Che cos'è il phishing?

Per phishing si intende quel tipo di attacco che consiste nell'inviare email malevole scritte appositamente con lo scopo di spingere le vittime a cadere nella trappola dei cybercriminali. Spesso lo scopo è di portare gli utenti a rivelare informazioni bancarie, credenziali di accesso o altri dati sensibili.

Il phishing è un esempio di social engineering: una vasta gamma di tecniche utilizzate dagli artisti della truffa per manipolare la psicologia umana. Nel social engineering rientrano anche la falsificazione, il depistaggio e la menzogna — utilizzati, tutti o in parte, negli attacchi phishing. In sostanza, le email di phishing sfruttano il social engineering per spingere gli utenti ad agire senza pensare alle conseguenze di ciò che stanno facendo.

Il termine “phishing” nacque attorno alla metà degli anni novanta, quando gli hacker iniziarono ad inviare email false per entrare in possesso di informazioni sensibili da parte di ignari utenti. Chi era coinvolto in questo genere di attività illecite via email o via telefono, era definito “phreaker”, perciò venne coniato il termine “phishing” ereditando il “ph”. Con le email di phishing i cybercriminali tentano di spingere le vittime ad abboccare all'esca. Quando ciò avviene, la vittima e l'intera organizzazione rischia di trovarsi in guai seri.

Come molti altri tipi di minacce, il phishing ebbe origine negli anni '90. Quando AOL era una popolare piattaforma di contenuti online, gli hacker si servirono del phishing e della messaggistica istantanea per spacciarsi per impiegati di AOL e spingere gli utenti a divulgare le credenziali di accesso dei propri account.

Negli anni 2000, i cybercriminali cominciarono a puntare ai conti bancari. Le email di phishing iniziarono ad essere utilizzate per entrare in possesso delle credenziali di accesso ai conti bancari degli utenti. Le email contenevano un link a un sito malevolo, in tutto e per tutto identico a quello della banca, ma con un nome di dominio leggermente differente rispetto al dominio originale (come ad esempio paypai.com anziché paypal.com). In seguito i criminali iniziarono a prendere di mira altri tipi di account, come Google e eBay per commettere frodi, furti, mandare e diffondere spam email con gli account trafugati dalle vittime.

I cybercriminali utilizzano il phishing perché è un metodo semplice, economico ed efficace. Gli indirizzi email sono facili da ottenere, e inviare email non costa nulla. Con poco sforzo e praticamente nessun costo, i cybercriminali possono entrare in possesso di dati sensibili. Chi cade vittima di phishing, può subire il furto di identità, la perdita di dati, o venir infetto da malware, inclusi i temuti ransomware.

I dati a cui i criminali sono interessati includono sia dati di identificazione personale (PII) — come i dati bancari, i numeri di carta di credito, dati fiscali e sanitari — sia dati aziendali sensibili, come liste e contatti dei clienti, segreti su prodotti e tecnologie aziendali e comunicazioni confidenziali.

I cybercriminali si servono del phishing anche per ottenere accesso agli account email, social ed altri tipi di account o per ottenere privilegi di accesso e modifica e compromettere sistemi come i terminali POS e i sistemi di pagamento. Molti dei più grandi data breach, come il clamoroso data breach del 2013 ai danni del colosso americano della grande distribuzione Target, hanno avuto inizio con un'email di phishing. Servendosi di un'email apparentemente innocua, i cybercriminali possono aprirsi un varco nell'infrastruttura aziendale e da lì espandersi.

I cybercriminali fanno leva su due fronti: la paura e il senso di urgenza. Un copione molto frequente è ad esempio informare gli utenti che il loro account è stato bloccato o verrà sospeso se si ignora l'email. La paura porta gli utenti presi di mira a non far caso ai segnali rivelatori di un tentativo di phishing in atto, dimenticandosi di ciò che hanno imparato sul phishing. Di tanto in tanto perfino gli amministratori e gli esperti di sicurezza cadono vittime del phishing.

Solitamente, la stessa email di phishing viene inviata a più persone possibile, perciò i saluti iniziali sono spesso generici.

Nel messaggio mostrato sopra non viene menzionato il nome dell’utente mentre il senso di urgenza serve a far suscitare paura nella vittima, per spingerla ad aprire l'allegato malevolo.

L'allegato potrebbe trattarsi di una pagina web, uno script shell (tipo PowerShell), o un documento Office contenente una macro dannosa. La macro e gli script possono essere utilizzati per scaricare malware o spingere gli utenti a divulgare le proprie credenziali di accesso.

