Stai cercando in cosa consista la minaccia del phishing e come proteggerti da questo tipo di attacco? Sei arrivato sul sito giusto! In questo articolo infatti spiegherò in dettaglio cosa è il phishing e come difendersi al meglio, perché nonostante il lavoro anche notevole di tutte le suite antivirus sul mercato, dei vari gestori di posta elettronica, Google e altre istituzioni informatiche, quando si parla di phishing, la difesa migliore è la consapevolezza.
Ad oggi, hacker e criminali informatici in generale hanno a disposizione un arsenale per accedere in un modo o in un altro alle tue informazioni, dalle credenziali di Facebook, a quelle della tua banca online, fino a qualsiasi informazione personale che possa essere ritenuta utile ai loro scopi. Ma dove malware, virus e spyware non possono arrivare, grazie ad antivirus più o meno efficienti; proprio come alle elementari, il modo migliore rimane quello di chiedere.
Vista la lunghezza di questa guida completa al Phishing, ho suddiviso il testo in sezioni e, per consertirti di usufruirne al meglio, ecco l’indice, così da poter saltare direttamente alla parte che ti interessa se non dovessi volerla leggere tutta!
Phishing – Di cosa stiamo parlando?
Il phishing è un crimine informatico in cui gli hacker, spacciandosi per figure autorevoli, come rappresentanti del servizio clienti o altre fonti attendibili di aziende o istituzioni note, invitano le vittime a fornire loro volontariamente le proprie informazioni personali (credenziali di accesso a siti web, carte di credito, ecc.).
Al 2019, il phishing rimane uno dei metodi più efficaci per ottenere informazioni personali volte a effettuare truffe informatiche (ma non solo), questo perché non fa affidamento su file malevoli come virus o malware per “rubare” le informazioni dal computer del malcapitato, che possono essere intercettati da servizi di sicurezza come antivirus o anche semplicemente dal proprio gestore email (Google con Gmail svolge un ottimo lavoro in questo senso), ma mirano a convincere l’utente a offrire il tutto di spontanea volontà, in modi a volte anche troppo credibili.
Come funziona un attacco di Phishing?
Solitamente, questo tipo di attacchi informatici avviene tramite email (vedi ad esempio il tentativo a nome di Agenzia delle Entrate-Riscossione o quello a nome di Banca d’Italia), ma anche tramite SMS (come quelli più recenti a nome di Poste Italiane e PosteInfo) e telefono.
Un attacco di phishing tradizionale potrebbe svolgersi nel seguente modo:
- Ricevi un’email dalla tua banca, che ti informa che il tuo conto è stato bloccato per motivi di sicurezza o per delle informazioni mancanti.
- La mail, ti informa che per risolvere il problema dovrai accedere a una pagina web indicata per confermare la tua identità e fornire le informazioni necessarie.
- A questo punto, cliccando sul link della mail, verrai portato alla pagina, che solitamente riproduce abbastanza fedelmente il sito originale e potrai accedere inserendo le tue credenziali.
Arrivati a questo punto è irrilevante se dopo ci sia qualche modulo da compilare per fornire ulteriori informazioni, i mittenti dell’attacco informatico avranno già ottenuto quello che stavano cercando, potendo così accedere a tuo nome al sito originale della tua banca. Non puoi neanche fare affidamento sull’autorizzazione 2FA (autorizzazione a due fattori), visto che se dovessi inserire la OTP ricevuta tramite messaggio sul tuo telefono, sicuramente sarà utilizzata subito per accedere al tuo conto (vedi la truffa “nuovo sistema PSD2” ai danni degli utenti di Poste Italiane).
L’esempio del conto bancario però non è in alcun modo l’unico modo in cui potresti essere invitato a fornire le tue credenziali o altre informazioni personali. Tra i tentativi di phishing più comuni infatti troviamo anche i seguenti inviti:
- Aggiornare i propri contatti
- Ripristinare un conto o un abbonamento
- Consentire un bonifico (ovviamente in entrata)
- Richiedere un rimborso o un pagamento
- Sbloccare una carta o un conto
Nota che nella stragrande maggioranza dei casi, le richieste tendono a trasmettere un senso di urgenza.
