Phishing
Gli attacchi di phishing sono messaggi digitali o vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software intenzionalmente dannoso, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano abilmente messaggi di phishing in modo che abbiano caratteristiche grafiche e sonore che li facciano sembrare provenienti da un'organizzazione o da un individuo affidabile o credibile, a volte anche da un individuo che il destinatario conosce personalmente.
Esistono molti tipi di phishing scam:
E-mail di phishing in massa vengono inviate a milioni di destinatari contemporaneamente. Sembrano inviate da una grande e nota azienda o organizzazione—una banca nazionale o mondiale, un grande rivenditore al dettaglio online, ecc.—e presentano una richiesta generica, ad esempio "stiamo riscontrando un problema nell'elaborazione del tuo acquisto, ti preghiamo di aggiornare le informazioni relative alla tua carta di credito". Spesso, questi messaggi includono un collegamento dannoso che porta il destinatario a un sito Web falso che acquisisce il nome utente, la password, i dati della carta di credito e altro del destinatario.
Lo spear phishing si rivolge a uno specifico individuo, solitamente un individuo con accesso privilegiato a informazioni sugli utenti, alla rete di computer o ai fondi aziendali. Un truffatore farà ricerche sulla vittima designata, spesso utilizzando i social media, per creare un messaggio che sembri provenire da qualcuno che la vittima designata conosce e di cui si fida o che faccia riferimento a situazioni con cui la vittima designata ha familiarità. Il whaling è un tipo di spear phishing che prende di mira un individuo di alto profilo, ad esempio un CEO o un politico. Nell'attacco di tipo BEC (business e-mail compromise - compromissione dell'e-mail aziendale), l'hacker utilizza credenziali compromesse per inviare messaggi di posta elettronica dall'account e-mail effettivo di un'autorità, rendendo la truffa molto più difficile da rilevare.
Il voice phishing, or vishing è un attacco phishing condotto tramite chiamate telefoniche. Le persone solitamente si imbattono nel vishing nella forma di chiamate registrate minacciose che si dichiara provengano da un organo investigativo nazionale.
Lo smishing, ovvero phishing tramite SMS, è un tipo di attacco di phishing tramite messaggio di testo.
Phishing dei motori di ricerca è un attacco che vede gli hacker creare siti Web dannosi con alti livelli di classifica nei risultati di ricerca di Google per termini di ricerca popolari.
L'angler phishing è un attacco phishing tramite account di social media fittizi, mascherati da account ufficiali dei team del servizio ai clienti o del supporto clienti di aziende affidabili.
Secondo l'IBM Security X-Force Threat Intelligence Index 2023, il phishing è il principale vettore di infezione del malware, identificato nel 41% di tutti gli incidenti. Secondo il rapporto Cost of a Data Breach 2024, il phishing è il vettore di attacco iniziale che porta alle violazioni dei dati più costose.
Adescamento
L'adescamento adesca (non è un gioco di parole) le vittime a fornire consapevolmente o inconsapevolmente informazioni sensibili o a scaricare codice maligno, tentandole con un'offerta di valore o addirittura con un oggetto di valore.
La truffa del Principe nigeriano è probabilmente l'esempio più noto di questa tecnica di ingegneria sociale. Esempi più attuali includono download di giochi, musica o software gratuiti ma infetti da malware. Ma alcune forme di adescamento sono a dir poco ingegnose. Ad esempio, alcuni attori delle minacce lasciano unità USB infettate da malware dove le persone le troveranno, le prenderanno e le utilizzeranno perché "ehi, è una chiavetta USB gratuita".
Tailgating
Nel tailgating, detto anche "piggybacking", una persona non autorizzata segue da vicino una persona autorizzata in un'area contenente informazioni sensibili o asset di valore. Il tailgating può essere condotto di persona: ad esempio, un attore di minacce può seguire un dipendente attraverso una porta non chiusa a chiave. Ma il tailgating può essere anche digitale, come quando una persona lascia un computer incustodito mentre è ancora connesso a una rete o un account privati.
Pretexting
Nella tecnica del pretexting, il truffatore crea una situazione fittizia per la vittima e si presenta come la persona giusta per risolverla. Molto spesso (e molto ironicamente) il truffatore afferma che la vittima è stata colpita da una violazione della sicurezza e, quindi, si offre di risolvere la situazione se la vittima fornirà informazioni importanti sull'account o concederà il controllo del proprio computer o dispositivo. Tecnicamente parlando, quasi ogni attacco di ingegneria sociale comporta un qualche livello di utilizzo della tecnica del pretexting.
Quid pro quo
In una truffa quid pro quo, gli hacker propongono un bene o un servizio desiderabile in cambio delle informazioni sensibili della vittima. False vincite di concorsi o premi fedeltà apparentemente innocenti ("grazie per il tuo pagamento, abbiamo un regalo per te") sono esempi di stratagemmi quid pro quo.
Scareware
Considerato anche una forma di malware, lo scareware è un software che sfrutta la paura per indurre con l'inganno le persone a condividere informazioni riservate o a scaricare malware. Lo scareware assume spesso la forma di un falso avviso delle forze dell'ordine che accusano l'utente di un crimine o di un finto messaggio dell'assistenza tecnica che avverte l'utente della presenza di malware sul suo dispositivo.
Watering hole attack
Facendo riferimento alla frase "somebody poisoned the watering hole" - "Qualcuno ha avvelenato la pozza d'acqua", gli hacker immettono codice nocivo in una pagina web legittima, frequentata dalle loro vittime designate. Gli attacchi watering hole sono responsabili di tutto, dal furto di credenziali ai download involontari di ransomware drive-by.