Phishing: cos'è e come prevenirlo

Data di pubblicazione: 23 Ottobre 2023

Così come le innovazioni tecnologiche hanno potenziato, aumentato e migliorato il parco di strumenti a disposizione dell’uomo, di pari passo sono aumentati i rischi legati all’ambito della sicurezza informatica. Una delle metodologie più gettonate e frequenti con cui i cybercriminali prendono il sopravvento su pc, reti e sistemi è lui: il phishing.

Di cosa si tratta? Cos’è un attacco di phishing, come si svolge e quali sono le principali tipologie? Scopriamo di più.

Indice dei contenuti

Cos’è il phishing o un attacco di phishing?

Il suo nome deriva dal verbo inglese “to fish”, pescare. Questa tecnica di truffa ricorda l’atto della pesca in quanto l’attaccante lancia un amo, in attesa che la vittima “abbocchi”. Il tentativo avviene prettamente nell’universo digitale: il phishing, infatti, si svolge esclusivamente nel mondo online. In base allo strumento utilizzato dall’attaccante, è possibile suddividere la tecnica di phishing in sotto-tecniche specifiche:

Chi subisce un phishing attack si ritrova, inconsapevolmente, a fornire informazioni sensibili (password, numeri di carte di credito e altre informazioni private) a un criminale. Quest’ultimo sfrutta sofisticati metodi di ingegneria sociale per spingere l’utente a rivelare le informazioni sensibili, spacciandosi per una persona fidata o per un’istituzione legittima.

I phishing attack, per definizione, vengono sferrati con l’obiettivo di ingannare l’utente, tendendogli il cosiddetto amo. Questo genere di crimine informatico, infatti, deve il suo nome all’attività sportiva della pesca: fishing, pescare in inglese, rappresenta la perfetta metafora di un classico phishing attack.

Viene teso un amo e la vittima viene spinta ad abboccare a tale amo: due dei vettori più frequenti sono le e-mail o il messaggio di testo. Questi due contenuti provengono da un account fittizio, intestato a un’organizzazione affidabile (un istituto bancario noto, un ufficio governativo, oppure viene utilizzato il nome e cognome di un collega di lavoro, di un amico della vittima). Le comunicazioni vengono studiate e realizzate con l’obiettivo di spingere l’utente a cliccare su un link, visitare un sito web oppure compiere un’altra azione. Spesso una delle leve utilizzate dai criminali informatici è il terrore: in questo caso, il messaggio vuole spaventare la vittima e spingerla a compiere un’azione affinché possa evitare presunte conseguenze nefaste.

Quando l’utente “abbocca” all’amo, cliccando sul link, viene reindirizzato su un sito web apparentemente legittimo. Qui gli viene richiesto di accedere utilizzando le proprie credenziali. Quindi l’utente sprovveduto inserisce il nome utente e la password generalmente utilizzate sull’omonimo (ma legittimo) sito web.

Il cybercriminale ha raggiunto il suo obiettivo: le informazioni inserite dall’utente vengono direttamente trasmesse al criminale. Egli potrà riutilizzarle per intercettare gli accessi ai conti bancari, per rubare l’identità dell’utente commettendo altre truffe o crimini di varia natura, o potrebbe decidere di rivendere i dati sul mercato nero (ovvero, nel deep web o dark web).

I phishing attack sono vere e proprie truffe tese a ingannare l’utente, sfruttando la sua ingenuità, la fretta e la mancanza di formazione adeguata contro una minaccia phishing. Oltre allo scenario precedentemente descritto, che vede l’utente truffato cedere inconsapevolmente alcuni dati ai cybercriminali, i phishing attack nascondono un’altra, pericolosa variante: il virus informatico.

I criminali sono soliti sferrare phishing attack anche quando l’obiettivo è quello di infettare un dispositivo (hardware o software, collegato al pc), un sistema o un’intera rete. Anche in questo caso, viene fatto un utilizzo malevolo della e-mail, la quale presenta un allegato.

