Truffe di phishing: come individuarle ed evitarle

Pubblicato: 2022-09-20
OTTIENI IL GIUSTO PIANO DI PROTEZIONE DALL'IMPERSONAZIONE DISPONIBILE PER TE

Il phishing è una delle più antiche minacce della criminalità informatica, essendo in circolazione sin dai primi giorni di Internet.

Tuttavia, la truffa di phishing è anche una delle più grandi minacce alla sicurezza informatica che qualsiasi organizzazione deve affrontare ed è unica nel fatto che prende di mira le persone anziché il software o l'hardware.

Ciò significa che, anche se hai investito nell'infrastruttura di sicurezza informatica più costosa, la tua organizzazione può essere a rischio se un dipendente vulnerabile viene compromesso da uno schema di phishing. Questo è uno dei motivi principali per cui il phishing è così pericoloso.

Purtroppo negli ultimi anni il pericolo del phishing è aumentato sia in termini di qualità che di quantità. Secondo il rapporto sull'andamento dell'attività di phishing dell'Anti-Phishing Working Group (APWG), ci saranno 1.025.968 attacchi di phishing entro marzo 2022, con un aumento del 15% rispetto al quarto trimestre del 2021. Anche la sofisticatezza e la varietà di tecniche utilizzate in ciascun attacco sono aumentate in anni recenti.

In questo articolo impareremo insieme cos'è il phishing, come identificarlo e come le organizzazioni possono proteggere i propri dipendenti e clienti dagli attacchi di phishing in modo più efficace.

Alla fine di questa guida, avresti imparato a conoscere:

  • Che cos'è una truffa di phishing?
  • Diversi tipi di phishing nel 2022
  • Come riconoscere i tentativi di phishing
  • Come proteggere la tua azienda dal phishing
  • Come segnalare tentativi di phishing riusciti e non riusciti e mitigare il danno

Iniziamo subito questa guida.

Che cos'è una truffa di phishing?

Il phishing è un tipo di crimine informatico in cui l'autore contatta una vittima (o più vittime) bersaglio fingendosi una persona famosa o un'istituzione legittima per indurre questa vittima a fornire informazioni riservate, sensibili e/o preziose come le informazioni di identificazione personale (PII) , dettagli bancari, informazioni sulla carta di credito, credenziali dell'account e altro ancora.

Il nome "phishing" è analogo alla pesca, riferendosi a come il crimine informatico "pesca" credenziali, password e altre informazioni sensibili dalle sue vittime.

La parola phishing è stata usata per la prima volta intorno al 1996 da hacker che rubavano gli allora popolari account AOL (America Online). Gli hacker alla fine degli anni '90 tendevano a usare la lettera "ph" per sostituire "f" (cioè "phreaks"), da cui il nome "phishing".

Tradizionalmente il phishing veniva condotto tramite e-mail, ma ora il phishing può verificarsi con vari mezzi di comunicazione diversi da telefonate, messaggi di testo, commenti sui social media, DM sui social media, commenti sul blog e altro ancora.

Perché i criminali informatici conducono il phishing?

La risposta breve è monetizzare le informazioni rubate.

Come per la maggior parte delle altre attività criminali (compresi i crimini informatici), la maggior parte degli attacchi di phishing ha motivazioni finanziarie alle spalle.

Ci sono, tuttavia, casi in cui la motivazione non è finanziaria, come la vendetta personale o ragioni politiche (ad esempio, campagne nere), ma sono relativamente rari.

Quindi, come possono i criminali informatici guadagnare dal phishing? Comprendere le loro tecniche di monetizzazione può aiutarti a riconoscere i tentativi di phishing, ecco alcuni esempi:

  • Rubare i dati della tua carta di credito e quindi utilizzare i dettagli della carta di credito per acquistare merci su Internet.
  • L'estorsione, ad esempio, quando i criminali informatici estraggono con successo informazioni sensibili, quindi estorcono alla vittima di pagarle un po' di denaro, altrimenti rilasceranno le informazioni al pubblico.
  • Vendita di informazioni sensibili/personali ad altre parti (ad es. concorrenti, altri hacker). Una pratica comune nel dark web.
  • Utilizzare le tue informazioni per avviare un'altra attività di truffa/criminale informatico, ad esempio contattare i tuoi amici utilizzando il tuo account per truffarli.

