il phishing cos'è? Una spiegazione semplice.

Aggiornato il: lug 7

Autore: Massimiliano Brolli

Data Pubblicazione: 30/06/2021

Il phishing cos'è? E' una parola inquietante, non è vero?


Entrata nel gergo comune dagli anni 90, il phishing è sinonimo di truffa ed è un vettore di attacco sempre più pericoloso.


Nel tempo, questo genere di attacchi sono divenuti sempre più sofisticati, prendendo di mira un numero sempre maggiore di persone causando danni importanti sia agli individui che alle organizzazioni.



Questo significa che nonostante ci siano differenti soluzioni anti-phishing, il phishing è un problema più grande che mai perché è difficile stare al passo con i progressi dell'ingegneria sociale e con l'arte dell'hacking.


Questo ci deve far capire che dietro le soluzioni di sicurezza, i filtri antispam, le protezioni perimetrali, gli antivirus, è sempre l'utente l'anello più debole della catena e che non esiste nessun sistema di sicurezza capace di sostituire una buona consapevolezza al rischio.


il phishing cos'è? Analizziamo il fenomeno.

Secondo diversi rapporti, il 20% delle violazioni è collegato al phishing. Sebbene questo risulti in calo rispetto al passato, è ancora oggi uno tra i vettori di attacco che con buone probabilità causa una violazione dei dati.

Il 96% degli attacchi di phishing arriva tramite e-mail. Il resto avviene tramite siti Web malevoli e solo un 1% tramite telefono. Quando viene eseguito utilizzando la voce e un telefono, lo chiamiamo vishing, mentre quando è fatto tramite messaggio di testo SMS, lo chiamiamo smishing .



Cosa significa phishing

Il phishing (appunto dall'inglese pescare) significa utilizzare delle tecniche per ingannare un grande numero di utenti a fornire ad esempio delle credenziali valide all'accesso ai propri dati sensibili o ai dati dei sistemi di una azienda, oppure far eseguire degli allegati che contengono malware, come ad esempio i ransomware.


Ad esempio, il malintenzionato crea delle mail che simulano a livello grafico una grande organizzazione (generalmente finanziaria), riportando nel corpo della mail che per evitare il blocco di un conto corrente, o di una carta di credito, l'utente deve accedere al sito e dare una determinata conferma.



Si fa generalmente leva sul senso di urgenza e di pericolo, hackerando la consapevolezza umana per poter portare l'utente ad effettuare una azione indesiderata che, a posteriori, non sarebbe stata svolta.


L'utente "pescato" a questo punto clicca su un link apparentemente corretto ma che porta l'utente, ad esempio su una piattaforma specchio (un sito fake esattamente uguale all'originale, ma controllato dai malintenzionati), per recuperare i dati di accesso delle vittime.


La storia

Il primo tentativo di phishing, venne descritto nel 1987 anche se la prima menzione del termine phishing risulta di gennaio 1996, coniata nel newsgroup usenet, nota rete di scambio di informazioni americana.


Successivamente, il phishing ha sempre avuto un trend in costante aumento, tanto che nel 2004 era divenuto una parte completamente affermata dell'economia del cybercrime e il nome di questi fenomeni venne cambiato in "campagne di phishing" proprio per la grandezza dei volumi praticati verso gli utenti.


Nel corso degli anni tutte le grandi organizzazioni hanno avuto la propria campagna mirata di phishing, partendo da America Online, fino ai big quali facebook, Google, Apple... e tutti ma dico tutti gli istituti finanziari.



Le tipologie di phishing

Esistono delle distinzioni negli attacchi di phishing. Oltre al Phishing tradizionale (chiamiamola pesca a strascico), abbiamo diverse sue evoluzioni.


Lo spear phishing

Si parla di "Spear phishing", quando la campagna prende di mira una persona oppure una intera organizzazione, quindi più targettizzato rispetto al primo.


Spesso abbiamo parlato su RedHotCyber di come poter reperire delle mail di una determinata azienda. Dalle collezioni di databreach ai servizi di ricerca online, fino ad arrivare a strumenti evoluti di OSINT, oggi è possibile con semplicità ottenere queste informazioni, anche perché un indirizzo aziendale un impiegato è difficile che lo cambi nel tempo.


Il clone phishing

Si parla di Clone phishing quando una mail legittima viene modificata negli allegati o nei link per poi essere inoltrata, dichiarando di essere una versione aggiornata e aggiungendo cose da fare, che ovviamente saranno malevole.


Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta.


Il whaling phishing

E poi sempre più in alto... con il Whaling phishing, ma detta in italiano, caccia alla balena, caccia ai pesci grossi.

Infatti, questa variante è indirizzata verso le figure apicali di grandi organizzazioni, come ad esempio un amministratore delegato e ai suoi vice president, generalmente simulando problemi legali o amministrativi da gestire.



Come per lo spear phishing, si parte dalle mail aziendali ed una volta recuperate, utilizzando linkedin, è possibile comprendere con grande precisione l'organigramma dell'azienda che si vuole violare. A questo punto il gioco è semplice come starete immaginando, non è vero?


Come difenderci dal phishing

Le infrastrutture di posta mettono oggi a disposizione dei buoni filtri chiamati anti spam, ma ciò nonostante, molta posta ancora transita indisturbata e arriva nelle nostre caselle di posta, quindi la prima protezione, l'arma definitiva risulta come sempre una buona consapevolezza al rischio.


Le mail di phishing possono essere individuate dal testo, che può presentare errori di ortografia, dovuti ad una errata traduzione automatica (anche se questo oggi accade sempre più di rado rispetto al passato), o dai link, che sottendono siti differenti da quelli della vera organizzazione che la mail sta simulando.



Ma certe mail di phishing sono davvero notevoli, fatte veramente bene, ma piccole differenze nel link, alle volte impercettibili ad una vista veloce, come anche una sola lettera invertita, possono far capire all'utente di non cliccare sulla mail in quanto si tratta di una mail di phishing.

Per verificare questi link, è possibile se presenti all'interno di una mail in HTML, per link nascosti da un testo, posizionare il cursore sopra a tale testo "senza cliccarci sopra", attenzione senza cliccarci sopra. Il client di posta generalmente visualizzerà il link di accesso, pertantoc verificatelo prima di fare qualsiasi azione.


Conclusioni

Se avete nella casella di posta una mail di dubbia provenienza, aumentate drasticamente la vostra attenzione e inutile dire di non cliccare su nessuno ma dico nessun allegato in quanto moltissime infezioni da ransomware cominciano proprio così e una volta cliccato nel posto sbagliato, si va in contro a colossali problemi, specie se una azienda è molto indietro nella sua postura cyber.



Il consiglio spassionato per frenare il fenomeno del phishing è quello di fare dei corsi ai vostri dipendenti e praticate costanti esercitazioni per vedere come nel tempo evolve la consapevolezza al rischio nella vostra organizzazione.


Per riconoscere queste email occorre una buona preparazione. Non tutti oggi sono in grado di comprendere senza un buon addestramento le piccole differenze e la "malizia" presente in una mail di phishing rispetto ad una mail autentica.