Il malware può celarsi dietro qualsiasi genere di file: una fattura, un avviso di avvenuta consegna di un pacco, una contravvenzione. I virus, dal financial malware al trojan banking, possono essere trasmessi in formato .exe, .doc o .pdf. Quando l’allegato malevolo viene scaricato, il virus si attiverà e infetterà il dispositivo, l’account di posta elettronica e probabilmente tutta la rete a cui essi sono associati.

Quali sono gli obiettivi di un phishing attack? Gli hacker per definizione utilizzano queste truffe informatiche per trafugare dati personali (nome, cognome, codice fiscale, numero di carta di credito, password e credenziali di accesso) generalmente a scopo di lucro. Rivendono i dati, li utilizzano per effettuare altre truffe. Oppure, possono sferrare attacchi di phishing con obiettivi più complessi: attaccare un’azienda specifica o un’organizzazione, con la finalità di danneggiarla, chiedere un riscatto, avanzare minacce persistenti (APT) e diffondere ransomware.

Quali sono le fasi di un attacco di phishing?

Sono principalmente due le fasi di un phishing attack:

l’utente riceve una e-mail o una comunicazione apparentemente legittima. La comunicazione ha l’obiettivo di attirare l’attenzione dell’utente e sembra essere stata inviata da un mittente affidabile. In genere la comunicazione ha sempre una nota di urgenza;
se l’utente cade nella trappola, si ritrova a fornire informazioni riservate. In questo caso, il criminale ha raggiunto il suo scopo. A volte, l’utente viene convinto a scaricare un file che in realtà si rivelerà essere un malware.

Una fase “nascosta” all’utente è la primissima fase di un phishing attack: si tratta del frangente durante il quale il criminale raccoglie informazioni in merito alla sua vittima. L’hacker scopre alcuni dettagli riguardo l’utente per poter stabilire, con lui, una connessione forte. È sfruttando questa connessione che il criminale riesce a convincere l’utente a svolgere l’azione desiderata.

I tipi di phishing

I phishing attack sono tanto subdoli quanto insidiosi, poiché non esiste un unico modello di attacco di phishing. Ma ne esistono diversi, tutti tesi a ingannare l’utente. Vediamo quali sono i principali tipi di phishing attack.

E-mail phishing

Trattasi della più comune e diffusa tipologia di phishing attack, spesso formulata sulla base della tecnica “spray and pray”, che prevede l’invio di una e-mail fraudolenta di massa al maggior numero di indirizzi e-mail a disposizione. Le e-mail fraudolente tendono a mettere fretta all’utente, informandolo che il suo account è stato manomesso e che occorre il suo intervento nel minor tempo possibile. Se la vittima abbocca, cliccando su un collegamento fittizio e inserendo le proprie credenziali, l’attacco di phishing ha ottenuto successo: i dati personali e le informazioni sensibili sono divenute preda del truffatore.

Vishing

Questo tipo di phishing attack prevede l’utilizzo del telefono come veicolo di attacco. Durante un attacco vishing la vittima viene truffata mediante una telefonata, che trasmette un messaggio vocale automatico da parte di una presunta organizzazione affidabile (una banca, un ente governativo o un’istituzione). In questo caso la leva utilizzata per convincere l’utente a fornire le informazioni personali (numero di previdenza sociale, credenziali della carta di credito) è la verifica dell’identità, necessaria a sospendere presunte attività illecite svolte a nome dell’utente.