I vari tipi di Phishing
Esistono diversi tipi di attacchi di phishing, che si distinguono sia per il genere di bersaglio (target più o meno specifico) sia per il metodo (mezzo di comunicazione, tecnologia). Vediamo subito le tipologie principali di questo attacco.
1. Deceptive Phishing – Il phishing ingannevole
È senz’altro il tipo di attacco più diffuso. Questo tipo di truffa prevede, come nell’esempio sopraccitato una mail da un mittente noto come la propria banca, il proprio capo, o magari anche un’azienda o un servizio a cui siamo iscritti come PayPal e Netflix. Al bersaglio viene richiesto di accedere a un sito o di fornire, anche rispondendo alla stessa, le proprie credenziali. Le email sono solitamente inviate in massa, sperando che qualche malcapitato abbocchi all’esca.
2. Spear Phishing – Il phishing su misura
Questa tecnica aggiunge un tocco più personale all’approccio. Molto diffuso tramite social network, lo Spear Phishing invita sempre ad accedere a un sito fornendo le proprie informazioni personali, ma in questo caso l’invito ci arriva da una “persona nota”, come un collega o un amico. In generale l’invito iniziale tende a fare leva su un legame personale con il mittente, non a caso è più diffuso su LinkedIn e Facebook, dove è possibile reperire più informazioni sulle vittime per personalizzare il più possibile “l’esca” (rientrano più o meno in questa categoria i tentativi di phishing a nome Adecco e la recente campagna spam che diffonde il Dharma Ransomware, pur non essendo phishing nel senso più tradizionale).
3. Whale Phishing o Whaling – Caccia alle balene
Anche noto come “CEO Fraud”, si tratta di una versione più rifinita dello Spear Phishing, mirata a manager e a ruoli esecutivi nelle aziende. Il Whaling non prova solo a ottenere le informazioni del bersaglio in sé, ma fa leva sul suo ruolo lavorativo, provando quindi a ottenere anche credenziali e altri dati sugli impiegati dell’azienda stessa, costituendo un pericolo anche per chi non è coinvolto in prima persona nella truffa.
4. Vishing – Le truffe telefoniche
Come ho accennato sopra, non tutto il phishing arriva tramite email. Il Vishing infatti è un metodo che utilizza il Voice over Internet Protocol (VoIP) per fingere una chiamata da enti e istituzioni autorevoli, provando quindi a ottenere informazioni personali senza richiedere necessariamente l’accesso a una pagina web.
5. SMiShing – La truffa via SMS
Le truffe via telefono non passano solo per le chiamate, lo SMiShing infatti è un tipo di attacco effettuato tramite SMS. I messaggi hanno dinamiche simili a quelle utilizzate per il primo tipo, ma passando per SMS e quindi aggirando i provider di email, vengono bypassati i controlli dei contenuti, motivo per il quale ultimamente sta spopolando con truffe come quelle del “blocco delle utenze postali” a nome di Poste Italiane e PosteInfo. Un altro punto fondamentale dello SMiShing è che, vista la diffusione degli smartphone, molte persone potrebbero preferire cliccare sul link alla pagina web direttamente dal messaggio di testo nel telefono, dove antivirus e altri software di sicurezza informatica sono molto meno frequenti rispetto ai PC.
