6 tipi di attacchi Phishing: il nemico più potente è quello ignoto

28 Apr 2021 | Sicuri online

Sono 522.495 i siti creati per effettuare attacchi phishing: secondo una recente indagine di Google, nel 2020 il numero è aumentato del 350%.

Non serve ricorrere a questa indagine di Google per ricordare che il fenomeno del phishing è pericoloso e sempre più frequente.
Nel mare di Internet, oggi più che mai, gli hacker hanno affinato ancora di più le loro strategie di pesca per rubare i nostri preziosi dati.
Pensaci, ti è mai capitato di ricevere messaggi mail iper personalizzati, che spesso trasmettono un senso di urgenza? Ad esempio: trasferire denaro immediatamente, aprire allegati, riscattare premi o fare clic su un collegamento apparentemente affidabile.
Se sì, si trattava di un tentativo di phishing.

Ma come possiamo difenderci da questi attacchi?

Molto spesso si pensa che per difendersi da questo tipo di attacco basti essere particolarmente attenti alle nostre email ed affidarsi alla cartella spam del software di posta elettronica che utilizziamo, ma la realtà potrebbe essere molto diversa e pericolosa.
Si tratta infatti di uno tra gli attacchi informatici a cui siamo più esposti giorno dopo giorno.
Ci sono tante tipologie di phishing, alcune meno note e proprio per questo possono coglierci facilmente di sorpresa.
Come dimostra il recente caso di Corrado Augias, nel caso della sicurezza informatica la pigrizia si paga così come l’ignoranza e non c’è nemico più potente di quello che non si conosce.
Ecco di seguito alcuni tipi di attacchi phishing che non rientrano nella definizione più nota ma che sono molto diffusi.

Spear phishing: attacco phishing personalizzato

Questa tecnica di phishing è molto pericolosa: è meno nota e si basa su un tocco più “personale” da parte di chi ci vuole truffare.

Con questa tecnica infatti i malintenzionati riescono a personalizzare la loro email di attacco con informazioni strettamente collegate al destinatario come il nome, il cognome, la posizione lavorativa, il numero di cellulare aziendale o altre.

Si tratta di un tipo di attacco phishing molto subdolo perché elude quel filtro che ognuno di noi utilizza nello scovare le truffe. Si basa sull’idea che una truffa non possa essere troppo cucita su di noi perché deve colpire più persone possibile.

L’obiettivo resta lo stesso di tutte le altre tecniche di attacco phishing: raccogliere i dati sensibili del destinatario.

E per raggiungere questo obiettivo gli hacker investono tempo nella ricerca dei loro obiettivi: impersonano un’entità fidata per rendere la mail il più (apparentemente) sicura.

Questa tipologia di attacco phishing richiede un grande numero di informazioni personali sul destinatario e per questo può essere facilmente messa in atto tramite i social media, che hanno facilmente accesso a tante nostre informazioni sensibili. Il social prediletto per questo tipo di attacco è Linkedin.

I dati raccolti illegalmente vengono poi usati per accedere ad account aziendali o personali con l’intento di rivendere i dati riservati a governi e aziende private.

Quali sono gli obiettivi degli attacchi di spear phishing? I più comuni includono:

  • Richiesta di un bonifico bancario
  • Richiesta di informazioni sensibili o proprietarie
  • Diffusione di malware
  • Rubare le credenziali di accesso ad un account

Le tecniche più utilizzate per effettuare un attacco di questo tipo sono diverse, tra cui:

  • Condivisione documenti non sicuri sui servizi di cloud: è sempre maggiore il numero di truffatori che condividono sui servizi cloud i documenti volti a rubare le informazioni dei destinatari, in questo modo riescono ad eludere i controlli dei filtri email contro i link dannosi.
  • Esplorazione dei social media: non si può certo dire che i truffatori che utilizzano questo tipo di attacco siano pigri o ignoranti. Si tratta di persone consapevoli di quanto un attacco personalizzato e preciso possa essere devastante e sono disposti ad indagare per giorni interi i profili social dei loro destinatari col solo scopo di raccogliere informazioni da poter utilizzare nell’attacco.

Che differenza c’è tra phishing e spear phishing?

Ma cosa cambia quindi dal normale phishing? Sono entrambi attacchi online agli utenti, con l’obiettivo di acquisire informazioni riservate.

Come accade anche nel caso di tutti gli altri tipi di attacchi Phishing citati in questo articolo, Phishing è un termine più ampio che indica qualsiasi tentativo di indurre le vittime a condividere informazioni sensibili come password, nomi utente e dettagli della carta di credito.

Gli aggressori spesso si travestono da entità affidabili e prendono contatto con il loro obiettivo tramite email, social media, telefonate (spesso chiamate “vishing” per phishing vocale) e persino messaggi di testo (spesso chiamati “smishing” per SMS phishing).