I cybercriminali registrano domini molto simili a quelli dei siti originali, o in certi casi potrebbero servirsi di provider generici come Gmail. Gli attuali protocolli email permettono ancora di falsificare il mittente delle email, ma la maggior parte dei server di posta utilizzano misure di sicurezza in grado di identificare gli header delle email falsificate.

Le email di phishing spesso contengono il logo ufficiale dell'azienda, questo trucco è spesso sufficiente per ingannare un occhio poco esperto. In questi casi è importante controllare l'indirizzo del mittente, il quale non include mail il dominio ufficiale dell'azienda. Questo è soltanto uno dei segni a cui prestare attenzione, ma non è l'unico che ci permette di determinare la legittimità di un messaggio.

Nelle email di phishing, i cybercriminali utilizzano tre meccanismi principali per impossessarsi delle informazioni dell’utente: link malevoli, allegati dannosi e, moduli di compilazione falsi.

Link malevoli

Condividere link, meglio noti come URL, all'interno delle email è una pratica comune della vita di tutti i giorni, questo vale purtroppo anche per le email di phishing. In questo caso, i link indirizzano le vittime verso siti web infettati con malware. I link malevoli possono essere scambiati per legittimi e vengono incorporati all'interno di loghi e altre immagini contenute nell'email per destare meno sospetto.

Ecco un esempio di un'email ricevuta dagli utenti di un college Americano, la Cornell University. È un semplice messaggio il cui mittente appare come “Help Desk” ma in realtà non proviene affatto dall'help desk dell'università, quanto invece dal dominio @connect.ust.hk. Secondo quanto appurato dagli esperti IT della Cornell, il link incluso nell'email indirizzava gli utenti ad una pagina di login in tutto e per tutto identica a quella di Office 365. L'email aveva lo scopo di rubare le credenziali di accesso degli utenti.

Allegati malevoli

Gli allegati malevoli all'apparenza sembrano dei normali allegati, in realtà sono infettati con malware in grado di compromettere il computer e i file della vittima. Nel caso dei ransomware, un particolare tipo di malware, tutti i file salvati sul computer possono essere crittografati e resi inaccessibili. In alternativa può essere installato un keylogger in grado di catturare tutti i tasti digitati dall'utente sulla tastiera del computer, comprese ovviamente eventuali password e nomi utente. Le infezioni malware e ransomware possono inoltre diffondersi da un computer infetto ad altri dispositivi presenti nella rete, come dischi esterni, server, e sistemi cloud.

Ecco un esempio di email di phishing condiviso dallo spedizioniere FedEx sul proprio sito per mettere in guardia i clienti. L'email incoraggia i destinatari a stampare una copia della ricevuta postale allegata e portarla alla sede FedEx per ritirare un pacco che non è stato possibile consegnare. In realtà, l'allegato conteneva un virus in grado di infettare il computer della vittima. Varianti di questo particolare tipo di truffe via email sono molto comuni durante il periodo delle compere natalizie, anche se sono diffuse durante tutto l'anno.

Moduli di compilazione falsi

Le email di phishing con moduli di compilazioni falsi spingono gli utenti a fornire informazioni sensibili — come nome utente, password, numero di carta di credito e numero di cellulare. Una volta che la vittima cade nella trappola, i cybercriminali si impossessano dei dati sensibili di quest’ultima per i propri fini illeciti.

Ecco un esempio di una landing page fasulla condivisa sul sito del governo Britannico per avvertire gli utenti. Dopo aver cliccato su un link trovato all'interno di un'email di phishing, gli utenti vengono indirizzati a questa landing page contraffatta che all'apparenza sembra appartenere all'agenzia delle entrate Britannica HMRC. Agli utenti viene comunicato che spetta loro un rimborso che potranno ottenere soltanto dopo aver compilato il modulo. Questo tipo di informazioni personali possono poi essere utilizzate dai cybercriminali per diverse attività illecite, tra cui il furto di identità.

Quando riceviamo un'email la prima cosa che ci fa decidere se aprirla o meno è l’oggetto dell’e-mail. Questo i cybercriminali lo sanno molto bene. Infatti studiano con cura l'oggetto delle loro email di phishing per incutere nell'utente un senso di timore e urgenza allo stesso tempo.

