Phishing

Le truffe di phishing introducono notevoli rischi finanziari e di sicurezza per singoli e aziende. Ma questi rischi possono essere ridotti preparando gli utenti, adottando le migliori pratiche e implementando le più recenti tecnologie di rilevamento delle minacce e di risposta agli incidenti.

vista dall'alto di persone che lavorano in un ufficio
Cos'è il phishing?

Il phishing è un attacco informatico in cui un criminale, mascherato da organizzazione o persona di fiducia, invia messaggi per ingannare o manipolare le vittime affinché divulghino dati sensibili, scarichino malware o trasferiscano denaro o risorse alle persone sbagliate. Un attacco riuscito di phishing può portare a furti di identità, frodi con carte di credito, attacchi ransomware, violazioni dei dati e enormi perdite finanziarie per singoli e aziende.

Il phishing è il tipo più comune di ingegneria sociale, la pratica che consiste nell'ingannare, esercitare pressioni o manipolare le persone affinché divulghino informazioni private o sensibili come numeri di previdenza sociale e carte di credito, numeri di conto bancario o credenziali di accesso. Il phishing e altre strategie di ingegneria sociale si fondano sull'errore umano e in particolare sull'errore umano commesso sotto pressione. Gli hacker utilizzano queste tattiche perché è più facile e meno costoso ingannare le persone piuttosto che hackerare la rete di computer di un'organizzazione.

Secondo l'FBI, le e-mail di phishing rappresentano il metodo o il vettore di attacco più diffuso utilizzato dagli hacker per la realizzazione di un attacco ransomware a singoli e organizzazioni. E secondo il Cost of a Data Breach Report 2021 di IBM, il phishing è la quarta causa più comune e la seconda più costosa di violazione dei dati, con un costo medio di 4,65 milioni di dollari per violazione.


Tipologie di attacco di phishing

E-mail di phishing di massa

 Il phishing di massa tramite e-mail è il tipo di attacco di phishing più comune. Un truffatore crea un messaggio di posta elettronica che sembra provenire da una grande e ben nota azienda o organizzazione di fiducia, una banca nazionale o globale, un grande rivenditore online, i creatori di una popolare applicazione software o app e invia il messaggio a milioni di destinatari. Il phishing con e-mail di massa si basa sulla legge dei grandi numeri: più grande o popolare è il mittente impersonato, più è probabile che i destinatari siano clienti, abbonati o membri.

L'e-mail di phishing tratta un argomento che il mittente impersonato potrebbe affrontare in modo credibile e che, per attirare l'attenzione del destinatario, fa appello a forti emozioni, paura, avidità, curiosità, necessità o urgenza. Le tipiche righe dell'oggetto includono "Aggiorna il tuo profilo utente", "Problemi con il tuo ordine", "I documenti di chiusura sono pronti per la firma", "La fattura è allegata". 

Il corpo dell'e-mail richiede al destinatario di intraprendere un'azione che sembra perfettamente ragionevole e coerente con l'argomento, ma porterà il destinatario a divulgare informazioni sensibili, numeri di previdenza sociale, numeri di conti bancari, numeri di carta di credito, credenziali di accesso, o a scaricare un file che infetta il dispositivo o la rete del destinatario. Ad esempio, ai destinatari potrebbe essere richiesto di "fare clic su questo collegamento per aggiornare il proprio profilo", ma il collegamento li porta a un sito Web falso, dove questi inseriranno le loro credenziali di accesso effettive mentre apparentemente aggiorneranno il loro profilo. Oppure è possibile che gli venga richiesto di aprire un allegato che sembra essere legittimo, ad esempio "invoice20.xlsx", ma che in realtà serve a distribuire un malware o un codice dannoso sul dispositivo o sulla rete del destinatario.

Spear phishing

Lo spear phishing è un attacco di phishing che prende di mira un individuo specifico, di solito una persona che ha accesso privilegiato a dati sensibili o risorse di rete, o un'autorità speciale che il truffatore può sfruttare per scopi fraudolenti o nocivi.

