PhishingScams01

Il Phishing: tanti modi per farci abboccare

Tra i tanti modi che usano gli hackers per attaccarci sul web, le email di phishing sono uno degli strumenti più diffusi ed efficaci. Ma che cosa è il phishing?

Il termine “phishing” deriva da “fishing” (letteralmente “pescare” in lingua inglese).

Il phishing è paragonabile ad una “pesca a strascico”: gli hacker inviano, con sistemi automatici, migliaia di email tutte uguali, sapendo che una percentuale di queste email raggiungerà lo scopo.

È una “pesca” che cerca di farci abboccare soprattutto con l’invio di email apparentemente normali, ma in realtà truffaldine. Email che sono costruite, più o meno accuratamente, per sembrare reali, come quelle che ci potrebbe inviare uno spedizioniere per comunicarci l’invio di un pacco, o come quelle che ci inviano i fornitori di servizi telefonici o di energia e che allegato fatture.

Negli ultimi anni il phishing è diventato lo strumento di attacco più diffuso. Rappresenta uno dei principali vettori di diffusione di malware, sia a livello privato che aziendale. Alcuni dati per illustrare il fenomeno:Data-breach2

  1. Le email di phishing rappresentano oltre il 75% dei vettori di attacco, come si può vedere nel grafico qui sopra. Per il 39,9% usano allegati malevoli, mentre per il 37,4% ci spingono a cliccare su link “infetti”.
  2. Nel 93% dei casi le email di phishing sono create per veicolare un Ransomware (la minaccia oggi più diffusa).
  3. Le statistiche ci dicono che nel 30% dei casi l’utente apre l’email.
  4. Non solo: il 13% degli utenti clicca anche sull’allegato (o sul link), permettendo al malware di entrare nel computer. A questo punto il disastro è fatto!

Vale qui la pena fare chiarezza su un aspetto sul quale c’è molta confusione: il computer viene infettato solo se si aprono gli allegati o si clicca sui link. Limitarsi alla lettura del testo dell’email non crea danni.

La maggioranza di queste email viene bloccata dai sistemi antispam dei nostri computer, ma inevitabilmente qualcuna (magari perché confezionata con più cura) riesce a scavalcare i nostri sistemi di sicurezza. A questo punto tutto è nelle mani (e nella testa) degli utenti.

Perché tanti utenti fanno l’errore di abboccare? Perché ci lasciamo prendere dalla fretta, perché non ci fermiamo un attimo a chiederci se quella email era attesa e se ha senso che qualcuno ce l’abbia inviata. Basterebbe veramente poco per capire che quell’email ha qualcosa di strano: per esempio posizionando il mouse sull’indirizzo del mittente (ma, mi raccomando, senza fare clic!) per vedere se l’indirizzo email è diverso da quello che appare. Consiglio anche di passare il mouse sul link e leggere il link: se quello che leggiamo ha qualcosa di strano, meglio evitare di cliccare!

Esiste una variante del phishing molto più subdola e pericolosa: è quella che si chiama SPEAR PHISHING, dove “Spear” significa fiocina: in questo caso il “pescatore” non tenta una pesca a strascico, ma mira ad un preciso obbiettivo, che potrebbe essere per esempio una certa azienda.

L’obbiettivo di un attacco di spear phishing viene accuratamente selezionato e studiato. Gli attaccanti acquisiscono una conoscenza delle vittime e le email inviate vengono preparate appositamente per catturarne l’attenzione ed indurle in errore. In questo caso potremmo trovarci davanti ad email non più inviate con sistemi automatici, ma piuttosto personalizzate con nomi ed informazioni dettagliate. Non ci troveremo davanti email con errori ortografici e traduzioni più o meno sgangherate e quindi diventa molto più difficile smascherare l’email che ci arriva. E questa, molto probabilmente, non sarà neppure stata bloccata dall’antispam, proprio perché costruita con più cura.
In questi casi è solo l’utente che può fare la scelta e quindi diventa ancora più importante il “fattore H” (the human factor) cioè la persona.

In molti casi le email di phishing utilizzano anche le tecniche del “social engineering” (ingegneria sociale) per essere più efficaci nel far abboccare l’utente.
Che cosa è il “social engineering“, conosciuto anche come “human hacking“?
Semplicemente gli hacker puntano a FREGARE IL PROSSIMO CON LA PSICOLOGIA, cercando di indurre l’utente a fidarsi del contenuto del messaggio che mandano e quindi ad eseguirne i comandi.
Il social engineering è fatto apposta per aggirare gli strumenti di protezione installati sui computer: quando il sistema non ha falle da sfruttare, si punta sulle debolezze e sulla curiosità delle persone.
In altre parole: siamo noi ad aprire la porta all’attaccante che bussa!
Il Social engineering funziona particolarmente bene nei social network, dove è noto che le persone abbassano la guardia e sembrano credere a qualunque cosa gli venga inviata.

Ma i rischi sui social network sono tanti e così variegati da meritare una trattazione a parte. Al prossimo articolo!

A cura di Giorgio Sbaraglia

Consulente e formatore in Sicurezza Informatica

www.giorgiosbaraglia.it

0 comments on “Il Phishing: tanti modi per farci abboccareAdd yours →

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>