Gli attacchi di phishing sono e-mail fraudolente, messaggi di testo, telefonate o siti web progettati per indurre gli utenti a scaricare malware, condividere informazioni sensibili o dati personali (ad esempio, numeri di carte di credito e di previdenza sociale, estremi di conto bancario, credenziali di accesso) o intraprendere altre azioni che espongono se stessi o le loro organizzazioni al crimine informatico.
Gli attacchi di phishing riusciti spesso portano a furti di identità, frodi con carte di credito, attacchi ransomware, violazioni dei dati e ingenti perdite finanziarie per privati e aziende.
Il phishing è il tipo più comune di ingegneria sociale, la pratica di ingannare, esercitare pressioni o manipolare le persone affinché inviino asset o risorse alle persone sbagliate. Per riuscire nell'intento, gli attacchi di ingegneria sociale contano sull’errore umano e sulle strategie di pressione. Il truffatore di solito si finge una persona o un'organizzazione di cui la vittima si fida, ad esempio un collega, un capo, un'azienda con cui la vittima o il suo datore di lavoro fa affari, e crea un senso di urgenza che spinge la vittima ad agire in modo avventato. Gli hacker e i truffatori utilizzano queste tattiche perché è più semplice e meno costoso ingannare le persone piuttosto che hackerare un computer o una rete.
Secondo l'FBI, le e-mail di phishing sono il metodo di attacco o vettore più diffuso, utilizzato dagli hacker per fornire ransomware a privati e organizzazioni. Lo studio Cost of a Data Breach 2022 di IBM ha rilevato che il phishing è la seconda causa più comune di violazione dei dati (rispetto alla quarta causa più comune dello scorso anno) e che le violazioni dei dati causate dal phishing sono state le più onerose, costando alle vittime in media 4,91 milioni di dollari.
Il phishing tramite e-mail di massa è il tipo più comune di attacco di questo genere. Un truffatore crea un messaggio e-mail che sembra provenire da una grande e nota azienda o organizzazione ufficiale - una banca nazionale o globale, un grande rivenditore online, i produttori di un'applicazione software o di un'app popolare - e lo invia a milioni di destinatari. Il phishing via e-mail è un gioco di numeri: più grande o più noto è il mittente impersonato, maggiore saranno i destinatari che verosimilmente possono essere clienti, abbonati o membri.
I criminali informatici fanno di tutto per far sembrare legittima l'e-mail di phishing. In genere includono il logo del mittente impersonato nell'e-mail e mascherano l'indirizzo e-mail del mittente per includere il nome di dominio del mittente impersonato; alcuni addirittura falsificano il nome di dominio del mittente, ad esempio utilizzando "rnicrosoft.com" invece di "microsoft.com": al fine di apparire regolare a un'occhiata veloce.
L'oggetto fa riferimento a un argomento che il mittente impersonato potrebbe affrontare in modo credibile e che fa appello a emozioni forti - paura, avidità, curiosità, senso di urgenza o pressione temporale - per attirare l'attenzione del destinatario. I contenuti tipici degli oggetti sono: "Aggiorna il profilo utente", "Problema con l'ordine", "I documenti di chiusura sono pronti per la firma", "La fattura è allegata".
Il corpo dell'e-mail indica al destinatario di intraprendere un'azione che sembra perfettamente ragionevole e coerente con l'argomento, ma che comporterà la divulgazione di informazioni sensibili (numeri di previdenza sociale, numeri di conti bancari, numeri di carte di credito, credenziali di accesso) o il download di un file che infetta il dispositivo o la rete del destinatario.
Ad esempio, ai destinatari potrebbe essere indicato di "cliccare qui per aggiornare il profilo", ma il collegamento ipertestuale sottostante li porta a un sito web falso che li induce a inserire le loro reali credenziali di accesso come parte del processo di aggiornamento del profilo. Oppure potrebbe essere loro chiesto di aprire un allegato che sembra regolare (ad esempio, "fattura20.xlsx") ma che trasmette malware o codice nocivo al dispositivo o alla rete del destinatario.
Lo spear phishing è un attacco phishing che prende di mira un individuo specifico, solitamente una persona che ha accesso privilegiato a dati sensibili o risorse di rete oppure un'autorità speciale che il truffatore può sfruttare per scopi fraudolenti o nefasti.
Uno spear phisher studia la vittima per raccogliere le informazioni necessarie per spacciarsi per una persona o un'entità di cui il destinatario si fida veramente, come un amico, un capo, un collega, un fornitore di fiducia o un'istituzione finanziaria, oppure per spacciarsi per la vittima stessa. I social media e i siti di social networking - dove le persone si congratulano pubblicamente con i colleghi, promuovono i colleghi e i fornitori e tendono a condividere eccessivamente le riunioni, gli eventi o i piani di viaggio - sono diventati fonti ricche di informazioni per la ricerca di spear phishing.
Con queste informazioni lo spear phisher può inviare un messaggio contenente specifici dati personali o informazioni finanziarie e una richiesta credibile all'obiettivo, come ad esempio: "So che stasera parti per le vacanze, ma potresti pagare questa fattura (o trasferire USDXXX.XX su questo conto) prima della chiusura dell'attività oggi?".
