Cos'è il phishing? Ecco tutto ciò che devi sapere

Cos'è il phishing? Come la pesca vera e propria, non è divertente essere alla fine del gancio. Ma è lì che ogni utente web moderno si troverà probabilmente ad un certo punto del suo tempo online. Che si tratti di un'e-mail falsa promettente di milioni di persone, di un chiamante che afferma di provenire dalla tua banca o di un modulo di accesso al sito Web contraffatto, il phishing è ovunque. La cosa spaventosa? È più redditizio che mai.

A differenza di molte moderne minacce al nostro io digitale, però, le truffe di phishing sono esistite da secoli in forma più classica e decenni nella loro più recente . Ci sono nuovi metodi e nuovi vettori di attacco oggi, ma tutto ciò che fanno è sfruttare i nuovi mezzi di comunicazione per eseguire le stesse truffe secolari che hanno ingannato per sempre le persone incaute.

Ingegneria sociale

Cybersecurity Pay-and-Pray

Il componente principale di qualsiasi truffa di phishing è l'ingegneria sociale . Questa è la pratica di indurre l'utente a credere che la persona, l'email o la pagina web con cui hanno a che fare sia legittima. È manipolazione psicologica per commettere frodi. Una forma digitale di classici trucchi di fiducia per incoraggiare la divulgazione di informazioni personali.

L'uso più classico dell'ingegneria sociale nel phishing è con la posta elettronica. La truffa del principe nigeriano è ben nota, ma ha anche le sue forme più moderne sui social media . Altre varianti del tema includono telefonate, e-mail o messaggi di social network che provengono dalla tua banca e che vogliono che tu faccia clic su un link o un'email che sembra provenire da un collega che ha un disperato bisogno di aprire un allegato. In alcuni casi, ciò porta a siti dannosi che continuano l'attacco di phishing, ma possono anche scaricare software dannoso che circola nel malware per un attacco combinato.

In tutti i casi, gli attacchi di phishing basati sull'ingegneria sociale incoraggiano l'utente a partecipare a un'azione che non è consigliabile. Possono usare il linguaggio per suggerire che il tempo è essenziale, fare appello alla buona natura o suggerire familiarità per esercitare ulteriore pressione sulla potenziale vittima.

Una buona regola generale per evitare tali truffe è considerare il vecchio adagio di "è troppo bello per essere vero" e non fare mai clic sui collegamenti all'interno delle e-mail. Quando si tratta di allegati, chiedere ai colleghi di distribuirli su piattaforme di condivisione file è più sicuro e meno suscettibile alla manipolazione rispetto alle e-mail che possono essere facilmente falsificate per sembrare che provengano da un luogo legittimo.

Forme fasulle

Una forma più pratica di phishing implica la falsificazione di più di una semplice email. In alcuni casi interi siti web, o almeno le loro pagine di accesso, sono falsificati per dare ulteriore sensazione di legittimità. Potrebbero usare indirizzi web apparentemente simili, illustrazioni copiate e scelte progettuali e persino certificati di sicurezza, a seconda della complessità della contraffazione.

Come per le truffe via email, i siti Web di phishing sono progettati per incoraggiare la vittima a separarsi dalle proprie informazioni personali. Un falso sito bancario o social network potrebbe rubare le tue credenziali di accesso. Un falso scambio Bitcoin potrebbe provare a rubare la tua criptovaluta.

Sebbene meno comune, la forma più sofisticata di spoofing del sito Web implica l'utilizzo di un buco di sicurezza in un sito Web legittimo per dirottarlo. Quando le vittime tentano di accedere, in realtà inseriscono le loro informazioni in un falso modulo di accesso o concedono agli hacker la possibilità di accedere a quel sito contemporaneamente a loro.

Il modo migliore per evitare tali attacchi è quello di assicurarsi sempre di essere effettivamente sul sito giusto, non uno con un URL simile, e di essere sospettosi di eventuali richieste di accesso a sorpresa. In caso di dubbi, digita l'indirizzo Web che sai essere al sicuro nel tuo browser web anziché utilizzare i link.

Phishing mirato

Il phishing è generalmente piuttosto generico con gli attaccanti che cercano di liberare la rete per cercare di catturare quante più potenziali vittime possibili. Questo è particolarmente importante ora che la maggior parte dei browser Web moderni impiegano misure di sicurezza anti-phishing. Tuttavia, alcuni degli attacchi di phishing più efficaci hanno avuto successo perché erano mirati. La pratica di utilizzare informazioni specifiche sulle persone, forse raccolte da precedenti attacchi di ingegneria sociale o malware, è nota come spear phishing.

Lo spear phishing può assumere le sembianze di e-mail, telefonate o messaggi istantanei più o meno allo stesso modo degli attacchi più generali. Utilizzeranno tattiche disarmanti come l'uso del nome o le informazioni personali preferite che potrebbero sembrare provenire solo da una fonte legittima. Questo può essere a scopo di guadagno monetario, ma ci sono stati anche casi in cui è stato impiegato allo scopo di spionaggio industriale e manipolazione politica .

Secondo uno studio di Keepnet del 2017, l'attacco di spear phishing mediamente riuscito sulle imprese ha sottratto agli attaccanti 1,6 milioni di dollari, rendendolo molto più redditizio di altri tipi di attacchi digitali.

Un'altra forma di phishing più nota come "whaling" può essere ancora più redditizia. Si rivolge in particolare a individui e aziende con un elevato patrimonio netto allo scopo di truffarli senza soldi o di ottenere un accesso digitale di alto livello a un'organizzazione.

Gli attacchi di spear phishing sono, per loro stessa natura, molto più difficili da individuare ed evitare a loro volta. Tuttavia, è importante ricordare che si basano sulle stesse tecniche manipolative di altre truffe di phishing. Vogliono le tue informazioni. Se sei molto attento alle informazioni che fornisci e al contesto in cui lo offri, dovresti essere relativamente al sicuro da tutte le forme di phishing.

È possibile ridurre ulteriormente i problemi associati all'attacco di phishing utilizzando password univoche su tutti i servizi e archiviandoli in un gestore di password avanzato .

( Fonte )