Il phishing è una delle tecniche più diffuse pericolose di attacco informatico. Il suo obiettivo è quello di ottenere informazioni personali della vittima, sfruttando la sua curiosità o facendo leva sull’aspetto psicologico.
Con l’aiuto dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, in questo articolo andremo ad analizzare il significato di phishing e le sue principali caratteristiche. Scopriremo altresì come imparare a riconoscere e-mail sospette e cosa fare se si riceve una comunicazione di questo tipo.
Che cosa è il Phishing, una definizione
Per capire meglio come funziona questa tipologia di attacco di social engineering (o ingegneria sociale), iniziamo partendo dal significato di phishing attraverso una sua definizione:
il phishing è una minaccia alla Cybersecurity che consiste in tentativi di frode informatica volti a carpire i dati sensibili degli utenti (come password, indirizzi, dati finanziari, documenti d’identità, PIN, ecc).
Il termine phishing deriva da "fishing" (“pescare” in italiano), con il cambiamento di "f" in "ph" per creare una somiglianza con termini legati all'informatica e all'hacking. La metafora è quella di "pescare" informazioni sensibili dagli utenti, utilizzando diverse tipologie di “esche” ingannevoli.
Come avviene un attacco di phishing
Generalmente in un attacco di phishing è la vittima ad essere invitata a fornire informazioni riservate (ad esempio password, codici di accesso o dati della carta di credito) con messaggi più o meno verosimili. In genere gli hacker usano nomi di aziende riconoscibili come soggetto mandante della comunicazione, che il destinatario può riconoscere o con cui intrattiene relazioni. Si tratta, per esempio, di banche, poste, assicurazioni o, nel caso della sfera professionale, di fornitori dell’organizzazione.
La vittima dell’attacco viene quindi invitata a visitare un sito web malevolo, in cui vengono richieste le proprie credenziali, o a scaricare un allegato infetto. Per convincere il malcapitato vengono utilizzate motivazioni che possono essere tra le più disparate. Vi sono messaggi ingannevoli incentrati su problemi di accesso all’account, su anomalie nei sistemi di pagamento, su blocchi imminente dei servizi erogati, su spedizioni in arrivo, e molte altre ancora. I cybercriminali fanno dunque leva sulla curiosità degli utenti, infondendo in loro un senso di urgenza. Ad esempio, invitano a confermare immediatamente le proprie credenziali per evitare la sospensione di un servizio, la chiusura di un account o sanzioni finanziarie. Questa pressione psicologica induce le vittime a cliccare su link dannosi o a fornire informazioni sensibili in fretta, riducendo la probabilità che si accorgano dell'inganno.
2 tipologie di Phishing
Dopo aver compreso come avviene un attacco, approfondiremo ora 2 tipologie di attacco Phishing esistenti. Di seguito, riporteremo altri due modi in cui i cybercriminali progettano e studiano questi attacchi informatici.
Spear Phishing, un attacco informatico mirato
Quando l’attacco di phishing è studiato su una persona o un’organizzazione specifica si parla di spear phishing. In questo caso spesso vengono utilizzate informazioni dettagliate e apparentemente attendibili per rendere l'attacco più convincente.
Smishing, l’attacco parte da un SMS
Oltre alle e-mail, un attacco informatico di questa tipologia può sfruttare anche altri canali di comunicazione. Risultano infatti in aumento i tentativi di smishing, ossia di frode tramite SMS, spesso con all’interno link malevoli. Gli attacchi di questo genere, in aggiunta, possono riguardare anche canali di instant messaging, in particolare Telegram e WhatsApp.
Capire se una mail è phishing, una piccola guida
Le e-mail di phishing, fortunatamente, sono in genere facili da individuare. Tra i principali elementi che possiamo osservare per riconoscere un’e-mail di phishing vi sono:
- il mittente dell’e-mail, poiché spesso si tratta di un dominio sconosciuto e di evidente derivazione artificiale, che non corrisponde al dominio ufficiale dell’azienda da cui, teoricamente, dovrebbe provenire la comunicazione;
- l’oggetto dell’e-mail, tendenzialmente generico, se non addirittura contenente la dicitura RE (che indica la risposta a un thread precedente);
- il corpo della e-mail, formattato con dimensioni e caratteri differenti, addirittura con anche errori grammaticali;
- il chiaro invito a cliccare su un tasto o comunque un link (probabilmente malevolo);
- l’enfasi sulla necessità di agire immediatamente, generando un senso di urgenza.