Un attacco di spear phishing rivolto a un dirigente di alto livello, a un individuo ricco o a qualche altro obiettivo di spessore è spesso chiamato whale phishing o whaling attack .
BEC è una classe di attacchi di spear phishing che tenta di rubare grandi somme di denaro o informazioni estremamente preziose, come ad esempio: segreti commerciali, dati dei clienti e informazioni finanziarie provenienti da aziende o istituzioni.
Gli attacchi BEC possono assumere diverse forme. I due tra quelli più comuni sono:
Truffa del CEO: il truffatore si spaccia per l'account di posta elettronica di un dirigente di alto livello o lo hackera direttamente e invia un messaggio a un dipendente di livello inferiore chiedendogli di trasferire fondi su un conto fraudolento, effettuare un acquisto da un venditore fraudolento o inviare file a un soggetto non autorizzato.
Compromissione dell'account di posta elettronica (EAC): qui il truffatore ottiene l'accesso all'account di posta elettronica di un dipendente di livello più basso, ad esempio un manager del settore finanziario, delle vendite, R&D, e lo utilizza per inviare fatture fraudolente ai fornitori, istruire altri dipendenti a effettuare pagamenti o depositi fraudolenti o richiedere l'accesso a dati riservati.
Nell'ambito di questi attacchi, i truffatori spesso ottengono l'accesso agli account di posta elettronica aziendali inviando a un dirigente o a un dipendente un messaggio di spear phishing che lo induce a divulgare le credenziali dell'account di posta elettronica (nome utente e password). Ad esempio, un messaggio come "La tua password sta per scadere. Fai clic su questo link per aggiornare il tuo account" potrebbe nascondere un link nocivo a un sito falso progettato per rubare le informazioni dell'account.
Indipendentemente dalle tattiche utilizzate, gli attacchi BEC di successo sono tra gli attacchi informatici più onerosi. In uno degli esempi più noti di BEC, gli hacker che si spacciavano per un CEO hanno convinto il dipartimento finanziario della sua azienda a trasferire 42 milioni di euro su un conto bancario fraudolento..
Il phishing tramite SMS, o smishing, è il phishing che utilizza messaggi di testo. Gli schemi di smishing più efficaci sono contestuali, ovvero legati alla gestione degli account o delle app dello smartphone. Ad esempio, i destinatari possono ricevere un messaggio di testo che offre un regalo come "ringraziamento" per il pagamento di una bolletta wireless, o che chiede loro di aggiornare i dati della carta di credito per continuare a utilizzare un servizio di streaming media.
Il phishing vocale, o vishing, è il phishing tramite chiamata telefonica. Grazie alla tecnologia Voice over IP (VoIP), i truffatori possono effettuare milioni di chiamate vishing automatizzate al giorno; spesso utilizzano lo spoofing dell'ID chiamante per far apparire le loro chiamate come se provenissero da organizzazioni legittime o numeri di telefono locali. Le chiamate di vishing di solito spaventano i destinatari con avvisi di problemi di elaborazione delle carte di credito, pagamenti in ritardo o problemi con il fisco. Quelli che rispondono finiscono per fornire dati sensibili a persone che lavorano per i criminali informatici; alcuni finiscono addirittura per concedere il controllo remoto dei loro computer ai truffatori all'altro capo della telefonata.
Il phishing sui social media utilizza varie funzionalità di una piattaforma di social media per il phishing delle informazioni sensibili dei membri. I truffatori utilizzano le funzionalità di messaggistica delle piattaforme, ad esempio Facebook Messenger, la messaggistica di LinkedIn o InMail, i DM di Twitter, più o meno nello stesso modo in cui utilizzano le normali e-mail e messaggi di testo. Inviano inoltre agli utenti delle e-mail di phishing che sembrano provenire dal sito di social network, chiedendo ai destinatari di aggiornare le credenziali di accesso o le informazioni di pagamento. Questi attacchi possono essere particolarmente onerosi per quelle vittime che utilizzano le stesse credenziali di accesso per diversi siti di social media, una "pratica terribile" molto diffusa.
Applicazione o messaggistica in-app. Le app per dispositivi mobili e le applicazioni web più diffuse (software-as-a-service o SaaS) inviano regolarmente e-mail ai propri utenti. Di conseguenza, questi utenti sono più esposti a campagne di phishing che falsificano le e-mail provenienti da fornitori di app o software. Basandosi su grossi numeri di tentativi, i truffatori in genere falsificano le e-mail di app e applicazioni web più popolari, come ad esempio PayPal, Microsoft Office 365 o Teams, per cercare di sottrarre più denaro possibile con il phishing.
