishing tramite SMS o smishing è un tipo di phishing che utilizza messaggi di testo su smartphone o dispositivi mobili. Gli schemi di smishing più efficaci sono contestuali - ovvero correlati ad app o alla gestione degli account degli smartphone. Ad esempio, i destinatari possono ricevere un messaggio di testo in cui si offre un regalo come 'ringraziamento' per aver pagato una bolletta wireless o in cui si chiede di aggiornare i dati della propria carta di credito per continuare a utilizzare un servizio di streaming multimediale.
Il voice phishing o vishing, è un attacco phishing effettuato tramite chiamate telefoniche. Grazie alla tecnologia VoIP (voice over IP), i truffatori possono effettuare milioni di chiamate vishing automatizzate al giorno; spesso utilizzano lo spoofing dell'ID chiamante per fare in modo che le chiamate sembrino provenire da organizzazioni legittime o numeri di telefono locali. Le chiamate Vishing in genere intimoriscono i destinatari con avvisi relativi a problemi nella gestione della carta di credito, pagamenti scaduti o problemi con l'Agenzia delle Entrate. Le persone contattate finiscono per fornire dati sensibili alle persone che lavorano per i truffatori; alcuni addirittura concedono il controllo remoto dei proprio computer ai truffatori all'altro capo del telefono.
Il phishing sui social utilizza varie funzionalità di una piattaforma di social media per effettuare il phishing delle informazioni sensibili dei membri. I truffatori utilizzano le funzionalità di messaggistica proprie delle piattaforme - ad esempio Facebook Messenger, messaggistica LinkedIn o InMail, DM di Twitter - più o meno allo stesso modo in cui utilizzano normali email e messaggi di testo. Inoltre, inviano email di phishing che sembrano provenire dal sito del social network, chiedendo ai destinatari di aggiornare le credenziali di accesso o le informazioni di pagamento. Questi attacchi possono essere particolarmente costosi per le vittime che utilizzano le stesse credenziali di accesso su più siti di social media, una "pratica errata" fin troppo comune.
Messaggistica delle applicazioni o in app. Le popolari app per smartphone e le applicazioni basate sul Web (software-as-a-service o SaaS) inviano regolarmente email ai propri utenti. Di conseguenza, questi utenti sono pronti per campagne di phishing che falsificano le email di fornitori di app o software. Basandosi sempre sulla legge dei grandi numeri, i truffatori in genere falsificano le email dalle app e dalle applicazioni Web più popolari - ad esempio PayPal, Microsoft Office 365 o Teams - per ottenere il massimo dal loro phishing.
Le organizzazioni sono incoraggiate a insegnare agli utenti come riconoscere le truffe di phishing e a sviluppare le best practice per gestire email e messaggi di testo sospetti. Ad esempio, è possibile insegnare agli utenti a riconoscere le seguenti e altre caratteristiche delle email di phishing:
- Richieste di informazioni sensibili o personali o di aggiornamento del profilo o delle informazioni di pagamento
- Richieste di invio o spostamento di denaro
- File allegati non richiesti o previsti dal destinatario
- Un senso di urgenza, evidente ("Il tuo account sarà chiuso oggi...") o subdola (ad esempio, una richiesta da parte di un collega di pagare immediatamente una fattura), minacce di arresto o altre conseguenze non realistiche
- Minacce di arresto o altre conseguenze non realistiche
- Errori di grammatica o di ortografia
- indirizzo del mittente incoerente o contraffatto
- Link abbreviati con Bit.Ly o altri servizi di abbreviazione di link
- Immagini di testo utilizzate al posto del testo (nei messaggi o nei collegamenti a pagine Web contenuti nei messaggi)
Questo è solo un elenco parziale; sfortunatamente, gli hacker escogitano sempre nuove tecniche di phishing per evitare di essere individuati. Alcune pubblicazioni, come il Phishing Trends Activity Report (link esterno a ibm.com) trimestrale dell'Anti-Phishing Working Group, possono aiutare le organizzazioni a tenere il passo.
Le organizzazioni possono anche incoraggiare o applicare best practice che riducano la pressione sui dipendenti, in modo che non venga loro richiesto di individuare gli attacchi di phishing. Ad esempio, le organizzazioni possono stabilire e comunicare policy di chiarimento - ad esempio un superiore o un collega non invierà mai una richiesta di trasferimento di fondi tramite email. Possono richiedere ai dipendenti di verificare eventuali richieste di informazioni personali o sensibili contattando il mittente o visitando direttamente il sito legittimo del mittente, utilizzando modalità diverse da quelle indicate nel messaggio. E possono insistere affinché i dipendenti segnalino tentativi di phishing ed email sospette all'IT o al gruppo di sicurezza.