Gli attacchi di spear phishing, invece, prendono di mira una vittima specifica e i messaggi vengono personalizzati per rivolgersi specificamente a quella persona, con l’obiettivo di ingannare il destinatario.

Come difendersi dallo spear phishing?

  1. Sii scettico: considera se la mail ricevuta è inerente i tuoi contatti e le tue ultime attività online.
  2. Presta attenzione al mittente: verifica l’effettivo indirizzo mail del mittente. Non limitarti al nome visibile, ma guarda attentamente i dettagli aggiuntivi, ad esempio il dominio della mail. 
  3. Occhio agli allegati: se la mail contiene un allegato, prima di aprirlo verifica l’estensione, posizionandoti con il mouse sul nome del file, ma senza cliccare.
  4. Verifica gli URL e link: presta attenzione anche agli indirizzi Internet che si celano dietro ai link. Gli hacker cercano di far apparire il loro dominio come un normale indirizzo, ma con un pizzico di attenzione puoi smascherarli! Stai attento agli indirizzi abbreviati, spesso camuffati: riportali nella forma originaria oppure ignorali completamente.
  5. Impedisci il download automatico delle immagini: eviterai che programmi dannosi possano arrivare al tuo computer aprendo il messaggio. Scopri come possiamo aiutarti a tenere i tuoi dati al sicuro.

CEO Fraud: attacco phishing ai dirigenti

Questo è un tipo di attacco phishing rivolto in maniera specifica ai dirigenti delle aziende.

In questo caso i truffatori si comportano come cacciatori alla ricerca di una singola preda che può assicurare il maggior numero di guadagni.

Tramite questo attacco, infatti, gli hacker cercano di rubare i dati dei dirigenti così da poter utilizzare queste informazioni per avere accesso ai dati dell’intera azienda e di tutti i loro dipendenti.

Chi non invierebbe dati sensibili ad un dirigente se ne ricevesse la richiesta in maniera diretta via email?

Tramite queste informazioni si possono trasferire fondi, raccogliere dati da altri dipendenti etc. Le possibilità sono davvero numerose.

Ecco alcune delle tecniche più utilizzate per questo tipo di attacco phishing:

  • Conferma telefonica: tramite questa tecnica i truffatori non si fanno problemi a confermare in via telefonica la precedente email d’attacco e darle legittimità. In questo modo riescono a dare credibilità alla loro truffa pur mantenendola nascosta.
  • Utilizzo di informazioni di fornitori o distributori: in questo caso i truffatori utilizzano le informazioni dei collegamenti più diretti del dirigente destinatario della truffa così da risultare credibili.

Vishing: attacco phishing al telefono

pishing, smishing ed altre tipologie di pishingNon è detto che un attacco di phishing avvenga tramite email, il vishing è proprio un tipo di attacco phishing che non avviene tramite la posta elettronica.

In questo caso, invece di scrivere una mail i truffatori preferiscono prendere il cellulare e chiamare il destinatario della truffa.

Tramite la preparazione di un VoIP, tecnologia che permette di effettuare una conversazione telefonica sfruttando una connessione internet, i malintenzionati possono fingere di essere qualcuno di cui ci fidiamo e rubare i nostri dati sensibili.

Le tecniche utilizzate dai truffatori per mettere in atto questo tipo di attacco possono essere le seguenti:

  • La tecnica del farfugliare: quando attaccano personale del customer service all’interno di un’azienda, per esempio, i truffatori possono utilizzare la tecnica di farfugliare la risposta ad una domanda fatta dal rappresentante del personale, magari una domanda riguardo la password o altri dati sensibili, nella speranza che la risposta fornita basti e possano procedere con la truffa di rubare i dati desiderati;
  • Gergo tecnico: i malintenzionati potrebbero fingersi parte del team di supporto tecnico ed utilizzare un linguaggio volutamente specifico e gergale con l’obiettivo di indurre il destinatario a fidarsi e cedere facilmente informazioni importanti;
  • ID spoofing: tramite questa tecnica i truffatori riescono a fare in modo che il proprio numero telefonico risulti essere della stessa area geografica del destinatario, sempre per raggiungere la sua fiducia, quindi fargli abbassare le difese e così mettere in atto la trappola.

Smishing: attacco phishing via sms

L’utilizzo del telefono cellulare non limita i truffatori alla tecnica del vishing, i ladri di dati possono effettuare un attacco di smishing.

Questa tecnica consiste nell’inviare sms al destinatario della truffa ed indurlo a cliccare su un link per rubargli i dati.

