Phishing

Phishing”, un termine che chiunque usi la rete dovrebbe conoscere

 

 

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale

 

Qualunque utente ha avuto modo di imbattersi nel tempo in questa vera e propria piaga. Phishing è una trappola online che mira a rubare informazioni personali. Non per caso il nome, derivato da una forma modificata dell’inglese fishing, letteralmente “pescare”, richiama, per concetto, l’espressione italiana dell’ “abboccare” utilizzata in un contesto di raggiro o truffa.

Al Phishing si possono ricondurre diverse definizioni, come:

  • il tentativo di indurti con l’inganno a condividere informazioni personali online
  • un elevato livello di SPAM
  • insidiose formea di posta elettronica indesiderata
  • tecniche illecite utilizzata per appropriarsi di informazioni riservate

Sostanzialmente, si tratta di un tipo di truffa effettuata tramite Internet attraverso cui un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni.
Riguardo questa pratica possiamo tipicamente individuareE si sviluppa solitamente attraverso tre fasi che, rimanendo nella metafora legata alla pesca, è possibile sintetizzare come:

  • gettare l’esca
  • dare lenza
  • catturare il “pesce”

Gettare l’esca: corrisponde all’attività del malintenzionato che prepara la trappola. La tipologia della vittima può essere casuale, nel caso di attacchi massivi e generalizzati non mirati ad un particolare destinatario, o specifica, in caso di attacchi mirati ad un determinato obiettivo o una categoria di soggetti. Una volta che l’esca è pronta, la trappola scatta quando la vittima abbocca.

Dare lenza: è un’attività tipica delle truffe più elaborate, dove serve “sfiancare” la vittima che non abbocca subito ma presenta una predisposizione a cedere.

La cattura: il soggetto che crede, infine, abbocca e fornisce informazioni che lo riguardano a malintenzionati che useranno quelle informazioni per ottenere un illecito guadagno e/o per danneggiare in qualche modo la vittima.
Solitamente alla cattura segue il momento in cui il soggetto raggirato prende consapevolezza di essere stato vittima di un’attività fraudolenta.

 

phishing 01 1200x900 1

 

Gli approdi privilegiati per chi realizza attacchi di phishing sono sostanzialmente quelli che si legano all’esperienza online degli utenti. In particolare: email, SMS, siti web e social.

Email: Il tramite più tipico fra quelli con cui il Phishing svolge la sua attività è rappresentato dalla posta elettronica. Ecco una tabella riepilogativa di alcune situazioni tipo:
Naturalmente esistono anche altre tipologie o situazioni in cui le casistiche precedenti vanno a incrociarsi per aumentare la possibilità di riuscita.

SMS: nell’era dei social e dei sistemi di messaggistica l’uso di strumenti quasi dismessi torna ad essere una fonte di rischio: proprio dove l’attenzione cala, lì si annida l’insidia.
SMS con inviti a cliccare su link per conferme di prenotazioni, annullamenti di consegna oppure perfino per sentire sedicenti messaggi in segreteria hanno, tendenzialmente, lo scopo di individuare una futura vittima di ulteriori attacchi o aggredire il credito residuo della SIM portando la vittima a chiamare numerazioni a pagamento.
Non sono inusuali finti SMS di consegne di pacchi, prenotazioni inesistenti con richiesta di conferma o di annullamento, sms informativi da finti istituti di credito o da poste con comunicazioni di sedicenti blocchi.

Siti web: esistono siti dalla parvenza istituzionale, realizzati con lo scopo di far provare un senso di sicurezza a colui che ha raggiunto quell’indirizzo magari cliccando distrattamente su di un link presente in e-mail.
Diffidare sempre dei link forniti e svolgere una ricerca autonoma è un buon modo per non incappare in queste trappole.

Social: tramite account finti, creati ad arte, contatti diretti da account fasulli, pubblicità dall’aspetto di notizie, notizie finte, “catene di sant’Antonio” i criminali riescono a raccogliere informazioni sui soggetti che possono poi servire a sferrare attacchi sempre più diretti ed efficaci per carpire informazioni e talvolta soldi alle vittime.
Effetto “Eco” o del “Pescatore ignaro”: un esempio tipico è quello del “re-posting” o del “messaggio inoltrato” da parte di soggetti ben intenzionati.
Suggerendo di rispondere, come chi inoltra il post ha fatto a sua volta, si crede di agire per il bene, da qui la forza del messaggio persuasivo che spesso accompagna questo spam, tuttavia rispondere all’SMS può confermare all’attaccante che quel numero appartiene ad un soggetto pronto a rispondere a “stimoli” di numeri che non conosce.
È sempre opportuno un controllo tramite canali ufficiali e mai chiamando il numero mittente.

Chiamate Vocali: tecnica “vecchia scuola” ma come gli SMS torna in auge nel momento in cui la soglia di attenzione si abbassa. I malintenzionati, spesso spacciandosi per fornitori di servizi di telefonia e rete internet o come operatori di banca e poste, cercano di prendere contatti con la vittima e ottenere informazioni preziose o accessi informativi (a PC con controlli remoti o direttamente a username e password) da poter riutilizzare.