Spear phishing

Questo genere di phishing attack è molto complesso in quanto nasce da un’analisi minuziosa da parte del criminale. Invece di utilizzare la tecnica “spray and pray”, il criminale crea una comunicazione mirata, su misura per la vittima. In questo modo, l’hacker abbina le informazioni per poter creare una comunicazione quanto più credibile possibile, in grado talvolta di ingannare anche utenti più esperti. Questo tipo di minaccia, molto grave per le imprese, può avere come conseguenza delle perdite molto elevate. Gli obiettivi principali di un attacco di spear phishing sono, infatti, dipendenti che si occupano dell’autorizzazione ai pagamenti. L’e-mail fraudolenta mira a convincere il dipendente ad autorizzare il pagamento di una grossa cifra a un fornitore o a un’azienda collaboratrice, mentre invece i soldi vengono inviati direttamente al criminale.

Clone phishing

Questi attacchi di phishing prevedono la duplicazione (o clonazione) di una e-mail legittima, inviata precedentemente e contenente un link o un allegato. Il phisher, ovvero l’hacker impegnato in un phishing attack, sostituisce il link o il file in allegato con materiali infetti. Se l’utente abbocca, la minaccia può potenzialmente espandersi a tutta la sua rete di contatti, da quelli privati a quelli professionali.

Whaling

Il phisher, in questo caso, prende di mira un “pesce grosso”, ovvero una personalità importante come il CEO di un’azienda. In questo caso, l’attività di profilazione ruba al phisher parecchio tempo. Se l’attacco di phishing va in porto, però, l’hacker può ottenere l’accesso a un numero illimitato di informazioni e credenziali che coinvolgono praticamente tutta l’azienda.

Sneaky phishing

Una versione avanzata della truffa online. Lo sneaky phishing utilizza delle tecniche raffinate che mettono in grande difficoltà i mezzi di protezione e prevenzione, anche l’autonticazione a due fattori vacilla di fronte alla raffinatezza delle pratiche introdotte da questa tpologia di phishing.

Pharming

Gli attacchi di phishing del genere pharming, molto sofisticati, si concretizzano quando il phisher indirizza l’utente verso un sito web fraudolento, che all’apparenza sembra del tutto legittimo. In questo caso, a differenza di un phishing attack classico, l’utente accede a link malevoli pur digitando su un URL reale (e corretto).

Social media phishing

Un phishing attack che coinvolge i social media come Facebook, Instagram, Twitter o Tik Tok prende il nome di social media phishing. Anche in questo caso, l’obiettivo dell’attacco è quello di indurre l’utente a cliccare su link malevoli e convincerlo a cedere informazioni sensibili. Spesso il phisher crea account fittizi fingendo di essere una persona che la vittima conosce, oppure può creare un account di customer care di un brand, per poter truffare le persone che contattano il brand per ricevere assistenza.

Un tipico attacco phishing nei Social media

Esempi di phishing

La prima arma di difesa contro gli attacchi di phishing è la consapevolezza e l’attenzione. Vista la rilevanza e le possibili conseguenze di un phishing attack, è importante approfondire l’argomento mostrando degli esempi concreti, che possono rendere più reale la minaccia.

E-mail phishing: esempio

Nel dicembre 2020 Elara Caring, un operatore sanitario attivo negli Stati Uniti, ha subito un importante phishing attack svolto ai danni di due dipendenti. L’attacco, concretizzatosi mediante l’ausilio di una e-mail fraudolenta, ha consentito agli hacker di accedere e prendere possesso dei due pc presi di mira. Il risultato è stato una violazione di sicurezza di livello esponenziale: gli hacker hanno trafugato i dati sensibili (nomi, informazioni bancarie e finanziarie, numero di previdenza sociale, dati della patente) di oltre 100.000 pazienti.

Spear phishing: esempio

Anche le imprese più attente e importanti del mondo possono subire un phishing attack. È il caso di Armorblox, colpita da un attacco di phishing nel 2019. La vittima, in questo caso, era un dirigente dell’azienda al quale è stata inoltrata una particolare e-mail. Quest’ultima conteneva un allegato, che all’apparenza sembrava essere un documento finanziario interno. Il dirigente, però, è stato indirizzato verso una finta pagina di accesso a Microsoft Office 365, che conteneva già il nome utente del dirigente. Ciò ha reso l’inganno più verosimile e il dirigente ha fornito la password, cadendo in trappola.