Alcuni esempi di SMiShing:
- “Abbiamo sospeso le sue utenze postali” – PosteInfo
- “Aggiornare i dati al nuovo sistema PSD2” – Poste Italiane
- “Stiamo cercando di metterci in contatto con te” – Amazon
6. Pharming – Avvelenare l’acqua per prendere il pesce
Se tutti i metodi che abbiamo visto finora hanno in comune un contatto diretto con la vittima, il Pharming è molto più insidioso e quindi pericoloso. Con il tempo infatti, l’utenza di Internet diventa sempre più consapevole e attenta alle proprie abitudini online, diventando prede più difficili per le truffe tradizionali. Il Pharming aggira questo problema, intervenendo direttamente sui DNS (Domain Name System) del servizio Internet dei malcapitati. I DNS convertono gli indirizzi IP numerici dei vari siti su cui navighiamo in nomi di domini, così che a noi basta scrivere “www.microsoft.com” per andare sul sito della Microsoft, senza dover inserire l’indirizzo IP del sito della società. Il Pharming attacca direttamente il DNS, facendo sì che inserendo l’indirizzo di un sito, verremo portati al clone malevolo su un altro indirizzo IP, senza che neanche possiamo accorgercene.
Ecco i principali metodi di Phishing utilizzati al momento. Paura? Non preoccuparti, adesso è il momento di scoprire come difendersi al meglio da queste truffe informatiche!
Come difendersi dal Phishing
Come abbiamo visto finora, gli attacchi di phishing possono assumere molte forme e non esiste un solo metodo per proteggersi che sia valido per qualsiasi tentativo. Fortunatamente però basta un po’ di consapevolezza e informazione, quindi vediamo subito quali sono i sistemi migliori per rimanere al sicuro!
1. Controllare sempre URL e indirizzi email
Il primo consiglio può sembrare banale, ma non è necessariamente così scontato. Le mail di phishing spesso arrivano da indirizzi email che provano a replicare quanto più possibile quello del servizio originale, anche sfruttando bug grafici dei font di testo utilizzati sul PC. Ad esempio, non è raro che le “n” diventino “r” o “h” e viceversa, come potrebbe succedere con “Amazor.com”. Un altro classico è l’utilizzo intercambiabile della i maiuscola “I”, al posto della L minuscola, come potrebbe essere con “posteitaIiane”. Ovviamente questi sono solo alcuni degli esempi, dovrai essere molto più attento.
Per quanto riguarda gli URL delle pagine su cui veniamo invitati a cliccare, vale lo stesso avvertimento, ma dobbiamo stare attenti anche al dominio stesso, perché non riporta sempre e necessariamente “errori” di ortografia. Le truffe a nome di Poste Italiane sopracitate infatti invitano ad andare agli indirizzi sicurezza-clienti.com, sblocco-poste.com e sblocca-subito-poste.com. Come vedi, nessuno di questi URL riporta errori, ma semplicemente non sono quelli ufficiali di Poste Italiane.
Infine, se il link alla pagina non mostra direttamente l’indirizzo web, ma è un invito come “Accedi al contenuto” (come la truffa a nome di Agenzia delle Entrate-Riscossione), prima di cliccare passa il puntatore del mouse sul collegamento e quindi controlla l’indirizzo web che apparirà in basso a sinistra nel tuo browser. A prescindere da come vieni invitato a una pagina sospetta, ti consiglio l’installazione di Web of Trust, un’estensione per browser che contrassegna sin dal link la validità della pagina collegata (leggi la mia recensione e guida all’utilizzo di Web of Trust).
2. Se sembra troppo bello per essere vero, non lo è
Hai ricevuto una mail che ti notifica di un bonifico in arrivo di cui non sai niente? Hai vinto un iPhone X o hai l’opportunità di comprarlo a 1 Euro? Amazon ti offre un rimborso per un acquisto che non hai fatto o per uno per cui non l’hai mai richiesto? Anche oggi, una gioia domani. Che nessuno regali niente non dovrebbe essere una sorpresa, ma per sicurezza sarebbe il caso di ricordarselo sempre quando riceviamo mail inaspettate che ci informano di strabilianti buone notizie.