In numerose campagne di phishing, a prescindere dalla tecnica utilizzata, c’è un denominatore che accomuna un po’ tutti i tentativi di phishing e le truffe online in genere: la volontà di colpire l’utente sfruttando le sue debolezze, anche a livello commerciale.

Novità, offerte e promozioni generose sono spesso utilizzate per fare breccia fra gli utenti. E lo dimostrano tutte quelle campagne malevole – condotte via mail, ma non solo – che hanno per oggetto la possibilità di aggiudicarsi facilmente premi di carattere tecnologico, iPhone in primis.

Gli attacchi di questo genere sono utilizzati in molti modi e per diversi scopi, per indurre gli utenti incauti a visitare un sito e inserire le proprie informazioni personali. Possono riguardare, in questo caso, le credenziali finanziarie come le password dei conti bancari o i dettagli della carta di credito, o ancora i dati di login agli account dei social media.

Se sottratte, queste informazioni possono essere sfruttate per condurre diverse operazioni illecite, come il furto di denaro o la compromissione delle reti aziendali. Per questo motivo, il phishing è un metodo molto diffuso per avviare un’infezione. Inoltre, il phishing è un metodo di attacco efficace perché è praticato su larga scala. I criminali informatici aumentano le loro possibilità di carpire le credenziali di vittime ingenue inviando numerose email a nome di istituzioni legittime o promuovendo pagine false.

 

phishing 02 1200x684 1

Rischi e possibili conseguenze

Dal Phishing possono derivare conseguenze spiacevoli dirette o indirette.
Conseguenze dirette: a seconda della tipologia di informazioni diffuse possono derivare:

  • Furti di identità da cui possono seguire attività, come ad esempio, intestazione di fatture, consegne indesiderate, o persino sostituzione di persona;
  • Perdite economiche dirette, nel caso sia stato comunicato il numero di carta di credito o si sia pagato per un prodotto o servizio inesistente;
  • Ulteriori tentativi di truffa. Ormai i criminali associano all’utenza, o al nome e cognome della vittima, un soggetto che se adeguatamente “sfiancato”, può cadere in una trappola;
  • Estromissione dall’accesso a determinati servizi, nel caso venissero compromesse credenziali di accesso come username e password dei siti internet o della posta elettronica.

Conseguenze indirette: le informazioni accessorie raccolte dai criminali possono servire a colpire, ad esempio, i componenti della cerchia sociale. Possono scaturire:

  • Comunicazioni inviate a nome della vittima a parenti o colleghi;
  • Richieste di informazioni fatte a nome del raggirato;
  • Danni reputazionali legati a pubblicazione di contenuti inappropriati su social network;
  • Frizioni o diminuzione della fiducia sul posto di lavoro;
  • Raggiri a danno di soggetti deboli (minori e anziani) o non “digitalmente alfabetizzati” con una soglia di resistenza più bassa di quella della vittima stessa.

Questi sono solo alcuni esempi delle conseguenze, più o meno gravi, che nascono tutte da un attacco di Phishing.

 

phishing 03 1200x675 1

Come difendersi?

È evidente che il Phishing è un’attività subdola e solo parzialmente legata al mondo tecnologico. Il punto su cui fa leva questa metodologia è sempre una caratteristica della vittima più che lo strumento da utilizzato. Si voglia per stanchezza, per disattenzione, per eccessiva bontà d’animo, per estrema ingenuità, per pigrizia o per mancata formazione ci sono dei momenti o dei contesti in cui il rischio di abboccare ad un tentativo di phishing aumenta.

Insomma, spesso non si tratta solo di poca conoscenza o di poca attenzione alle regole basiche della cybersecurity. A volte il cervello dell’utente funziona in un modo un po’ diverso rispetto a come vorrebbero i guru della sicurezza IT, soprattutto quando si lasciano trarre in inganno dalle tecniche di ingegneria sociale.

Ebbene sì, l’ingegneria sociale si avvale della sociologia e della psicologia per elaborare delle tecniche, grazie alle quali si crea un ambiente che porta a un risultato predeterminato.

I cybercriminali fanno leva sulle paure delle persone, sulle loro emozioni e sui riflessi per ottenere accesso a informazioni da utilizzare per i propri scopi. E questa sorta di “scienza” viene ampiamente applicata nella maggior parte degli attacchi mirati moderni.

La più forte difesa che si può utilizzare contro questa attività deriva dal nostro atteggiamento individuale e dalla nostra attenzione. Cerchiamo di essere la difesa migliore per noi stessi e per la nostra cerchia sociale usando ragionevole diffidenza e gli strumenti tecnologici idonei – come quelli indicati in alcuni articoli qui sotto – ad aumentare ulteriormente la sicurezza dei nostri sistemi pur senza affidarsi esclusivamente a questi.

 

Se vuoi maggiori informazioni sull’argomento e su temi correlati, contatta i nostri mediatori creditizi lasciando un messaggio attraverso la form di contatto che trovi qui.