Skip to main content

Il Phishing

Come riconoscerlo ed evitarlo

  February 11, 2019    

Sicurezza Web - Phishing - sem-seo.it

Così come aumentano le persone che ogni giorno navigano in rete aumentano anche i rischi per la sicurezza web.

È all’ordine del giorno leggere sui giornali notizie di attacchi informatici. Si parla di tutto: furti di dati, attacchi ransomware, attacchi per minare criptovalute.

Ma qual è l‘attacco informatico più diffuso in Italia? Il Phishing.





Che cos’è il phishing?


Che cos'è un attacco di phishing - Sicurezza Web - sem-seo.it

Il phishing è un tipo di attacco informatico che sfrutta tecniche di social engineering per truffare le persone.

Funziona grossomodo così: ti arriva un’email, che sembra provenire da un indirizzo legittimo (ad esempio: Google Drive, la tua banca), che ti chiede di inserire le tue credenziali o di scaricare un file.

In realtà l’indirizzo email è falso e quando inserisci i tuoi dati questi vengono rubati. Nel caso ci sia un file da scaricare questo è un virus.

La parola Phishing in inglese significa “pescare”. Si riferisce al fatto che queste email sono paragonabili a delle “esche” a cui la vittima “abbocca”. Come vedremo ci sono tantissimi termini nel phishing che hanno a che vedere con la pesca.

Quali tipi di attacchi di phishing esistono?

Phishing: Attacchi su larga scala

Questo è un attacco fatto da un gruppo di persone che creano una email e una pagina web, le traducono in due o tre lingue e la mandano ad un numero enorme di persone, scelte completamente a caso.

Quello a cui puntano questi attacchi è ottenere il maggior numero di vittime possibili. Anche se solo l’1% dei destinatari cadono nella trappola, dato l’incredibile numero di persone a cui è stata mandata, i cyber criminali ci guadagnano.

Spesso queste email sono scritte male, provengono da indirizzi email poco credibili e rimandano ad un link chiaramente non realistico.

Ad esempio: ricevi un’email da questo indirizzo google.2532q09@gmail.com con un link che porta a www.google.2362wlibhl.com. Se guardi l’indirizzo mail ti rendi conto subito che non è un’email che proviene da Google! Ma non tutti guardano la mail del mittente.

Gli obiettivi di questi attacchi sono spesso le piccole e medie imprese o i privati.


Spear Phishing: Attacchi specifici

Spear Phishing significa pescare con l’arpione. Questo attacco si chiama così perché la pesca con l’arpione permette di pescare un pesce alla volta. Questi attacchi sono studiati specificatamente per colpire delle aziende in particolare.

Sono pianificati approfonditamente e fanno di tutto per sembrare realistici. I cyber criminali studiano gli obiettivi, scoprono tutto quello possono e solo dopo scrivono l’email. Si assicurano che sia quella, che la pagina web, che l’indirizzo mail che il ink siano il più possibile realistici.

Lo scopo di questi attacchi è rubare soldi o dati sensibili alle grandi aziende.


Whaling: Attaccare il CEO di una grande azienda

Whaling, letteralmente pesca alle balene, si riferisce ad un tipo di Spear Phishing focalizzato su una persona particolare, ad esempio il direttore di una grande azienda.

Un attacco di whaling è davvero complesso: i cyber criminali devono scoprire con chi la persona parla e come. Questo richiede tante ricerche approfondite.

Una volta scoperte queste informazione i cybercriminali si fingono una persona o azienda che ha contatti frequenti con la vittima.

Perché qualcuno dovrebbe fare un attacco così complesso? Dopotutto sarebbe più semplice fare un attacco di phishing normale.

Perché le informazioni che si possono rubare ad un direttore ti permettono di avere in mano l’intera azienda e questo è molto lucrativo.


Vishing: Phishing al telefono

Il Vishing è l’abbreviazione di Voice Phishing, ovvero gli attacchi di phishing fatti tramite telefonate.

Questi attacchi utilizzano messaggi registrati per convincere le persone a chiamare un numero di telefono e comunicare i propri dati o, per esempio, comunicare le proprie credenziali di Online Banking.





In che modo possono presentarsi gli attacchi di phishing


Attacchi di phishing - Sicurezza Web - sem-seo.it

Per adesso ho parlato solo degli attacchi che possono essere fatti fingendosi grandi società come Google o una banca.

Ho parlato di questi attacchi perché sono i più comuni e tantissime persone, privati e aziende, hanno ricevuto almeno una volta una di queste email.

Ma ci sono tantissime altre varianti di un attacco di phishing. Vediamone alcuni:

Finto curriculum

Questo tipo di attacco è uno dei più sottovalutati. Ma funziona ancora.

In passato sfruttava una vulnerabilità di Open Office, che permetteva di far eseguire del codice e quindi installare un virus nel computer della vittima tramite un documento. Ma è ancora un attacco molto attuale.

Il criminale manda decine di email, in cui si propone per una posizione in un’azienda e in allegato invia il suo curriculum.

Quando il curriculum viene aperto un virus viene scaricato sul computer.