3. Confermare con la fonte originale
Alcune volte, hacker e criminali informatici in generale riescono ad assumere il controllo di un indirizzo email “vero”. Per questo in casi di email sospette o che richiedono informazioni fuori dalla norma è sempre bene contattare direttamente l’ente interessato, chiamando il servizio clienti o scrivendo a uno degli indirizzi email forniti sul sito ufficiale, l’importante è che questo controllo si svolga in modo slegato rispetto alla mail sospetta, quindi non basta rispondere alla stessa.
4. Usare solo connessioni sicure
Quando stiamo fornendo informazioni sensibili su Internet, dovremmo sempre assicurarci che il sito sia cifrato tramite protocollo HTTPS. Per sapere se il sito utilizza questo protocollo, basta cliccare sulla barra degli indirizzi del nostro browser e visualizzare l’indirizzo completo della pagina (https://www.indirizzoweb.it).
Inoltre, dovremmo evitare quanto più possibile di fornire tali informazioni da connessioni sconosciute o Wi-Fi pubbliche, visto che non possiamo sapere con certezza chi stia guardando il nostro traffico e perché. Per essere più sicuri, consiglio l’utilizzo di una VPN (leggi la mia guida alle VPN), in quanto cifrano il proprio traffico sulla rete e possono aiutarci a evitare anche gli attacchi di Pharming.
5. Utilizzare provider di posta elettronica affidabili
Ad oggi, la maggior parte dei gestori di posta elettronica di qualità offre un livello di protezione aggiuntivo da attacchi di phishing e email spam. Ad esempio, Outlook e Gmail hanno a disposizione un database esteso su truffe e altri messaggi malevoli e riescono in tantissimi casi a bloccare le minacce ancora prima che arrivino ai nostri occhi.
6. Installare un buon antivirus con una suite di sicurezza online
I migliori antivirus sul mercato (come Norton, Avast, Avira, ecc…) ormai offrono quasi sempre una suite per la sicurezza online, che include difese da phishing e altre frodi informatiche che si possono trovare navigando su Internet. Che tu stia già utilizzando Gmail, Outlook o un altro provider di posta elettronica, gli antivirus offrono un ulteriore livello di protezione da queste minacce, avendo a loro volta a disposizione un database da cui attingere per proteggere la tua sicurezza e le tue informazioni personali.
7. Segnalare i potenziali attacchi
Anche se dovessi aver capito subito che un messaggio di testo o di posta elettronica è in realtà un tentativo di frode informatica, contatta sempre l’ente a cui fa riferimento la truffa. Così facendo potrai segnalare la minaccia, offrendo alle varie società l’opportunità di adottare delle contromisure e di inviare delle notifiche ai propri utenti avvisandoli della truffa in corso.
Guida al Phishing – Conclusioni
Direi che adesso sai tutto quello che c’è da sapere sul Phishing, cosa è, come funziona e come difenderti. Ricordati sempre che l’unico modo di essere protetto è di non fornire informazioni personali a meno che tu non sia sicuro al 100% che la fonte sia attendibile e, anche in quel caso, vale la pena perdere qualche minuto in più per esserne ancora più sicuro.
Dal primo riferimento al phishing nel lontano 1987, i tentativi di questa tipologia di truffa si sono moltiplicati all’inverosimile, rimanendo ad oggi una delle minacce più temibili per l’utenza informatica, tanto domestica quanto aziendale. Ma dove le altre minacce informatiche attaccano il tuo computer o dispositivo, il phishing attacca direttamente te, quindi alla fine l’unica difesa anti-phishing di cui hai veramente bisogno sei tu.
Ti è piaciuta la mia guida completa al Phishing? C’è qualche truffa che vorresti condividere per assicurarti che nessuno ci caschi o cerchi aiuto per contrastarne una? Commenta o scrivimi, sarò felice di aiutarti come posso!
Hai bisogno di una mano per assicurarti che il tuo computer sia protetto come meriti? Contattami e vedrò come posso aiutarti! Inoltre, se abiti a Roma o dintorni, dai un’occhiata ai servizi di assistenza per computer a domicilio o in laboratorio per computer fissi e PC portatili notebook!
Caricamento...