Uno spear phisher studia il bersaglio per raccogliere le informazioni necessarie per fingere di essere una persona o un'entità di cui questi si fida veramente, un amico, un capo, un collega, un fornitore di fiducia o un istituto finanziario, o per fingere di essere l'effettivo individuo preso di mira. I social media e i siti di social networking, in cui le persone si congratulano pubblicamente con i collaboratori, sostengono colleghi e fornitori e tendono a condividere dettagli di riunioni, eventi o programmi di viaggio, sono diventati ricche fonti di informazioni per la ricerca sullo spear phishing. 

Armato di queste informazioni, lo spear phisher può inviare un messaggio contenente dettagli personali specifici o informazioni finanziarie e una richiesta credibile alla persona mirata, come ad esempio "So che partirai stasera per le vacanze, puoi pagare questa fattura (o trasferire $XXX.XX su questo conto), oggi prima della chiusura dell'attività?'

Compromissione dell'e-mail aziendale (BEC)

Alcune e-mail di spear phishing tentano di raccogliere ancora più informazioni, per la preparazione di un attacco su larga scala. Ad esempio, un messaggio di spear phishing potrebbe chiedere a un CEO di aggiornare le credenziali del proprio account e-mail perse durante una breve interruzione, ma fornire invece un collegamento ad un sito Web falso e doloso, progettato per rubare tali credenziali. Con la disponibilità di queste credenziali, l'aggressore avrà pieno accesso alla casella di posta del CEO: egli potrà così studiare i messaggi e-mail del CEO per acquisire ulteriori informazioni e inviare un messaggio convincente e fraudolento direttamente dall'account e-mail del CEO, utilizzando l'indirizzo e-mail effettivo del CEO. 

Questo è un esempio di Compromissione dell'e-mail aziendale (BEC), un tipo particolarmente pericoloso di attacco di spear phishing progettato per indurre i dipendenti dell'azienda a inviare somme di denaro molto ingenti o risorse preziose a un aggressore. Le e-mail BEC vengono inviate o sembrano essere inviate dagli account e-mail dei membri di rango più elevato dell'azienda o da associati di alto livello della stessa, quali avvocati, importanti business partner o grandi fornitori, e contengono dettagli sufficienti per apparire altamente credibili.

Lo spear phishing non è l'unica tecnica utilizzata per ottenere le informazioni necessarie per mettere in scena un attacco BEC di successo. Gli hacker possono anche distribuire malware o sfruttare le vulnerabilità del sistema per accedere ai dati degli account e-mail. Oppure, se non riescono ad accedere ai dati dell'account, gli hacker possono provare a falsificare l'indirizzo del mittente, utilizzando un indirizzo e-mail così simile all'indirizzo effettivo del mittente che il destinatario non noti la differenza. 

Indipendentemente dalle tecniche, gli attacchi BEC riusciti sono tra gli attacchi informatici più costosi. In uno degli esempi più noti di BEC, gli hacker che hanno impersonato un CEO hanno convinto il dipartimento finanziario della sua azienda a trasferire quasi 50 milioni di euro su un conto bancario fraudolento.


Altre tecniche e tattiche di phishing

SMS di phishing o smishing, si tratta di phishing effettuato tramite messaggi sms o su smartphone. Gli schemi di smishing più efficaci sono contestuali, ovvero relativi alla gestione degli account degli smartphone o delle app. Ad esempio, i destinatari possono ricevere un messaggio di testo in cui si offre un regalo come ringraziamento per aver pagato una bolletta wireless o in cui si chiede di aggiornare i dati della propria carta di credito per continuare a utilizzare un servizio di streaming multimediale. 

