Cos'è il phishing?

Il termine phishing descrive un tipo di attacco informatico di natura creativa che inganna gli utenti da molti anni. Quando raggiunge il suo scopo, permette ai criminali di rubare dati e soldi alla vittima e installa malware e altri virus sui suoi dispositivi.

Ecco tutto ciò che devi sapere per riconoscere le truffe di phishing ed evitare di caderne vittima.

Cos'è il phishing?

Basta masticare un po' di inglese per capire l'origine di questo termine: la parola "phishing", che richiama il termine "fishing" (pescare), è un chiaro riferimento alla modalità con cui viene messa in atto questa truffa dagli hacker, che offrono un'esca e poi catturano la vittima proprio come fanno i pescatori. In sostanza, l'hacker è il pescatore e il pesce potresti essere proprio tu.

Esistono diverse tecniche di phishing. Il metodo più comune consiste nell'invio di e-mail, anche se negli attacchi più sofisticati questo passaggio è solo l'inizio.

Per le e-mail di phishing, celarsi sotto mentite spoglie è fondamentale. Il criminale che le invia fingerà di essere un contatto di fiducia, un amico o un'azienda legittima: confezionerà di conseguenza il proprio messaggio, inserendo un oggetto che richiama l'attenzione e tutti i dettagli di un'e-mail autentica.

Tipologie di phishing

Ecco le tre tipologie di phishing più diffuse.

Estorsione diretta

L'esempio più famoso di estorsione diretta è probabilmente la truffa del cosiddetto "principe nigeriano", nella quale un criminale inizia una conversazione con la vittima e, alla fine, la persuade a inviargli del denaro. Spesso vede in azione un truffatore che si spaccia per un uomo ricco residente all'estero e che promette una significativa ricompensa in cambio di un "esiguo" investimento.

Negli ultimi anni, questi criminali hanno iniziato a prendere di mira le persone che frequentano app di incontri: dopo essersi guadagnati la fiducia della vittima e averla convinta del loro genuino interesse, raccontano di trovarsi in situazioni per cui hanno urgente bisogno di denaro.

Per fortuna, negli ultimi anni gli utenti sono diventati sempre più consapevoli di queste truffe, con una conseguente diminuzione del numero di vittime.

Siti web falsi

In alcune truffe di phishing, l'e-mail è solo il primo passo di un tipo di attacco molto più sofisticato.

Il contesto di partenza è lo stesso di un'e-mail contenente un link pericoloso ma, in questo caso, il collegamento porterà le potenziali vittime su una pagina web appositamente progettata dal criminale. La pagina in questione avrà un aspetto coerente con l'e-mail e sembrerà legittima: se ad esempio un malintenzionato finge di essere la tua banca, e ti chiede di reimpostare le credenziali di accesso, la pagina contraffatta imiterà i colori e il layout di quella banca.

Tuttavia, se inserirai i dati richiesti come la password o le credenziali della tua carta, queste informazioni non verranno crittografate e saranno visibili al truffatore.

Tipologie di attacchi di phishing

Gli attacchi di phishing possono assumere diverse forme e modalità; nella maggior parte dei casi, gli episodi di phishing si differenziano principalmente per il tipo di mezzo attraverso cui vengono condotti. Ecco alcune delle tipologie di phishing più diffuse.

Phishing tramite e-mail

Le e-mail di phishing sono probabilmente il tipo di phishing più comune. Gli attacchi vengono effettuati tramite e-mail e, di solito, i messaggi di posta elettronica creati dai truffatori imitano l'aspetto di risorse legittime per indurre gli ignari utenti a rivelare i propri dati sensibili.

Spear phishing

La differenza fondamentale tra lo spear phishing e altre tipologie di attacchi di phishing consiste nel fatto che, nello spear phishing, i criminali prendono di mira con elevata precisione uno specifico bersaglio. Nella maggior parte dei casi, si tratta di singole persone o aziende.

Whaling

Il whaling, talvolta detto anche "truffa del CEO", è un tipo di attacco che si concentra su un singolo bersaglio, in modo molto simile allo spear phishing. Tuttavia, gli attacchi di whaling solitamente prendono di mira funzionari o dirigenti di alto livello di un'azienda, con l'obiettivo di ottenere l'accesso non autorizzato a dati finanziari o sistemi informatici.