Comunemente le email di phishing hanno a che fare con problemi di accesso all'account, spedizione di pacchi, comunicazioni e transazioni bancarie. Durante il periodo delle feste, sono comuni i messaggi relativi alle spedizioni false, in quanto in questi periodi molte persone sono effettivamente in attesa di qualche pacco che hanno ordinato online. Se l'utente non si accorge che l'email proviene da un dominio fasullo, è facile che cada nel tranello dei truffatori finendo per cliccare il link e divulgare i propri dati sensibili.

Nel corso degli anni il phishing si è evoluto in qualcosa di ancor più sofisticato e pericoloso rispetto al semplice furto di dati e credenziali. Il modo in cui il truffatore lancia la sua campagna email dipende dalla tipologia di phishing che desidera perpetrare. Questi sono solo alcuni delle modalità di phishing più note:

• Spear phishing: queste email vengono inviate a specifiche persone all'interno di un'organizzazione, solitamente persone con elevati privilegi di accesso nell'infrastruttura.
• Manipolazione dei link: messaggi contenenti link a siti web malevoli in tutto e per tutto simili ai siti delle aziende reali.
• Truffa del CEO: questi messaggi, anche noti come BEC (Business Email Compromise) sono inviati prevalentemente agli addetti al reparto finanziario dell'azienda presa di mira. L’obiettivo è far credere loro che il CEO o altri dirigenti dell'azienda gli stiano chiedendo di effettuare un trasferimento di denaro.
• Content injection: a volte i cybercriminali riescono ad infettare il sito web originale di un'azienda reale, da cui indirizzano successivamente l'utente su siti di phishing.
• Malware: gli utenti che aprono un link malevolo o aprono un allegato dannoso potrebbero installare inconsapevolmente malware sui propri dispositivi.
• Smishing: utilizzando messaggi SMS, i truffatori spingono gli utenti ad accedere a siti web malevoli dai propri smartphone.
• Vishing: i truffatori si servono di software in grado di mascherare la voce, per lasciare un messaggio che richiede alle vittime di contattare un numero tramite cui vengono poi truffati.
• “Evil Twin” Wi-Fi: tramite lo spoofing delle Wi-Fi gratuite, i criminali spingono gli utenti a connettersi ad hotspot malevoli, per permettere loro di utilizzare attacchi man-in-the-middle tramite cui impossessarsi dei dati sensibili dell'utente.

Il modo in cui viene messa a punto una campagna di phishing dipende dagli obiettivi dei cybercriminali. Quando prendono di mira le aziende, un classico è quello di inviare fatture fasulle per spingere gli addetti alla contabilità ad effettuare pagamenti. In questo caso, il mittente non è molto importante. Infatti, molti venditori e fornitori di servizi utilizzano i propri account email personali anche per questioni lavorative.

Il pulsante in questo esempio apre una pagina web con un modulo di autenticazione di Google finto. Tramite questa pagina, i truffatori tentano di impossessarsi delle credenziali di accesso all'account Google della vittima.

Un altro metodo utilizzato dagli hacker è spacciarsi per addetti di un servizio assistenza. L'email in questo caso richiede di installare un software di messaggistica che nasconde in realtà un malware al proprio interno o fa partire uno script che scarica ransomware sul computer della vittima. Quando ci si ritrova ad avere a che fare con email di questo tipo bisogna stare allerta e segnalare la minaccia agli amministratori di rete.

Dato che il phishing è altamente efficace, gli hacker si servono di appositi kit per il phishing, che costituiscono per così dire i componenti backend di una campagna di phishing. Il kit comprende il web server, gli elementi del sito web (ad esempio immagini e layout del sito originale), e i dispositivi di archiviazione utilizzati per raccogliere le credenziali delle vittime. Un ulteriore componente è costituito dai domini registrati per perpetrare le truffe. I cybercriminali registrano dozzine di domini per le proprie email di phishing, in modo da poter cambiare rapidamente dominio nel momento in cui i filtri anti-spam rilevano come malevolo il dominio di una campagna. Con tanti domini a disposizione, ai truffatori basterà semplicemente aggiornare il link nelle email di phishing, utilizzando il nuovo dominio, e continuare la campagna prendendo di mira nuove vittime.

I kit per il phishing sono inoltre progettati per evitare il rilevamento. Gli script che lavorano in back-end si occupano di bloccare gruppi di indirizzi IP che appartengono a ricercatori della cybersecurity e produttori di antivirus come: McAfee, Google, Symantec e Kaspersky. In questo modo impedisco a questi servizi di rilevare i domini utilizzati per il phishing. I domini utilizzati per il phishing agli occhi dei ricercatori sembreranno degli innocui siti perfettamente legittimi, ma al contempo mostreranno contenuti malevoli alle vittime della campagna di phishing.