L'anatomia di un attacco di phishing

Il phishing è una forma di ingegneria sociale, che è il termine generico usato per riferirsi a un'ampia gamma di attività criminali ottenute attraverso le interazioni umane.

Il phishing si basa sulla manipolazione psicologica per indurre le sue vittime a divulgare le loro informazioni sensibili o a commettere errori di sicurezza.

Sebbene i criminali informatici possano utilizzare diverse tecniche e schemi nei loro attacchi di phishing, in genere seguiranno questi schemi:

  1. L'autore del reato ricerca prima la vittima bersaglio e/o l'ambiente in cui si trova per raccogliere le informazioni necessarie come potenziali vulnerabilità di sicurezza e altri punti deboli.
  2. L'autore del reato avvia il contatto nel tentativo di ottenere la fiducia della vittima.
  3. L'autore del reato:
    1. Offre qualcosa di prezioso per innescare il senso di urgenza della vittima.
    2. Instillare paura nella vittima bersaglio, in genere con minacce fittizie (ad esempio, "il tuo account verrà eliminato presto e dovremo verificare la tua identità").
  4. La vittima viene indotta con l'inganno a divulgare le proprie informazioni personali o credenziali.

Per esempio:

  1. L'autore prende di mira gli utenti di Gmail come vittime bersaglio e ha studiato la piattaforma Gmail e le sue politiche.
  2. L'autore ha inviato un'e-mail agli utenti di Gmail con un indirizzo e-mail simile all'indirizzo ufficiale di Google (ad esempio, con il nome di dominio "Google.biz").
  3. L'e-mail avverte gli utenti di una violazione delle norme che richiede un'azione immediata (ad esempio, modifica della password, modifica della domanda di sicurezza, ecc.) e l'e-mail includerà un collegamento a un sito Web falso quasi identico alla pagina di accesso di Gmail.
  4. La vittima inserisce le sue credenziali attuali nella pagina di accesso falsa e le sue credenziali vengono effettivamente inviate all'attaccante.

Questo è solo un esempio delle tante diverse tecniche e schemi di phishing eseguiti quotidianamente dai criminali informatici. Tuttavia, possiamo classificare gli attacchi di phishing in diversi tipi principali, di cui parleremo di seguito.

Diversi tipi di attacchi di phishing

1. E-mail di phishing

Il tipo più elementare di schema di phishing e, come suggerisce il nome, prevede l'invio di e-mail da parte dell'autore mentre impersona un marchio o una persona nota.

L'e-mail conterrà un collegamento a un sito Web dannoso o un allegato contenente malware che infetterà il dispositivo del destinatario.

Come identificare:

Mentre i criminali informatici stanno diventando più sofisticati nel lanciare e-mail di phishing, in genere puoi cercare i seguenti segni:

  • Controlla il nome di dominio dell'indirizzo email del mittente e assicurati che sia legittimo.
  • Se l'e-mail contiene informazioni di contatto, confronta queste informazioni di contatto con quelle sul sito Web dell'azienda da cui afferma di provenire l'e-mail.
  • Evita di fare clic su collegamenti abbreviati. Questa è una tecnica comune utilizzata per ingannare i gateway di posta elettronica sicuri.
  • Ricontrolla tutti i loghi che sembrano legittimi e visualizza il codice sorgente. Tendono a contenere attributi HTML dannosi.
  • Sii ragionevolmente sospettoso quando un'e-mail contiene pochissimo testo e solo un'immagine/foto nel corpo. L'immagine potrebbe nascondere codici dannosi.

2. Spear-phishing

Lo spear phishing in genere utilizza anche la posta elettronica come mezzo di comunicazione principale, quindi può essere considerato una variante del phishing tramite posta elettronica.

La differenza principale risiede nell'approccio più mirato dello spear phishing, che in genere prende di mira una singola vittima (o un piccolo gruppo di vittime).

L'autore del reato conduce prima una ricerca approfondita sulla vittima bersaglio per raccogliere informazioni sulla vittima, ad esempio dai social media, dal sito Web dell'azienda e così via, quindi prenderà di mira questa vittima con uno schema personalizzato sfruttando le informazioni raccolte come nomi reali ( del capo della vittima o del responsabile delle risorse umane), numeri di telefono di lavoro e così via per ottenere la fiducia della vittima.