Phishing vocale o vishing, consiste in phishing tramite contatto telefonico. Grazie alla tecnologia Voice over IP (VoIP), i truffatori possono effettuare milioni di chiamate vishing automatizzate al giorno; spesso usano lo spoofing dell'ID del chiamante per far sembrare che le loro chiamate provengano da organizzazioni legittime o numeri di telefono locali. Le chiamate Vishing in genere intimoriscono i destinatari con avvisi relativi a problemi nella gestione della carta di credito, pagamenti scaduti o problemi con l'agenzia delle entrate. Le persone contattate finiscono per fornire dati sensibili alle persone che lavorano per i truffatori; alcuni concedono persino il controllo remoto dei proprio computer ai truffatori all'altro capo del telefono.

Phishing sui social , utilizza varie funzionalità di una piattaforma di social media per effettuare il phishing delle informazioni riservate dei membri. I truffatori utilizzano le funzionalità di messaggistica proprie delle piattaforme, ad esempio Facebook Messenger, messaggistica LinkedIn o InMail, DM di Twitter, più o meno allo stesso modo in cui utilizzano normali e-mail e messaggi SMS. Inviano inoltre e-mail di phishing che sembrano provenire dal sito del social network, chiedendo ai destinatari di aggiornare le credenziali di accesso o le informazioni di pagamento. Questi attacchi possono essere particolarmente costosi per le vittime che utilizzano le stesse credenziali di accesso su più siti di social media, una "pratica errata" fin troppo comune.

Messaggistica dell'applicazione o in-app. Le popolari app per smartphone e le applicazioni basate sul Web (software-as-a-service o SaaS) inviano regolarmente messaggi e-mail ai propri utenti. Di conseguenza, questi utenti sono pronti per ricevere campagne di phishing che falsificano le e-mail di fornitori di app o software. Basandosi sempre sulla legge dei grandi numeri, i truffatori in genere falsificano le e-mail dalle app e dalle applicazioni Web più popolari, ad esempio PayPal, Microsoft Office 365 o Teams, per ottenere il massimo dal loro phishing. 


Protezione dalle truffe di phishing

Formazione degli utenti e best practice

Le organizzazioni sono incoraggiate a insegnare agli utenti come riconoscere le truffe di phishing e ad applicare le best practice per gestire e-mail e messaggi di testo sospetti. Ad esempio, agli utenti può essere insegnato a riconoscere le seguenti e altre caratteristiche delle e-mail di phishing:

- Richiesta di informazioni sensibili o personali o di aggiornamento del profilo o delle informazioni di pagamento
- Richiesta di inviare o spostare denaro
- File allegati che il destinatario non ha richiesto o previsto
- Una necessità, evidente ("Il tuo conto verrà chiuso oggi...") o subdolai (ad esempio, una richiesta da parte di un collega di pagare immediatamente una fattura) minacce di reclusione o altre conseguenze non realistiche
- Minacce di detenzione o altre conseguenze non realistiche
- Ortografia o grammatica scadente
- Indirizzo del mittente incoerente o contraffatto
- Link abbreviati con Bit.Ly o qualche altro servizio di abbreviazione di link
- Immagini di testo utilizzate al posto del testo (nei messaggi o su pagine Web collegate a messaggi)

Questo è solo un elenco parziale; sfortunatamente, gli hacker escogitano sempre nuove tecniche di phishing per evitare il rilevamento. Pubblicazioni quali il Phishing Trends Activity Report  (link esterno a  ibm.com) trimestrale dell'Anti-Phishing Working Group possono aiutare le organizzazioni a tenere il passo. 

Le organizzazioni possono anche incoraggiare o applicare delle best practice che allevino la pressione sui dipendenti non chiedendogli di scovare attacchi di phishing. Ad esempio, le organizzazioni possono stabilire e comunicare policy di chiarimento, ad esempio un superiore o un collega non invierà mai una richiesta di trasferimento di fondi tramite e-mail. Possono richiedere ai dipendenti di verificare eventuali richieste di informazioni personali o sensibili contattando il mittente o visitando direttamente il sito legittimo del mittente, con modalità diverse da quelle previste nel messaggio. E possono insistere affinché i dipendenti segnalino tentativi di phishing ed e-mail sospette all'IT o al gruppo di sicurezza.