È molto importante capire quali possono essere le conseguenze del cadere vittima di un attacco di phishing, sia in ambito domestico che lavorativo. Vediamo l'impatto che un attacco di phishing potrebbe avere:

Nella vita privata

• Furto di denaro dal conto bancario.
• Addebiti non autorizzati sulla carta di credito.
• Dichiarazioni fiscali presentate per vostro conto.
• Mutui e prestiti accesi a vostro nome.
• Perdita di foto, video, file e altri documenti importanti.
• Post e messaggi fasulli sui social media tramite il vostro account.

Nella vita lavorativa

• Furto di fondi aziendali.
• Esposizione delle informazioni personali di clienti e collaboratori.
• Sconosciuti possono entrare in possesso di comunicazioni private, file e sistemi.
• I file aziendali possono venire crittografati e diventare inaccessibili.
• Danni alla reputazione dei lavoratori.
• Esposizione a pesanti sanzioni da parte degli enti regolatori.
• Perdita di valore dell'azienda.
• Perdita di fiducia da parte degli investitori.
• Interruzione della produttività lavorativa con impatto negativo sui ricavi.

La pandemia ha modificato radicalmente il modo di lavorare della maggior parte delle aziende. Tutto d'un tratto il lavoro remoto è diventato lo standard. Se da un lato ciò è stato accolto con favore da tanti lavoratori e dalle aziende stesse, per i risparmi e in molti casi l'aumento della produttività, dall'altro lato questa traslazione ha aumentato la superficie di attacco a disposizione dei cybercriminali. Gli utenti nelle proprie reti domestiche, da cui si collegano quotidianamente con i dispositivi aziendali, non godono delle stesse misure di sicurezza e filtraggio delle email presenti nell'infrastruttura aziendale. Ciò li rende sensibilmente più vulnerabili alle campagne di phishing.

L’aumento degli attacchi di phishing durante la pandemia

Lavorando da casa è fondamentale, oggi più che mai, fornire la giusta formazione ai propri dipendenti, al fine di aumentarne la consapevolezza in materia di phishing ed altre minacce informatiche. Le truffe in cui gli hacker si spacciano per dirigenti o rivenditori ufficiali sono aumentate significativamente con la pandemia. Dato che i lavoratori si collegano da remoto alla rete aziendale, i cybercriminali possono prendere di mira direttamente i lavoratori in smart working, compromettendone i dispositivi per riuscire così ad accedere alla rete aziendale. Con lo scoppio della pandemia, gli amministratori sono stati costretti a configurare velocemente le infrastrutture aziendali per consentire l'accesso da remoto dei propri dipendenti, lasciando, per motivi di praticità, un po' da parte la sicurezza della rete. Questa urgenza forzata ha aperto pericolose vulnerabilità sfruttabili dagli hacker, molte delle quali costituite per lo più dal fattore umano.

La combinazione tra scarse misure di sicurezza e utenti che si collegano alla rete aziendale dalle proprie reti domestiche ha concesso numerosi vantaggi ai cybercriminali. Il phishing è aumentato in tutto il mondo. Google ha segnalato un aumento del 350% di siti web di phishing soltanto ad inizio 2020, subito dopo i lockdown imposti dalla pandemia.

La protezione dal phishing è un'importante misura di sicurezza che le aziende possono implementare per prevenire gli attacchi di questo tipo contro le proprie aziende e i propri dipendenti. Un'adeguata formazione per l'aumento della consapevolezza in ambito di sicurezza informatica deve ruotare attorno alla capacità di saper riconoscere i segnali specifici che contraddistinguono i tentativi di phishing. Rendere l'utente consapevole è fondamentale per ridurre la probabilità di successo di un attacco phishing. Tuttavia, essendo il comportamento umano imprevedibile, implementare ulteriori soluzioni di sicurezza contro il phishing è un fattore imprescindibile.

La formazione, con l'analisi di esempi reali di attacchi phishing e specifiche simulazioni, aiuteranno gli utenti a riconoscere questa minaccia non appena vi si troveranno alle prese. Pianificare opportune simulazioni di attacchi phishing con email indirizzate ai propri dipendenti, è un metodo molto comune tra le aziende, che permette agli amministratori di capire chi apre le email e chi clicca sui link in esse contenuti. Chi si dimostra meno attento andrà formato ulteriormente, affinché non ripeta l’errore nel caso dovesse trovarsi di fronte ad un vero attacco phishing.

