• linkedin-icon
  • twitter-icon
  • facebook-ico
  • youtube-icon
  • instagram-icon
  • Risorsa 1
TUTTI GLI ARTICOLI > Cyber Security

Phishing, cos'è e come riconoscerlo per difendersi

Aggiornato il / Creato il / Di Jacopo Polverino

Il phishing è una delle tecniche più diffuse pericolose di attacco informatico. Il suo obiettivo è quello di ottenere informazioni personali della vittima, sfruttando la sua curiosità o facendo leva sull’aspetto psicologico.

Con l’aiuto dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, in questo articolo andremo ad analizzare il significato di phishing e le sue principali caratteristiche. Scopriremo altresì come imparare a riconoscere e-mail sospette e cosa fare se si riceve una comunicazione di questo tipo.

Che cosa è il Phishing, una definizione

Per capire meglio come funziona questa tipologia di attacco di social engineering (o ingegneria sociale), iniziamo partendo dal significato di phishing attraverso una sua definizione:

il phishing è una minaccia alla Cybersecurity che consiste in tentativi di frode informatica volti a carpire i dati sensibili degli utenti (come password, indirizzi, dati finanziari, documenti d’identità, PIN, ecc).

Il termine phishing deriva da "fishing" (“pescare” in italiano), con il cambiamento di "f" in "ph" per creare una somiglianza con termini legati all'informatica e all'hacking. La metafora è quella di "pescare" informazioni sensibili dagli utenti, utilizzando diverse tipologie di “esche” ingannevoli.

Come avviene un attacco di phishing

Generalmente in un attacco di phishing è la vittima ad essere invitata a fornire informazioni riservate (ad esempio password, codici di accesso o dati della carta di credito) con messaggi più o meno verosimili. In genere gli hacker usano nomi di aziende riconoscibili come soggetto mandante della comunicazione, che il destinatario può riconoscere o con cui intrattiene relazioni. Si tratta, per esempio, di banche, poste, assicurazioni o, nel caso della sfera professionale, di fornitori dell’organizzazione.

La vittima dell’attacco viene quindi invitata a visitare un sito web malevolo, in cui vengono richieste le proprie credenziali, o a scaricare un allegato infetto. Per convincere il malcapitato vengono utilizzate motivazioni che possono essere tra le più disparate. Vi sono messaggi ingannevoli incentrati su problemi di accesso all’account, su anomalie nei sistemi di pagamento, su blocchi imminente dei servizi erogati, su spedizioni in arrivo, e molte altre ancora. I cybercriminali fanno dunque leva sulla curiosità degli utenti, infondendo in loro un senso di urgenza. Ad esempio, invitano a confermare immediatamente le proprie credenziali per evitare la sospensione di un servizio, la chiusura di un account o sanzioni finanziarie. Questa pressione psicologica induce le vittime a cliccare su link dannosi o a fornire informazioni sensibili in fretta, riducendo la probabilità che si accorgano dell'inganno.

2 tipologie di Phishing

Dopo aver compreso come avviene un attacco, approfondiremo ora 2 tipologie di attacco Phishing esistenti. Di seguito, riporteremo altri due modi in cui i cybercriminali progettano e studiano questi attacchi informatici.

Spear Phishing, un attacco informatico mirato

Quando l’attacco di phishing è studiato su una persona o un’organizzazione specifica si parla di spear phishing. In questo caso spesso vengono utilizzate informazioni dettagliate e apparentemente attendibili per rendere l'attacco più convincente.

Smishing, l’attacco parte da un SMS

Oltre alle e-mail, un attacco informatico di questa tipologia può sfruttare anche altri canali di comunicazione. Risultano infatti in aumento i tentativi di smishing, ossia di frode tramite SMS, spesso con all’interno link malevoli. Gli attacchi di questo genere, in aggiunta, possono riguardare anche canali di instant messaging, in particolare Telegram e WhatsApp.

phishing

Capire se una mail è phishing, una piccola guida

Le e-mail di phishing, fortunatamente, sono in genere facili da individuare. Tra i principali elementi che possiamo osservare per riconoscere un’e-mail di phishing vi sono:

  • il mittente dell’e-mail, poiché spesso si tratta di un dominio sconosciuto e di evidente derivazione artificiale, che non corrisponde al dominio ufficiale dell’azienda da cui, teoricamente, dovrebbe provenire la comunicazione;
  • l’oggetto dell’e-mail, tendenzialmente generico, se non addirittura contenente la dicitura RE (che indica la risposta a un thread precedente);
  • il corpo della e-mail, formattato con dimensioni e caratteri differenti, addirittura con anche errori grammaticali;
  • il chiaro invito a cliccare su un tasto o comunque un link (probabilmente malevolo);
  • l’enfasi sulla necessità di agire immediatamente, generando un senso di urgenza.