Vishing e smishing

La principale differenza tra il vishing e lo smishing e altri tipi di phishing consiste nel fatto che questi due attacchi sono limitati al telefono di una potenziale vittima. Il vishing (o voice phishing), è un phishing di tipo vocale: ad esempio, un truffatore può telefonare alla vittima fingendo di essere una banca e offrendo allettanti opportunità di investimento. Lo smishing, invece, si limita all'invio di messaggi di testo, ma lo scopo dell'attacco e il modo in cui è progettato sono molto simili al phishing tramite e-mail.

Statistiche sul phishing

Al giorno d'oggi, gli attacchi di phishing sono tra le minacce informatiche più diffuse e pericolose che le aziende e le persone comuni devono affrontare quotidianamente.

Un recente studio dell'azienda di sicurezza informatica ESET ha rilevato un aumento del 7,3% degli attacchi di phishing tramite e-mail nel periodo compreso tra maggio e agosto 2021. Un altro studio effettuato da IBM ha rilevato un aumento del 2% degli attacchi di phishing tra il 2019 e il 2020. Dal Data Breach Report di Verizon del 2021 è emerso che, in un modo o nell'altro, gli attacchi di phishing sono coinvolti in circa il 36% di tutte le violazioni.

Nel corso degli anni gli attacchi di phishing sono diventati non solo molto più frequenti, ma anche più sofisticati. Mentre i ricercatori dell'azienda informatica britannica Tessian hanno rilevato che il 76% delle e-mail di phishing non contiene allegati dannosi, il rapporto sulle minacce informatiche SonicWall del 2021 ha evidenziato un forte aumento del numero di file PDF e Microsoft Office dannosi tra il 2018 e il 2020. Probabilmente, ciò è dovuto al fatto che la maggior parte delle persone tende a fidarsi di questo tipo di documenti. Il lato negativo di questa fiducia è che Microsoft è uno dei marchi più contraffatti secondo l'azienda di sicurezza informatica Check Point, che ha scoperto che fino al 43% delle e-mail false si spacciava per questo colosso tecnologico. Altre aziende per cui spesso si spacciano i truffatori sono DHL, Amazon e LinkedIn.

Secondo il rapporto di Verizon, nella maggior parte degli attacchi di phishing i tipi di dati più violati sono credenziali (come password, codici PIN e nomi utente), informazioni personali (come nome, cognome e indirizzo e-mail) e informazioni sanitarie (come richieste di risarcimento e numeri di previdenza sociale). Inoltre, il report rileva che le aziende la cui posta elettronica viene violata subiscono una perdita mediana di 30.000 $.

Il rapporto sulle minacce informatiche 2021 di Cisco ha analizzato i settori maggiormente presi di mira, scoprendo che i servizi finanziari occupano il primo posto nella lista delle vittime preferite dal phishing. Tra gli altri settori spesso oggetto di attacchi troviamo la vendita al dettaglio, l'industria manifatturiera e le aziende che si occupano di cibo e bevande, nonché di tecnologia e di ricerca e sviluppo.

Quali sono gli indizi più comuni che possono aiutarci a individuare un tentativo di phishing?

Gran parte delle truffe di questo tipo ha il preciso intento di spaventare le persone, per fare in modo che agiscano d'istinto. Spesso un'e-mail di phishing avvisa gli utenti che si è verificato un qualche tipo di problema con il loro account e che, per risolvere questo disguido inesistente, è necessario cliccare su un link dannoso o scaricare un allegato. Di conseguenza, non sorprende che la maggior parte delle e-mail di questo tipo sia contrassegnata come urgente.

I criminali informatici si dedicano anche alla creazione di domini che possono essere molto simili a quelli di marchi del tutto legittimi, inserendovi anche i loghi ufficiali per trarre ulteriormente in inganno gli ignari utenti.

Smascherare una truffa di phishing

Nella maggior parte delle e-mail di phishing sono presenti dei tipici indizi a cui è necessario prestare attenzione.