Email gateway e anomalytics

Alcuni email gateway, basati sul controllo della reputazione, riescono ad individuare e classificare le email di phishing in base alla cattiva reputazione dei link inclusi nelle email. Ciò che sfugge spesso a questo tipo di strumenti, sono però quelle email più sofisticate contenenti link a siti web legittimi. Questi non risultano ancora avere cattiva reputazione, ma sono stati compromessi dai cybercriminali.

I sistemi più efficaci identificano le email malevole tramite la cosiddetta anomalytics. Questa tecnologia ricerca pattern insoliti nel traffico per rilevare email sospette e testa i link contenuti nelle email per verificare se queste fanno partire download o sfruttano exploit nelle pagine web. Questi strumenti di monitoraggio mettono in quarantena le email sospette per permettere poi agli amministratori di analizzarle e rendersi conto se è in corso un attacco di phishing o meno. Se viene rilevato un elevato numero di email di phishing, gli amministratori allerteranno il personale, così da ridurre la probabilità che l'attacco vada a buon fine.

Il panorama della sicurezza informatica è in continua evoluzione, soprattutto nell'ambito del phishing. È fondamentale per le aziende tenere aggiornati i propri dipendenti e fornire loro la giusta formazione sulle più recenti tecniche di phishing e social engineering di cui potrebbero cadere vittime. Mantenere un'elevata consapevolezza su questo fenomeno, permette di ridurre il rischio informatico e di creare una cultura della sicurezza all'interno dell'azienda.

Dopo aver inviato le vostre informazioni ai cybercriminali è probabile che i dati passino in mano ad altri truffatori. Potreste ricevere attacchi smishing o vishing, ulteriori email di phishing o perfino chiamate vocali. State sempre in guardia dai messaggi sospetti che vi chiedono informazioni personali o finanziarie.

La Federal Trade Commission americana ha messo in piedi un sito dedicato ai furti di identità per aiutare le persone a mitigare i danni e monitorare il proprio punteggio di credito. Se avete cliccato su un link o avete aperto un allegato sospetto, sul vostro computer potrebbe essere stato installato un malware. Per rilevare e rimuovere un malware, assicuratevi che il vostro antivirus sia aggiornato e tutte le ultime patch di sicurezza siano installate sul dispositivo.

Formare i dipendenti per permettere loro di riconoscere gli attacchi phishing si è dimostrato un fattore fondamentale nel prendere consapevolezza di questo fenomeno, consentendo alle aziende di non diventare la prossima vittima di phishing. Basta che un solo vostro dipendente cada vittima di phishing perché la vostra azienda diventi il prossimo caso di data breach segnalato pubblicamente.

Le simulazioni di campagne phishing costituiscono l'ultima frontiera della formazione in azienda. Il trovarsi alle prese con un attacco phishing pratico, anche se simulato, permette ai dipendenti di acquisire esperienza sul modo in cui funzionano questo tipo di attacchi. In aggiunta, molte simulazioni comprendono tecniche di social engineering, proprio come fanno i cybercriminali per aumentare l'efficacia dei loro attacchi. Le simulazioni avvengono esattamente come fossero veri e propri attacchi phishing, ma permettono di monitorare il comportamento dei dipendenti.

Programma di formazione anti-phishing

I report e l'analisi dei dati delle simulazioni permettono agli amministratori di comprendere su quali aspetti l'azienda può migliorare, scoprendo quali sono gli attacchi phishing che riescono ad ingannare i propri dipendenti. Le simulazioni che includono i link nelle email, forniscono un report che mostra esattamente chi ha cliccato su un link malevolo, quali dipendenti hanno fornito le proprie credenziali su un sito web malevolo e quali messaggi email fanno invece scattare automaticamente i filtri anti-spam. I risultati ottenuti possono essere utili per configurare correttamente i filtri anti-spam e per rafforzare la formazione all'interno dell'azienda.

I clienti Proofpoint utilizzano il programma di formazione anti-phishing e la metodologia di formazione continua riuscendo a ridurre gli attacchi phishing e le infezioni malware di oltre il 90%. Questo tipo di approccio in quattro fasi: valutazione, formazione, rafforzamento e monitoraggio può costituire le fondamenta per un valido programma di formazione sulla consapevolezza relativa al phishing all'interno di ogni azienda.