A volte possiamo ricevere e-mail più sofisticate e verosimili, ma che possono essere riconosciute attraverso un’analisi più attenta. I fattori che possono generare il dubbio che si tratti di un tentativo di phishing sono ad esempio:

  • un saluto generico, e non specifico per il singolo utente, che può essere un campanello d’allarme;
  • un’e-mail del mittente con un indirizzo di posta non certificato;
  • l’invito a condividere informazioni sensibili, in quanto password, PIN o comunque dati personali non verrebbero mai richiesti per e-mail.

Esistono tuttavia molti casi estremamente sofisticati di phishing, come visto in precedenza e, in generale, le comunicazioni rivolte a fornitori aziendali. In questo caso la verosimiglianza è data da elementi come mittenti più credibili, messaggi senza errori grammaticali, firme con numeri di telefono, allegati con ricevute di bonifico a seguito del pagamento di una fattura, ecc. Benché non sia sempre facile riconoscere comunicazioni che celano questa tipologia di attacco informatico, occorre prestare attenzione ad esempio al formato dell’allegato: un file compresso .rar anziché un normale pdf dovrebbe insospettirci (infatti, all’interno dei file compressi è presente un malware pronto a infettare il dispositivo nell’estrazione dei file).

Come segnalare un tentativo di Phishing e come difendersi

In caso si riceva un’e-mail di phishing, o comunque una comunicazione sospetta, è fondamentale:

  • non rispondere direttamente all’e-mail o ai numeri di telefono in calce; eventualmente si può provare a contattare il mittente tramite altri canali (come Teams o Whatsapp), così da ottenere maggiori dettagli sulla e-mail ricevuta e verificarne la veridicità;
  • non cliccare sui link all’interno né scaricare i file allegati, verificando prima tutti i possibili elementi malevoli elencati poc’anzi e/o inoltrando l’e-mail ai colleghi dell’IT;
  • non fornire informazioni personali o riservate rispondendo alla mail sospetta.

Se, invece, si è sicuri di aver ricevuto una comunicazione di phishing, si può procedere a etichettarla come spam e a bloccare il mittente. Queste azioni sono utili per allenare il proprio software di posta elettronica a riconoscere e filtrare futuri messaggi simili, così da reindirizzarli automaticamente alla cartella spam.

Phishing e Intelligenza Artificiale

L’Intelligenza Artificiale (IA), o Artificial Intelligence (AI) consente di potenziare le campagne di phishing, in quanto permette l’automazione dell’invio massivo. Inoltre, l’Intelligenza Artificiale Generativa – capace di generare contenuti testuali, grafici, video, ecc. – permette di realizzare comunicazioni molto precise e professionali in poco tempo. Sempre più spesso, infatti, l’AI Generativa trova applicazione nella creazione di campagne di deepfake Phishing, manipolando immagini, contenuti audio o video.

Allo stesso tempo, però, l’AI sta assumendo un ruolo fondamentale anche all’interno della Cybersecurity di aziende e PA. L’Intelligenza Artificiale contribuisce infatti a identificare sia le vulnerabilità nel perimetro cibernetico delle organizzazioni sia possibili minacce Cyber. Tra i tanti benefici, vi è la capacità di rilevazione di tentativi di phishing.

Secondo la Ricerca dell’Osservatorio Cybersecurity & Data Protection, le organizzazioni che adottano soluzioni di Artificial Intelligence mirano a rilevare possibili tentativi di phishing nel 48% dei casi, attraverso applicazioni di antispam e antiphishing.
  • Autore
Jacopo Polverino

Ricercatore dell'Osservatorio Cybersecurity & Data Protection e dell'osservatorio Cloud Transformation

Gli ultimi articoli di Jacopo Polverino

Ricerca nel blog

    Inserisci qui la tua email

    Potrebbe interessarti

    3 giu 2024
    Cos'è il Social Engineering, come difendersi e come riconoscerlo
    5 giu 2023
    Sicurezza dei Dati e i tre requisiti della Cyber Security
    8 lug 2024
    Cos'è la Crittografia e come protegge dalle minacce online
    8 lug 2024
    Cyber Crime: cos'è, come affrontarlo e difendersi in azienda
    9 lug 2024
    CISO: chi è e cosa fa un responsabile della sicurezza

    Articoli più letti

    23 apr 2024
    Storia dell’Intelligenza Artificiale: da Turing ai giorni nostri
    7 mag 2024
    ChatGPT, cos’è e come funziona: limiti e opportunità
    10 mag 2024
    Cos'è il Welfare Aziendale: come funziona, benefit, vantaggi
    12 apr 2024
    Le applicazioni dell’Intelligenza Artificiale e la loro diffusione
    3 giu 2024
    Cos'è il Social Engineering, come difendersi e come riconoscerlo