Come proteggerti da questo attacco

Spesso nelle email dove ci si propone per una posizione ci sono dei dettagli visibili anche senza aprire l’allegato, come un numero di telefono e una breve descrizione delle esperienze della persona.

Telefona al potenziale candidato, prima di aprire il curriculum. Aprilo solo quando hai appurato che è una persona reale.

E ignora tutte le email scritte in italiano non corretto, spesso sono attacchi di phishing.


Finta fattura

Adesso che le fatture elettroniche sono arrivate questo attacco si manifesterà con un allegato in formato xml invece del vecchio pdf.

Funziona così: arriva un’email con in allegato una fattura da scaricare. La fattura in realtà è un virus che infetta il tuo computer.

Come proteggerti da questo attacco

Se ti arrivano delle email con in allegato delle fatture in formato xml mettile direttamente nello SPAM. Le fatture elettroniche sono valide solo se passano dal Sistema di Interscambio (SdI): una fattura in formato xml che ti arriva solo per email senza passare dallo SdI non è valida.


Finto pagamento

Ti arriva un’email che dice è stato effettuato un pagamento o un rimborso, a te o alla tua azienda. Per incassare questo pagamento devi inserire le credenziali della tua banca/inserire il tuo numero di carta.

Questo tipo di attacco è subdolo: fingendosi un tuo cliente che ti manda un’email dicendoti che ti deve pagare o un provider di servizi che si è reso conto di non aver applicato uno sconto ti spingono ad inserire i tuoi dati finanziari (come il numero della carta aziendale) per ricevere denaro.

Come proteggerti da questo attacco

Tieni a mente questa regola: se è troppo bello per essere vero probabilmente è una frode.


Avvisi di Disattivazione

Questo è uno degli attacchi che funziona di più. I cyber criminali, in questo caso, usano la paura e il senso di urgenza per spingerti a dare loro i tuoi dati.

Facciamo un esempio: la tua azienda ha una postepay aziendale. Un giorno ti arriva un’email dalle poste che dice che la tua carta sarà disattivata se non esegui il login nel servizio di gestione della postepay online.

Ti spaventi e, dato che la postepay aziendale ti serve e non vuoi perdere i soldi che ci sono sopra, fai il login.

Oppure: ti scrivono una mail che ti informa che i software che usi verranno disattivati se non inserisci il numero di carta per effettuare il pagamento.

Queste email possono essere anche molto realistiche, con link al sito originale, oltre che alla pagina falsa. A volte hanno all’interno banner che ti mettono in guardia dalle truffe via email.

Come proteggerti da questo attacco

Chiama l’assistenza clienti dell’azienda da cui sembra provenire la mail. In questo modo potrai verificare se i tuoi servizi/la tua carta stanno scadendo.

Finta richiesta di pagamento

Questo caso è simile a quello che abbiamo spiegato sopra, con la differenza che invece di chiedere le credenziali di accesso spesso viene richiesto un pagamento diretto per permetterti di continuare ad utilizzare un servizio.

Come proteggerti da questo attacco

In azienda si tiene traccia di tutti i pagamenti e di tutte le scadenze, oltre al fatto che quando c’è un problema con il pagamento non puoi più accedere ai servizi.

Se i tuoi software funzionano ancora, senza mostrarti avvisi e notifiche è probabilmente una truffa. Se vuoi essere sicuro puoi sempre contattare il servizio clienti.


Supporto Tecnico

Questo tipo di attacchi di phishing sono molto comuni e oltre ad arrivarti per email spesso li trovi anche online. Come funziona?

Ti arriva un’email che sembra provenire da Microsoft. L’email ti avverte che il tuo computer potrebbe essere infettato da virus. L’email ti propone un software che ti promette di analizzare il tuo computer e scoprire i virus. Oppure ti iscrivono che c’è un aggiornamento per aumentare la tua sicurezza informatica e devi scaricarlo.

Ovviamente questi software e aggiornamenti non sono veri, sono dei virus che, una volta installati nel tuo computer possono bloccarlo per chiederti un riscatto o rubarti le password dei servizi a cui accedi.

Come proteggerti da questo attacco

Normalmente gli avvisi di aggiornamento software o del sistema operativo per ragioni di sicurezza non vengono inviate via mail, le vedi direttamente nelle notifiche del tuo computer. Controlla sempre prima con il servizio clienti.

Per quanto riguarda i software per individuare virus sul tuo computer: non fidarti mai e se hai dei dubbi chiama i tuoi tecnici di fiducia prima di installare qualunque cosa.





La tua azienda è a rischio?

Tutte le aziende sono a rischio perché il phishing è uno degli attacchi più comuni. Ma il tipo di attacco varia in base alla dimensione dell’azienda.

Cosa significa?

Gli attacchi di phishing possono essere, come abbiamo detto, più o meno sofisticati.

Se sei un’azienda piccola non sarai il target di un attacco particolarmente sofisticato. Probabilmente sarai vittima di un attacco facilmente smascherabile.

Ma se sei il direttore di una banca (o hai un ecommerce) devi stare molto più attento. Gli attacchi di phishing saranno più sofisticati e sarà più difficile smascherarli.