Whaling: esempio

Tessian ha annunciato di aver subito un phishing attack nel novembre 2020. La vittima è stato il co-fondatore dell’hedge fund australiano, il quale ha ricevuto una e-mail contenente un collegamento Zoom fasullo. Cliccando sul collegamento, la vittima ha scaricato inavvertitamente un malware che ha infettato l’intera rete aziendale. Il danno è stato ingente: il criminale è riuscito a emettere circa 8,7 milioni di dollari di fatture fraudolente.

Smishing: esempio

Tripwire è stata colpita, nel settembre 2020, da una campagna di smishing. Gli hacker, in questo caso, hanno sfruttato l’immagine dell’ufficio postale degli Stati Uniti. Hanno inviato un messaggio SMS nel quale si invitava a cliccare su un collegamento fraudolento per conoscere informazioni importanti riguardo una consegna imminente. Il collegamento portava le vittime su diverse pagine web, per convincerle a cedere le credenziali del proprio account Google.

Come proteggersi e prevenire gli attacchi

Un phishing attack può essere condotto ai danni di computer fissi, portatili, smartphone e tablet: questi dispositivi rappresentano, inoltre, la chiave d’accesso a reti aziendali, server, hardware e infrastrutture anche molto complesse.

Nonostante la maggior parte dei browser Internet disponga di sofisticati metodi di verifica dei link, il migliore metodo per difendersi da un phishing attack è quello di usare cautela. È l’utente stesso a dover evitare di esporsi al rischio di attacchi di phishing.

Come fare? Seguendo alcuni consigli, allenandosi a riconoscere i più diffusi segnali di phishing e cercando di agire il più attentamente e responsabilmente possibile quando si consultano le e-mail, i social network, i siti Internet e i giochi online.

Questo atteggiamento di sospetto e verifica è indispensabile sia per l’utente medio che, e soprattutto, per il dipendente di un’azienda. Un singolo dipendente può provocare, in qualità di mezzo attraverso il quale il phisher riesce a infiltrarsi nella rete, conseguenze incredibilmente negative e impattanti per l’intera azienda (mettendone addirittura a rischio l’esistenza).

Vediamo quali sono gli atteggiamenti più consoni per garantire protezione a sé stessi e ai propri contatti da un phishing attack:

non aprire e-mail provenienti da indirizzi sconosciuti;
non cliccare sui link contenuti in una e-mail, a meno che la destinazione finale non sia già nota;
verificare che il sito web visitato disponga del certificato di sicurezza (e che esso sia valido);
quando si riceve una e-mail sospetta, è preferibile navigare sul sito web evitando di cliccare sul link presente nella e-mail. Per far ciò, è preferibile cercare e trovare manualmente l’URL corretto;
scorrere il cursore sul link per accertarsi che sia legittimo;
verificare se esistono attacchi phishing già noti, estrapolando il testo del messaggio o il nome del mittente utilizzato per l’invio di una e-mail sospetta;
nel momento in cui vengono richiesti dati sensibili o credenziali d’accesso, bisogna assicurarsi che l’URL della pagina inizi con HTTPS e non con HTTP. La S finale, infatti, sta a indicare il termine “sicuro”. I siti web HTTP sono maggiormente vulnerabili agli attacchi hacker, nonostante siano legittimi;
installare e aggiornare periodicamente un software (o più di uno) di sicurezza anti-malware. In molti casi, questo software rileva la minaccia e impedisce all’attacco di phishing di avere successo;
pianificare e perseguire, in ambito aziendale, una politica di sicurezza e di protezione fondata sull’analisi dei rischi. Questo modello deve prevedere l’esecuzione di penetration test e vulnerability assessment.

Tipi di attacchi di ingegneria sociale

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.

Phishing: cos’è e come prevenirlo