In definitiva, poiché la vittima crede all'identità del truffatore a causa delle informazioni valide che ha utilizzato, cade nella trappola dell'autore.

Come identificare:

L'identificazione di un attacco di spear phishing può essere più difficile a causa della quantità di ricerche condotte dall'autore del reato e delle informazioni apparentemente valide che ha utilizzato. Tuttavia, cerca quanto segue:

  • Un'e-mail che afferma di provenire dal tuo capo o da una persona importante nella tua azienda con file o documenti protetti da password che richiedono di inserire nome utente e password. Questo è uno schema comune per rubare le credenziali.
  • In generale, essere a conoscenza di eventuali richieste che sembrano fuori dall'ordinario, considerando la funzione lavorativa del presunto mittente.
  • Un altro schema comune consiste nell'avere collegamenti a documenti archiviati su Google Drive, Dropbox o altri servizi di archiviazione basati su cloud. Questi collegamenti spesso ti reindirizzeranno a un sito Web dannoso.

3. Caccia alle balene

Un'altra variante della tattica di spear phishing, caccia alle balene o spesso chiamata anche "frode del CEO" prevede che l'autore utilizzi tecniche di intelligence open source (OSINT) per trovare il nome del CEO di un'organizzazione o un membro della dirigenza di alto livello e quindi impersonare quella persona usando un falso indirizzo e-mail.

L'autore prenderà quindi di mira i dipendenti dell'azienda, chiedendo al destinatario le credenziali del proprio account, le informazioni bancarie o persino chiedendo al destinatario un trasferimento di denaro.

Come identificare:

  • Ricontrolla l'indirizzo e-mail del mittente, assicurati che provenga dall'indirizzo e-mail ufficiale dell'azienda. Un trucco comune consiste nell'affermare che l'e-mail proviene dal loro indirizzo personale (ovvero, che al momento non possono accedere all'e-mail di lavoro).
  • Non esitare a confermare con gli altri nella tua azienda o anche a fornire la persona che l'e-mail afferma di provenire da una chiamata.
  • Fai molta attenzione se l'e-mail afferma di provenire da qualcuno della tua azienda che non ha mai avuto contatti prima.

4. Phishing HTTPS

Molti di noi sono formati sul fatto che i siti Web HTTPS sono crittografati end-to-end e quindi sono sicuri quando si tratta di inviare informazioni e credenziali personali.

Molti truffatori, tuttavia, sfruttano questa conoscenza nei loro tentativi di phishing, utilizzando il protocollo HTTPS nel sito Web falso collegato nell'e-mail di phishing.

Come identificare:

  • Controlla se il collegamento utilizza l'ipertesto per nascondere l'URL reale
  • Ricontrolla se il collegamento non è abbreviato e tutte le parti dell'URL vengono visualizzate

5. Visitare

Abbreviazione di "Voice Phishing" e, come suggerisce il nome, è un tentativo di phishing che avviene tramite una telefonata.

In genere l'autore del reato chiamerà durante un periodo di punta, in coincidenza con una stagione, un periodo o un evento stressanti, affermando di provenire da un'azienda affermata e creando un accresciuto senso di urgenza.

L'idea è che la chiamata crei un senso di panico, confondendo il destinatario facendogli commettere errori di sicurezza e divulgando le proprie informazioni sensibili.

Come identificare:

  • Sii ragionevolmente sospettoso se la chiamata richiede azioni insolite per il tipo di chiamante, specialmente quando richiede informazioni sensibili o personali.
  • Ricontrolla il numero del chiamante se proviene da una posizione insolita o è bloccato.
  • Utilizzare applicazioni mobili che consentono di verificare l'identità della chiamata in arrivo da numeri sconosciuti. Esistono molte app di questo tipo per dispositivi iOS e Android.
  • È meglio evitare di rispondere alle chiamate da numeri sconosciuti durante tempi o situazioni stressanti.

6. Sbattere

Abbreviazione di "SMS Phishing", è un tentativo di phishing effettuato su messaggi di testo (SMS).