A volte possiamo ricevere e-mail più sofisticate e verosimili, ma che possono essere riconosciute attraverso un’analisi più attenta. I fattori che possono generare il dubbio che si tratti di un tentativo di phishing sono ad esempio:
- un saluto generico, e non specifico per il singolo utente, che può essere un campanello d’allarme;
- un’e-mail del mittente con un indirizzo di posta non certificato;
- l’invito a condividere informazioni sensibili, in quanto password, PIN o comunque dati personali non verrebbero mai richiesti per e-mail.
Esistono tuttavia molti casi estremamente sofisticati di phishing, come visto in precedenza e, in generale, le comunicazioni rivolte a fornitori aziendali. In questo caso la verosimiglianza è data da elementi come mittenti più credibili, messaggi senza errori grammaticali, firme con numeri di telefono, allegati con ricevute di bonifico a seguito del pagamento di una fattura, ecc. Benché non sia sempre facile riconoscere comunicazioni che celano questa tipologia di attacco informatico, occorre prestare attenzione ad esempio al formato dell’allegato: un file compresso .rar anziché un normale pdf dovrebbe insospettirci (infatti, all’interno dei file compressi è presente un malware pronto a infettare il dispositivo nell’estrazione dei file).
Come segnalare un tentativo di Phishing e come difendersi
In caso si riceva un’e-mail di phishing, o comunque una comunicazione sospetta, è fondamentale:
- non rispondere direttamente all’e-mail o ai numeri di telefono in calce; eventualmente si può provare a contattare il mittente tramite altri canali (come Teams o Whatsapp), così da ottenere maggiori dettagli sulla e-mail ricevuta e verificarne la veridicità;
- non cliccare sui link all’interno né scaricare i file allegati, verificando prima tutti i possibili elementi malevoli elencati poc’anzi e/o inoltrando l’e-mail ai colleghi dell’IT;
- non fornire informazioni personali o riservate rispondendo alla mail sospetta.
Se, invece, si è sicuri di aver ricevuto una comunicazione di phishing, si può procedere a etichettarla come spam e a bloccare il mittente. Queste azioni sono utili per allenare il proprio software di posta elettronica a riconoscere e filtrare futuri messaggi simili, così da reindirizzarli automaticamente alla cartella spam.
Phishing e Intelligenza Artificiale
L’Intelligenza Artificiale (IA), o Artificial Intelligence (AI) consente di potenziare le campagne di phishing, in quanto permette l’automazione dell’invio massivo. Inoltre, l’Intelligenza Artificiale Generativa – capace di generare contenuti testuali, grafici, video, ecc. – permette di realizzare comunicazioni molto precise e professionali in poco tempo. Sempre più spesso, infatti, l’AI Generativa trova applicazione nella creazione di campagne di deepfake Phishing, manipolando immagini, contenuti audio o video.
Allo stesso tempo, però, l’AI sta assumendo un ruolo fondamentale anche all’interno della Cybersecurity di aziende e PA. L’Intelligenza Artificiale contribuisce infatti a identificare sia le vulnerabilità nel perimetro cibernetico delle organizzazioni sia possibili minacce Cyber. Tra i tanti benefici, vi è la capacità di rilevazione di tentativi di phishing.
Secondo la Ricerca dell’Osservatorio Cybersecurity & Data Protection, le organizzazioni che adottano soluzioni di Artificial Intelligence mirano a rilevare possibili tentativi di phishing nel 48% dei casi, attraverso applicazioni di antispam e antiphishing.
Possiedi gli strumenti giusti per difenderti dai cyber attacchi?
- Autore
Ricercatore dell'Osservatorio Cybersecurity & Data Protection e dell'osservatorio Cloud Transformation
Gli ultimi articoli di Jacopo Polverino
-
Phishing, cos'è e come riconoscerlo per difendersi 04 luglio 2024
Rimani aggiornato sui trend dell’Innovazione Digitale
Inserisci qui la tua email
Potrebbe interessarti
Articoli più letti