Tecnologie di sicurezza che combattono il phishing

Nonostante la migliore formazione degli utenti e le best practice più rigorose, gli utenti continuano a commettere errori. Fortunatamente, diverse tecnologie consolidate ed emergenti per la sicurezza degli endpoint e della rete possono aiutare i team di sicurezza a riprendere la battaglia contro il phishing laddove la formazione e le policy non arrivano.

- Filtri antispam combinare i dati sulle truffe di phishing esistenti e gli algoritmi di apprendimento automatico per identificare le e-mail di phishing sospette (e altro spam), quindi spostarle in una cartella separata e disabilitare tutti i collegamenti in esse contenuti.
- Software antivirus e antimalware rileva e neutralizza file o codici dannosi nelle e-mail di phishing.
-Autenticazione a più fattori (MFA) richiede almeno una credenziale di accesso oltre a un nome utente e una password, ad esempio un codice monouso inviato al telefono cellulare degli utenti. Fornendo un'ulteriore ultima linea di difesa contro le truffe di phishing o altri attacchi che compromettono con successo le password, l'autenticazione a più fattori può minare gli attacchi di spear phishing e prevenire la BEC. 
-Filtri web impediscono agli utenti di visitare siti Web dannosi noti ("siti nella "lista nera") e visualizzare avvisi ogni volta che gli utenti visitano siti Web sospetti dannosi o falsi.

Le piattaforme di sicurezza informatica centralizzata - ad es. security information and event management (SIEM), endpoint detection and response (EDR), network detection and response (NDR) and extended detection and response (XDR) - combinano queste e altre tecnologie con informazioni sulle minacce continuamente aggiornate e capacità di risposta automatizzata all'incidenza che possono aiutare le organizzazioni a prevenire le truffe di phishing prima che raggiungano gli utenti e a limitare l'impatto degli attacchi di phishing che riescono a superare le difese degli endpoint o della rete.


Soluzioni correlate

IBM Security QRadar XDR Connect

La prima soluzione di XDR (extended detection and response) completa del settore creata con standard open e automazione. XDR Connect offre visibilità, automazione e informazioni contestuali approfondite su endpoint, rete, cloud e applicazioni.


IBM Incident Response

Le soluzioni IBM Incident Response aiutano i team di sicurezza a gestire e rispondere in modo proattivo al phishing e ad altre minacce con l'orchestrazione intelligente, una gamma completa di servizi e gli strumenti, le competenze e le persone di IBM Security X-Force.


Soluzioni contro gli attacchi di phishing

Proteggi i tuoi dipendenti dagli attacchi di phishing che possono compromettere la sicurezza della tua organizzazione.


Soluzioni di protezione da ransomware

Proteggi i dati sensibili della tua organizzazione dalle minacce ransomware che possono tenerli in ostaggio con le soluzioni IBM Security.


Soluzioni di sicurezza Zero Trust

Ottieni la sicurezza per ogni utente, ogni dispositivo e ogni connessione, ogni volta con le soluzioni di sicurezza zero trust di IBM.


Soluzioni per la sicurezza e la protezione dei dati

Proteggi i dati aziendali in più ambienti, rispetta le normative sulla privacy e semplifica la complessità operativa con le soluzioni per la sicurezza dei dati.


IBM Security Trusteer Rapport

IBM Trusteer Rapport aiuta gli istituti finanziari a rilevare e prevenire infezioni da malware e attacchi di phishing proteggendo i propri rivenditori e clienti aziendali.


Soluzioni di risposta agli incidenti

L'orchestrazione intelligente rafforza la risposta agli incidenti definendo processi ripetibili, autorizzando analisti esperti e sfruttando le tecnologie integrate.


Soluzioni per la sicurezza delle minacce interne

Scopri come proteggere la tua organizzazione da minacce malevoli o accidentali da parte di personale interno che ha accesso alla tua rete.


Risorse