In genere l'autore invierà un messaggio di testo che afferma di provenire da organizzazioni o società consolidate e il messaggio di testo includerà un collegamento contenente malware e/o che ti reindirizzerà a un sito Web dannoso.

Poiché molte persone tendono a considerare i messaggi di testo come più personali e "innocui", lo smishing può cogliere le vittime alla sprovvista.

Come identificare:

  • Prima di cliccare su qualsiasi link, verificare direttamente sul sito web dell'azienda che l'sms afferma di provenire se ci sono notifiche relative alle azioni richieste dall'sms.
  • Non esitate a contattare il numero indicato sul sito legittimo dell'azienda e confermare la legittimità dell'sms.
  • Esamina il prefisso e il numero del mittente e confrontalo con il tuo elenco di contatti prima di fare clic su qualsiasi collegamento o eseguire le azioni suggerite.

7. Pescatore di phishing

L'angler phishing è un tipo specifico di phishing rivolto agli utenti dei social media, che coinvolge principalmente l'autore del reato che utilizza account di social media falsi che impersonano aziende o individui noti.

Il phishing degli angler sfrutta in particolare il fatto che le interazioni tra aziende e clienti sui social media stanno diventando sempre più frequenti e previste. L'autore si impegna con le vittime bersaglio tramite notifiche e messaggi diretti per indurle a commettere errori di sicurezza.

Come identificare:

  • Ricontrolla l'account per un segno di spunta blu (account verificato).
  • Fai attenzione alle notifiche che includono collegamenti che potrebbero reindirizzarti a siti Web dannosi.
  • Evita di fare clic su qualsiasi collegamento in un DM proveniente da coloro che condividono raramente collegamenti (o persone/account che non ti hanno mai inviato messaggi) anche se il collegamento sembra legittimo.
  • Se arrivano messaggi diretti da persone che conosci e che ti hanno inviato messaggi di rado, ricontrolla l'account poiché potrebbe essere contraffatto o appena creato

8. Farming

Il pharming è una forma piuttosto avanzata di phishing, con il nome che è un portmanteau di "phishing" e "agricoltura".

Una tecnica di pharming comune prevede che l'autore dirotta un DNS per reindirizzare invece gli utenti che cercano di raggiungere un sito Web specifico a un sito Web falso.

Un sofisticato tentativo di pharming può essere molto difficile da rilevare.

Come identificare:

  • Ricontrolla l'URL del sito Web se utilizza HTTP anziché HTTPS
  • Cerca incongruenze come errori di battitura, colori non corrispondenti, design inappropriati, contenuti scarsi, ecc., che potrebbero indicare un sito Web falso.

Come proteggere la tua azienda dal phishing

Sopra, abbiamo imparato a riconoscere i principali tipi di tecniche di phishing e i passaggi di base per proteggerti da esse.

In questa sezione, discuteremo anche alcune importanti best practice da seguire per proteggere te stesso e la tua azienda da vari attacchi di phishing:

1. Educa i tuoi dipendenti

Poiché il phishing è fondamentalmente un'ingegneria sociale , la prima linea di difesa che dovresti avere è garantire che i tuoi dipendenti abbiano l'istruzione e la formazione necessarie per riconoscere i tentativi di phishing e proteggere le loro credenziali/informazioni sensibili.

Rendi la formazione sulla consapevolezza del phishing una parte del programma di inserimento dei dipendenti e aggiorna regolarmente la formazione per includere metodologie e tendenze più recenti.

2. Richiedi l'autenticazione a più fattori

La richiesta dell'autenticazione a più fattori può ridurre il rischio di phishing riuscito in situazioni in cui i dipendenti vengono indotti con l'inganno a divulgare le proprie credenziali.

Con l'autenticazione a più fattori, dovrai richiedere ai tuoi dipendenti di fornire un'altra informazione oltre alla loro password prima che possano accedere alle tue reti e applicazioni.

L'informazione secondaria (o più) può essere:

  • Qualcosa che sono: biometrici come l'identificazione del viso o l'impronta digitale
  • Qualcosa che sanno: un'altra password, PIN, risposta a domande di sicurezza, ecc.
  • Qualcosa che hanno: un dispositivo da accoppiare, una chiave magnetica, un dongle USB, ecc.