Le organizzazioni sono incoraggiate a sensibilizzare gli utenti nel riconoscimento di truffe di phishing e a sviluppare best practice per gestire eventuali e-mail e messaggi di testo sospetti. Ad esempio, agli utenti può essere indicato come riconoscere queste e altre caratteristiche delle e-mail di phishing:
- Richieste di informazioni sensibili o personali o di aggiornamento del profilo o delle informazioni di pagamento
- Richieste di invio o trasferimento di denaro
- File allegato/i non richiesto/i o atteso/i dal destinatario
- Senso di urgenza, sia palese ("Il tuo account verrà chiuso oggi...") che subdola (ad esempio, la richiesta di un collega di pagare immediatamente una fattura), rischi di carcere o altre conseguenze irrealistiche
- Rischi di carcere o altre conseguenze non realistiche
- Cattiva ortografia o grammatica
- Indirizzo del mittente incoerente o contraffatto
- Collegamenti abbreviati utilizzando Bit.Ly o qualche altro servizio di abbreviazione dei link
- Immagini di testo utilizzate al posto del testo (nei messaggi o nelle pagine web collegate ai messaggi)
Questo è solo un elenco parziale; sfortunatamente, gli hacker escogitano sempre nuove tecniche di phishing per evitare di essere scoperti. Pubblicazioni come la trimestrale Phishing Trends Activity Report dell'Anti-Phishing Working Group (link esterno a ibm.com) possono aiutare le organizzazioni a tenersi aggiornate.
Le organizzazioni possono anche incoraggiare o applicare quelle best practice che alleggeriscono la pressione sui dipendenti e li istruiscono nell'individuazioni di phishing. Per fare un esempio, le organizzazioni possono stabilire e comunicare politiche chiarificatrici: un superiore o un collega non invierà mai un'e-mail di richiesta di trasferimento di fondi. Possono richiedere ai dipendenti di verificare qualsiasi richiesta di informazioni personali o sensibili contattando il mittente o visitando direttamente il sito di quest'ultimo, utilizzando mezzi diversi da quelli forniti nel messaggio. E possono insistere affinché i dipendenti segnalino i tentativi di phishing e le e-mail sospette al gruppo IT o di sicurezza.
Nonostante la buona formazione degli utenti e le best practice rigorose, gli utenti continuano a commettere errori. Fortunatamente, diverse tecnologie consolidate ed emergenti per la sicurezza degli endpoint e della rete possono aiutare i team di sicurezza a recuperare la battaglia contro il phishing laddove la formazione e i criteri vengono meno.
I filtri antispam e i software di sicurezza delle e-mail utilizzano i dati delle truffe di phishing esistenti e degli algoritmi di machine learning per identificare le e-mail di phishing sospette (e altro spam), per poi spostarle in una cartella separata e disabilitare i collegamenti in essi contenuti.
Software antivirus e antimalware rilevano e neutralizzano file o codice nocivi contenuti nelle e-mail di phishing.
L'autenticazione a più fattori richiede almeno una credenziale di accesso oltre a un nome utente e una password, ad esempio un codice monouso inviato al telefono cellulare dell'utente. L’autenticazione a più fattori può indebolire gli attacchi di spear phishing e prevenire il BEC, in quanto rappresenta un’ultima linea di difesa aggiuntiva contro le truffe di phishing o altri attacchi che compromettono le password.
I filtri web impediscono agli utenti di visitare siti web dannosi noti (siti "inseriti nella lista nera") e visualizzano avvisi ogni volta che gli utenti visitano siti web ritenuti dannosi o falsi.
Soluzioni di sicurezza informatica aziendale, come orchestrazione, automazione e risposta della sicurezza (SOAR), informazioni di sicurezza e gestione degli eventi (SIEM), rilevamento e risposta degli endpoint (EDR), rilevamento e risposta della rete (NDR) e rilevamento e risposta estesi (XDR), combinano le tecnologie sopra menzionate e altre con threat intelligence continuamente aggiornate e funzionalità di risposta agli incidenti automatizzata. Queste soluzioni possono aiutare le organizzazioni a prevenire le truffe di phishing prima che raggiungano gli utenti e limitare l'impatto degli attacchi di phishing che superano le tradizionali difese degli endpoint o della rete.
Individua minacce avanzate che altri semplicemente non riescono a cogliere. QRadar SIEM sfrutta l'analitica e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e focalizzare l'attenzione là dove è necessario, mettendo in atto le dovute misure correttive.
IBM Trusteer Rapport aiuta le istituzioni finanziarie a rilevare e prevenire le infezioni da malware e gli attacchi di phishing proteggendo i clienti retail e business.
Proteggi gli endpoint dagli attacchi informatici, rileva i comportamenti anomali e correggili quasi in tempo reale con questa soluzione di rilevamento e risposta degli endpoint (EDR) evoluta ma facile da usare.
Tenetevi aggiornati sulle novità, le tendenze e le tecniche di prevenzione del phishing su Security Intelligence, il blog della leadership di pensiero ospitato da IBM Security.
Il ransomware è una forma di malware che minaccia di distruggere o trattenere i dati o i file della vittima a meno che non venga pagato un riscatto all'aggressore per decodificare e ripristinare l'accesso ai dati.
Giunto alla sua 17a edizione, questo rapporto condivide le informazioni più recenti sul panorama delle minacce in espansione e offre consigli per risparmiare tempo e limitare le perdite.