La prima cosa da osservare è se nel messaggio figura il tuo vero nome: Espressioni come "caro cliente" o "a chi di competenza" sono un campanello d'allarme.

I truffatori che si dedicano al phishing spesso inviano un numero spropositato di e-mail identiche, senza rivolgersi a persone specifiche; se invece è una società legittima a contattarti, quasi sempre conoscerà il tuo nome.

Anche il linguaggio utilizzato nelle e-mail di phishing può essere un indizio rivelatore. Presta attenzione a frasi sgangherate, grammatica scadente o evidenti errori di ortografia: un'e-mail legittima della tua banca non conterrà questi tipi di errori.

Naturalmente, anche l'indirizzo e-mail del mittente è importante. Assicurati sempre che sia legittimo e, in caso di dubbi, confrontalo con quello di altre e-mail ricevute dalla stessa organizzazione.

Infine, non fidarti delle e-mail che ti trasmettono un senso di urgenza. Se qualcuno ti chiede di inviargli denaro o ti esorta a cliccare su un link "prima che sia troppo tardi", non è di sicuro un buon segno. I criminali spesso tentano di far andare la vittima nel panico, facendola agire in modo istintivo invece di soffermarsi a verificare l'autenticità dell'e-mail.

Cosa succede se clicchi su un link di phishing o scarichi un allegato pericoloso?

Se dovessi cadere vittima di una truffa di phishing, una cosa è pressoché certa: i criminali informeranno altri malintenzionati che l'attacco compiuto a tuo danno ha avuto successo. Ecco perché, se hai già subito una truffa di phishing, gli attacchi diretti a te probabilmente si moltiplicheranno.

Una truffa di phishing può provocare anche la perdita di dati sensibili (tra cui nome, indirizzo, numero di telefono e altre informazioni di identificazione personale), che a sua volta può comportare problemi ancora più gravi, come il furto di identità.

Un attacco di phishing andato a buon fine può anche determinare la violazione di tutti i dati di un'azienda, un avvenimento che al giorno d'oggi può facilmente portarla alla rovina.

Come prevenire il phishing

• Fermati un attimo e rifletti.

  È fondamentale: non avere fretta nel leggere un'e-mail e soprattutto nel seguirne le istruzioni. Qualcuno ti sta esortando a cliccare subito su un link per ricevere un premio in denaro? Ti viene chiesto di visitare un sito web perché devi modificare la tua password il prima possibile? Fermati un attimo e, prima di tutto, assicurati che l'e-mail sia autentica.

• Non cliccare sui link.

  Nella maggior parte delle e-mail di phishing ti verrà chiesto di cliccare su un collegamento: se lo farai, potresti spalancare le porte a malware, virus e ransomware. Per evitare tutti questi problemi, non cliccare mai sui link contenuti nei messaggi di posta elettronica, a meno che il mittente non sia affidabile.

  In caso di dubbi, apri una nuova scheda e vai sul sito web ufficiale dell'azienda o del presunto mittente in questione; per una sicurezza ancora maggiore, puoi anche scrivere o telefonare per verificare che ti abbia davvero contattato.

• Non fare affidamento solo sui filtri antispam.

  I filtri antispam spostano la posta indesiderata in un'apposita cartella per poi eliminarla, ma non sempre riescono a individuare tutti i messaggi pericolosi. Non dare per scontato che un'e-mail sia sicura solo perché non è stata rilevata da questi filtri: questi errori capitano spesso, perciò fai molta attenzione.

• Cerca di ricordare se hai già comunicato con il mittente in precedenza.

  Se una banca di cui non sei cliente ti chiede di accedere al tuo conto online tramite un'e-mail, sicuramente si tratta di un tentativo di truffa. La maggior parte delle e-mail di phishing viene inviata nella speranza che chi la riceve clicchi sul link in essa contenuto senza riflettere. Chiediti se hai effettivamente un qualche tipo di rapporto con l'azienda che il mittente afferma di rappresentare: se la risposta è no, ignora o elimina il messaggio.

In conclusione

Le e-mail di phishing possono essere molto efficaci e rappresentano una delle truffe presenti da più tempo su internet. Il modo migliore per difendersi consiste nel mantenere alta la guardia e usare il buonsenso.