Nonostante la migliore formazione degli utenti e le best practice più rigorose, gli utenti continuano a commettere errori. Fortunatamente, diverse tecnologie consolidate ed emergenti per la sicurezza degli endpoint e della rete possono aiutare i team di sicurezza a riprendere la battaglia contro il phishing laddove la formazione e le policy non arrivano.
- I filtri antispam combinano i dati sulle truffe di phishing esistenti e gli algoritmi di machine learning per identificare le email di phishing sospette (e altro spam), quindi spostarle in una cartella separata e disabilitare tutti i link in esse contenuti.
- Il software antivirus e antimalware rileva e neutralizza file o codici dannosi nelle email di phishing.
- L'autenticazione a più fattori (MFA) richiede almeno una credenziale di accesso oltre a un nome utente e una password - ad esempio un codice monouso inviato al telefono cellulare degli utenti. Fornendo un'ulteriore ultima linea di difesa contro le truffe di phishing o altri attacchi che compromettono con successo le password, l'autenticazione a più fattori può minare gli attacchi di spear phishing e prevenire la BEC.
- I filtri web impediscono agli utenti di visitare siti Web dannosi noti (siti nella 'blacklist') e visualizzare avvisi ogni volta che gli utenti visitano siti Web sospetti dannosi o falsi.
Le piattaforme di sicurezza informatica centralizzata - ad esempio, security information and event managament (SIEM), endpoint detection and response (EDR), network detection and response (NDR) e Extended detection and response (XDR) - combinano queste e altre tecnologie con informazioni sulle minacce continuamente aggiornate e funzionalità di risposta automatizzata agli incidenti che possono aiutare le organizzazioni a prevenire le truffe di phishing prima che raggiungano gli utenti e a limitare l'impatto degli attacchi di phishing che riescono a superare le difese degli endpoint o della rete.
La prima soluzione di XDR (extended detection and response) completa del settore creata con standard open e automazione. XDR Connect offre visibilità, automazione e informazioni contestuali approfondite su endpoint, rete, cloud e applicazioni.
Le soluzioni IBM Incident Response aiutano i team di sicurezza a gestire e rispondere in modo proattivo al phishing e ad altre minacce con l'orchestrazione intelligente, una gamma completa di servizi e gli strumenti, le competenze e le persone di IBM Security X-Force.
Proteggi i tuoi dipendenti dagli attacchi di phishing che possono compromettere la sicurezza della tua organizzazione.
Proteggi i dati sensibili della tua organizzazione dalle minacce ransomware che possono tenerli in ostaggio con le soluzioni IBM Security.
Ottieni una sicurezza personalizzata per ogni utente, ogni dispositivo e ogni connessione - in qualsiasi momento, con le soluzioni di sicurezza Zero Trust IBM.
Proteggere i dati aziendali in più ambienti, soddisfare le normative sulla privacy e semplificare la complessità operativa con le soluzioni di sicurezza dei dati.
IBM Trusteer Rapport aiuta le istituzioni finanziarie a rilevare e prevenire infezioni malware e attacchi phishing proteggendo i propri clienti business e retail.
L'orchestrazione intelligente rafforza la risposta all'incidente definendo processi ripetibili, potenziando gli analisti qualificati e sfruttando le tecnologie integrate.
Scopri come proteggere la tua organizzazione da minacce maligne o involontarie da parte di insider che hanno accesso alla tua rete.
Comprendi il tuo scenario di sicurezza informatica e assegna una priorità alle iniziative insieme ad architetti e consulenti senior di sicurezza IBM in una sessione gratuita di design thinking, in modalità virtuale o di persona, della durata di 3 ore.
Gli attacchi informatici sono i tentativi indesiderati di sottrarre, esporre, modificare, disabilitare o distruggere informazioni tramite un accesso non autorizzato a sistemi di computer.
Il ransomware è una forma di malware che minaccia di distruggere o trattenere i dati o i file della vittima, a meno che non venga pagato un riscatto all'aggressore per decrittografare e ripristinare l'accesso ai dati.
Le minacce interne provengono da utenti che dispongono di un accesso autorizzato e legittimo agli asset di un'azienda e ne abusano in modo deliberato o accidentale.
La risposta agli incidenti è la reazione sistematica di un'organizzazione a un tentativo di violazione della sicurezza delle informazioni.
La tecnologia e le best practice della sicurezza informatica proteggono i sistemi critici e le informazioni sensibili da un volume sempre crescente di minacce in continua evoluzione.