Come riconoscere un attacco di phishing


Come funziona un attacco di phishing - Sicurezza Web - sem-seo.it

Riconoscere una mail contraffatta non sempre è facile, ma ci sono dei controlli che puoi effettuare che ti aiutano a scoprire la contraffazione. Vediamoli:

Controlla la grammatica e l’ortografia della mail

Spesso gli attacchi di phishing fatti a tappeto sono fatti in molti stati contemporaneamente. I cyber criminali scrivono una email e poi la traducono (spesso con Google Traduttore) in altre due o tre lingue. Come sappiamo tutti, Google Traduttore non è molto affidabile, quindi le mail arrivano in un italiano scorretto, con una punteggiatura strana e con frasi senza senso.

Se ricevi un’email che sembra provenire da Google o dalla tua banca che è scritta in un italiano scorretto probabilmente è un’email contraffatta.

Google e le banche possono investire in un traduttore capace, non manderanno mai email scritte in un italiano scorretto.


Controlla l’indirizzo email del mittente

Se non sei sicuro che l’email sia contraffatta cerca su internete l’email ufficiale e compararla con l’email del mittente. Facciamo un esempio: l’email del supporto di Paypal è: assistenza@paypal.it. Se ti arriva un’email sospetta da Paypal puoi controllare l’indirizzo email del mittente, se è: assistenza@pay.pal.com puoi essere sicuro che è una mail di phishing.

Un punto può fare la differenza, quindi controlla attentamente l’indirizzo del mittente.


Accedi al servizio in un’altro modo

Spesso gli attacchi di phishing utilizzano la paura per spingerti a cliccare sul link. Ma se c’è un problema con il tuo servizio di Online Banking probabilmente il messaggio di errore ci sarà anche se accedi nel tuo solito modo.

Quindi esci dalla mail senza cliccare nulla. Vai sul tuo Browser e accedi come fai di solito.

Se nel tuo profilo non ci sono avvertimenti probabilmente la mail è un tentativo di phishing. Se hai ancora dubbi puoi scrivere al servizio clienti (con la mail che trovi sul sito) e mandare in allegato la mail sospetta.


Paragona la mail che ti è arrivata con una mail precedente

Ti arriva un’email da Google che ti avverte che devi cambiare le credenziali di accesso al tuo account Gmail.

Se vuoi verificare la veridicità di questa email appena arrivata puoi confrontarla con un’email precedente che ti è arrivata da Google. Confrontandole potrai vedere se ci sono delle differenze, ad esempio nella posizione del logo, nel carattere con cui è scritta la mail o nei contatti nel piede.

Ovviamente questo non vale solo per Google, vale anche per la tua banca e tutte le altre email che potrebbero essere utilizzate.

I confronti ti permettono di vedere differenze che potresti non vedere a colpo d’occhio.





Come proteggersi dagli attacchi di phishing?


Proteggersi da un attacco di phishing - Sicurezza Web - sem-seo.it

Questi erano i passaggi servono a scoprire se una mail che ti è stata inviata è un tentativo di phishing, ma cosa puoi fare per evitare di ricevere queste email?

Ci sono quattro step per implementare il massimo livello di sicurezza. Puoi fare uno solo di questi step, ma implementarli tutti e quattro farà si che la tua azienda sia protetta il più possibile:

Utilizzare un provider mail sicuro

Ci sono tantissimi provider mail che ti offrono i loro servizi online. È molto importante utilizzarne uno sicuro e conosciuto, come Outlook, Gmail e Mail per MAC. Questi provider mail hanno liste di indirizzi mail sospetti che sono in continuo aggiornamento, quindi tantissime mail sospette non ti vengono nemmeno recapitate.

Installare un software antivirus completo

Un software antivirus che si integra con il tuo provider mail è molto utile. Ti aiuta a bloccare tutte quelle email che il tuo sistema di gestione mail non riesce a individuare e ti avverte quando ci sono degli allegati che sembrano sospetti.

Utilizzare un access point wi-fi sicuro

Ci sono tantissimi tipi di access point per il wi-fi. Scegliere un access point sicuro ti aiuta a proteggerti da tanti pericoli online, oltre che dal phishing.

Che cosa fa di particolare un access point sicuro?

Ti blocca quando cerchi di accedere ad un sito sospetto, ad esempio se un sito è stato hackerato o non ha misure di sicurezza sufficienti ti impedisce di vederlo.

Come ti aiuta a prevenire gli attacchi di phishing?

Le mail sospette spesso cercano di farti cliccare su un link che sembra lecito, ma che in realtà ti porta in una pagina in cui ti spingono ad inserire le tue credenziali.

All’occhio di una persona questo tipo di pagina non risulta sospetta. Ma quando è analizzata da una macchina lo “sporco” sale in superficie. Il tuo access point sicuro blocca il sito sospetto e non ti permette accedervi.

Fai formazione sul phishing

Il quarto step è decisamente diverso dai primi tre. Me è il più importante.

È importante che tu (o un insegnante qualificato) faccia formazione al tuo personale. La formazione permette ai tuoi dipendenti di riconoscere un attacco di phishing e di evitare di esserne vittima.

 

Scroll