3. Backup regolare

Attacchi di phishing riusciti possono causare infezioni da malware, incluso il ransomware, che potrebbe causare la perdita dell'accesso a determinati file/app e persino il completo errore del sistema.

Per mitigare questo rischio, conserva regolarmente un backup dei tuoi dati.

Ti consigliamo di seguire i principi del backup 3-2-1: 3 copie dei tuoi dati, su 2 supporti diversi, 1 delle quali conservata fuori sede.

Interrompere la rappresentazione del tuo marchio negli attacchi di phishing

Un'altra preoccupazione relativa al phishing è quando il tuo dominio o il tuo marchio viene utilizzato dai criminali informatici come parte del loro schema di phishing.

Anche se tecnicamente non è colpa tua, le vittime di attacchi di phishing possono incolpare il marchio che il truffatore sta impersonando, causando un impatto negativo sulla reputazione del marchio.

Mentre la prevenzione al 100% dei criminali informatici dall'impersonare il tuo marchio può essere molto difficile se non impossibile, ci sono passaggi che la tua azienda può intraprendere per mitigare il rischio:

  • Usa i certificati SSL (HTTPS) sul tuo sito web. In questo modo, quando un truffatore vuole impersonare il tuo sito Web, dovrà ottenere un certificato SSL legittimo oltre a uno falso. Questo potrebbe scoraggiarli.
  • Usa protocolli come DKIM o DMARC per aggiungere la verifica alle e-mail che la tua azienda invia o riceve. Ciò può impedire a parti esterne di inviare e-mail false utilizzando il tuo nome di dominio, prevenendo efficacemente il phishing via e-mail.
  • Registra le variazioni dei tuoi nomi di dominio (diversi TLD, potenziali errori di ortografia, ecc.) per evitare che queste variazioni vengano utilizzate nei tentativi di phishing.
  • Utilizza Red Points Domain Management per salvaguardare i nomi di dominio della tua azienda in tempo reale. Red Points può rilevare efficacemente i tentativi di phishing utilizzando il tuo nome di dominio su molte piattaforme diverse con pilota automatico, senza richiedere alcun intervento manuale. I punti rossi possono anche aiutarti a eliminare i siti Web falsi prima che abbiano un impatto negativo sulla tua reputazione.

Qual è il prossimo

Sebbene esistano diversi tipi di attacchi di phishing eseguiti da truffatori e criminali informatici, tutti gli attacchi di phishing hanno le seguenti caratteristiche comuni:

  • Creare senso di urgenza: l'autore del reato spesso ti spinge ad agire rapidamente spaventandoti con una minaccia fittizia urgente o attirandoti con un'offerta a tempo limitato. Alcuni schemi di phishing ti diranno persino che hai solo pochi minuti per rispondere.
  • Troppo bello per essere vero: il phishing spesso implica offerte e reclami che attirano l'attenzione e allettanti. Ad esempio, affermando di aver vinto un iPhone e chiedendoti di fare clic su un collegamento.
  • Mittente insolito: presta particolare attenzione all'URL del sito Web e all'indirizzo e-mail del mittente. Se l'email proviene da qualcuno che non riconosci o se vedi qualcosa di anomalo, evita di fare clic su qualsiasi cosa.
  • Link sospetti: non cliccare su nessun link a meno che tu non sia sicuro al 100%. Puoi passare il mouse sopra il link in modo da poter controllare l'URL effettivo e controllare attentamente se l'URL è legittimo.
  • Allegati pericolosi: non fare mai clic su alcun allegato di un'e-mail di cui non sei sicuro al 100%. L'allegato può contenere malware, ransomware o altri virus.

Sebbene non esista un unico modo per evitare gli attacchi di phishing, puoi utilizzare una combinazione dei suggerimenti di cui sopra per prevenirli e mitigare i danni.

È inoltre fondamentale ricordare che oltre a creare una solida infrastruttura di sicurezza informatica e le migliori pratiche, un altro elemento cruciale per prevenire il phishing è l'istruzione . Quando si tratta di phishing e altri schemi di ingegneria sociale, la tua organizzazione è sicura solo quanto la persona meno informata al suo interno.