Ecco alcune delle tecniche più utilizzate per mettere in atto questo tipo di attacco:

  • Download di app dannose al click del link: questo è ciò che accade più di frequente quando si clicca un link all’interno di un sms di smishing. Una volta scaricata sul dispositivo, l’app è capace di diffondere virus nel sistema operativo del dispositivo ed arrivare al punto di controllarlo interamente. Si tratta di un “cavallo di Troia” per il mobile;
  • Reindirizzamento a form che rubano i dati: gli sms implicano un utilizzo molto più personale ed intimo da parte delle persone e per questo quando li si legge la nostra attenzione è molto più bassa, così come le nostre difese. I truffatori lo sanno e non si fanno problemi ad utilizzare negli sms una tecnica che magari via email potrebbe risultare sospetta. Tramite il click sul link presente nell’sms il destinatario si ritrova ad un form in cui deve inserire i dati sensibili e, senza neanche rendersene conto, cade nella trappola.
  • Richiesta di contattare il supporto tecnico: tramite questa tecnica si fornisce al destinatario l’istruzione di contattare il supporto tecnico a causa di un problema studiato precedentemente. La vittima allora chiama il numero telefonico fornito nell’sms ed a rispondergli ci sarà un fasullo rappresentante del servizio clienti che gli chiederà i dati.

Pharming: attacco phishing tramite reindirizzamento

Più passano gli anni, più le persone sono preparate a gestire i rischi della sicurezza informati, almeno ad un livello basilare.

Il problema emerge nel momento in cui i malintenzionati si adattano all’ecosistema e rendono le proprie tattiche più elusive.

Il pharming è proprio una di queste tattiche.

Con questo attacco phishing, infatti, i truffatori abbandonano le vecchie tattiche basate sull’attirare nella trappola il destinatario ed optano per una soluzione ancor più subdola.

Tramite uno specifico attacco DNS i truffatori riescono a reindirizzare le vittime ad un sito malevolo scelto preventivamente.

Può accadere, quindi, che il destinatario digiti correttamente l’url di un sito attendibile, ma si ritrovi comunque sul sito truffa.

Ecco le tecniche utilizzate dai truffatori per effettuare un attacco di questo tipo:

  • Codice email malevolo: in questa variante di un attacco pharming i truffatori inviano una mail che è capace di modificare i file host presenti nel pc del destinatario. I file così modificati reindirizzano l’utente sul sito malevolo ogni volta che cerca di visitare un sito specifico.
  • Attacco al server DNS: in altri casi i malintenzionati possono decidere di attaccare il server DNS invece che il pc del singolo utilizzatore. In questo modo potrebbero compromettere la sicurezza di milioni di utenti che visitano uno specifico sito ospitato sul server DNS.

Angler phishing: attacco phishing sui social media

I social media sono tra i vettori più recenti per gli attacchi di phishing.

L’abbondanza di informazioni, la dinamicità delle piattaforme social e l’abitudine con cui ormai tutti ci approcciamo ad esse le rendono un luogo dove le nostre difese sono molto basse e facilmente possiamo essere vittima di attacchi di phishing, in particolare di questa tecnica specifica.

I criminali a caccia dei nostri dati possono sfruttare le informazioni presenti sui social per effettuare un attacco specifico verso di noi oppure facilmente indurci a scaricare software malevoli.

Nel 2016 migliaia di utenti Facebook hanno ricevuto un messaggio che diceva fossero stati menzionati in un post.

Il messaggio era in realtà un vero e proprio attacco di phishing costruito su due fasi:

  1. La prima fase consisteva nel far cliccare sul link presente nel messaggio e far scaricare agli utenti un’estensione Chrome dannosa;
  2. Tale estensione comprometteva la sicurezza del pc ed al prossimo rientro su Facebook il truffatore era capace di rubare l’account Facebook e poter fare quello che più preferiva con esso.

Conclusioni

I pericoli del web sono tanti ed è rischioso essere sospettosi solo quando si controlla la propria posta elettronica.

Come abbiamo visto in questo articolo, infatti, ci sono tanti tipi di attacco phishing e non tutti avvengono tramite l’invio di email.

La formazione in termini di sicurezza informatica è fondamentale per sperare di avere qualche possibilità in più contro dei truffatori che evolvono e migliorano le proprie armi sempre di più.

Il nemico più potente è quello che non si conosce e questo articolo è proprio indirizzato a far capire le diverse facce che può avere un attacco phishing.

Se desideri avere più informazioni su questo tipo di attacco, come poterlo riconoscere facilmente e cosa fare per essere più al sicuro possibile visita questo link, troverai una guida creata proprio per renderti il più preparato possibile ad affrontare questo tipo di minacce.

Se pensi che questo articolo possa essere utile anche ai tuoi colleghi e conoscenti non esitare a condividerlo, ci metti meno di 1 minuto e rendi il web un po’ più sicuro.

cyberefund emblema bianco e arancione

Difesa e Risarcimento contro i Cyber Attack

CybeRefund Srl - Società Benefit, Sede Legale Piazza Luigi Vittorio Bertarelli, 1 - 20122 Milano (MI)
P.I. e Cod. Fisc. 11076520961