Phishing: tutto ciò che occorre sapere

Latest news

Phishing: tutto ciò che occorre sapere

Phishing: cos’è

Il phishing è una tecnica di attacco informatico che induce le vittime a condividere informazioni sensibili quali password e numeri di carte di credito. Esistono svariati metodi di indurre la vittima ad abboccare all’amo ma ne esiste uno particolarmente diffuso: la vittima riceve una mail o un messaggio di testo che imita un’organizzazione o una persona di cui si fida (ad esempio un istituto bancario, un ufficio governativo o un collega). L’email o il messaggio invitano a visitare un sito web e intraprendere azioni immediate per evitare conseguenze, l’intento del testo è quello di spaventare la vittima.

Cliccando sul link presente nel testo, l’utente viene indirizzato sull’imitazione di un sito web legittimo. A questo punto vengono richieste le credenziali di accesso e, una volta inserite, le informazioni saranno trasmesse al criminale che potrà utilizzarle per rubare identità, intercettare accessi a conti bancari e vendere informazioni personali.

Il phishing non richiede competenze tecniche sofisticate infatti è un tipo di attacco informatico più semplice ma, nonostante ciò, il più pericoloso ed efficace poiché colpisce direttamente la mente umana. I phisher, infatti, non sfruttano le vulnerabilità del sistema operativo ma l’ingegneria sociale.

Tutti i dispositivi ed i sistemi operativi possono essere soggetti ad attacchi di phishing, a prescindere dalla sicurezza del sistema. I criminali informatici, ormai, prediligono l’errore umano alla vulnerabilità tecnica perché semplifica il loro lavoro e perché il punto debole di un sistema non è una falla informatica ma l’utente che lo utilizza.

phishing tutto ciò che occorre sapere

Phishing: un po’ di storia

Il termine “phishing” – dall’inglese “fishing”, pescare- ha, appunto, origine dall’attività della pesca. Il tentativo di phishing si immagina come un gettare l’amo in acqua sperando che la vittima abbocchi. Il digramma “ph” al posto della “f” di “fish” potrebbe essere riconducibile al termine “phony” ossia “falso, finto”.

Un’altra teoria collega la parola ai precursori degli hacker chiamati “phreak” dall’unione di “phone” e “freak” (persona stravagante) che utilizzavano trucchi “low-tech” per sfruttare il sistema telefonico. Il “phreaking” era una tattica diffusa per effettuare telefonate a lunga distanza senza pagare o per identificare numeri non registrati.

Nel 1987, in un documento presentato all’Interex (gruppo internazionale di utenti HP), viene descritta nel dettaglio una tecnica di phishing. Questo prima ancora che il termine “phishing” venisse diffuso.

Il primo phishing utilizzato e registrato pubblicamente risale al 2 gennaio 1996, in un newsgroup Usenet chiamato AOHell. In quegli anni, infatti, America Online (AOL) era il primo fornitore al mondo di accessi a Internet, con milioni di login al giorno, motivo per il quale era spesso al centro del mirino di malintenzionati. Quando AOL chiude AOHell, tuttavia, i criminali adottano un’altra tecnica: mandare messaggi agli utenti AOL dichiarandosi dipendenti e chiedendo di verificare gli account e di trasmettere informazioni di pagamento. La gravità dell’attacco spinge AOL ad inserire in tutte le sue comunicazioni, e-mail o client di messaggistica istantanea, un avviso in cui si informa che nessun dipendente AOL chiede credenziali o dati sensibili.

Nel 2000, i phisher spostano la loro attenzione verso i sistemi di pagamento online individuando con precisione – stando ad alcune ricerche – l’identità di alcuni utenti, abbinata all’ente bancario di riferimento. Il primo attacco di phishing contro un istituto bancario, noto ad oggi, viene denunciato da The Banker nel settembre del 2003. Anche i social network diventano un obiettivo primario, grazie alla presenza di informazioni personali utili per furti d’identità.

I criminali registrano decine di domini che falsificano quasi alla perfezione eBay e PayPal così da indurre gli utenti meno attenti a scambiarli per siti ufficiali. I clienti PayPal ricevono richieste di aggiornamento dei dati della carta di credito e altri dati sensibili tramite e-mail contenenti link a siti web fasulli.

Verso la metà degli anni 2000, nel Dark Web è disponibile un software di phishing pronto all’uso. Gruppi di hacker cominciano ad organizzare sofisticate campagne di phishing. Le perdite sono ingenti: secondo un report di Gartner del 2007 ammontano a 3,2 miliardi di dollari ai danni di 3,6 milioni di adulti tra l’agosto del 2006 e l’agosto del 2007.

Nel 2011 una sospetta campagna di phishing cinese prende di mira gli account Gmail di ufficiali di alto grado del Governo e delle forze armate di Stati Uniti e Corea del Sud nonché di attivisti politici cinesi.

Nel primo trimestre del 2016, invece, è la campagna di phishing lanciata da Fancy Bear (gruppo di spionaggio informatico associato all’agenzia dell’intelligence militare russa, GRU) a prendere di mira gli indirizzi e-mail collegati al Comitato nazionale democratico statunitense. Il responsabile della campagna per le presidenziali di Hillary Clinton nel 2016, John Podesta, subisce un attacco su Gmail tramite un avviso di compromissione della password e relativa variazione tempestiva.

Nel 2017 tocca a Google e a Facebook: un tentativo di phishing trae in inganno i reparti contabilità inducendoli a trasferire oltre 100 milioni di dollari su conti bancari sotto il controllo di un hacker.

phishing tutto ciò che occorre sapere

Phishing, conoscerlo per Difendersi

Il phishing è una delle minacce informatiche più diffuse, caratterizzata da un pretesto ingannevole per sottrarre informazioni sensibili. Gli attaccanti utilizzano tecniche sempre più sofisticate per colpire individui e aziende. Scopriamo insieme i principali tipi di phishing, come riconoscerli e difendersi.

1. Spear Phishing: L’Attacco Mirato

Lo spear phishing è un attacco altamente personalizzato, mirato a un individuo o un’organizzazione specifica. A differenza delle email di phishing generiche, in questo caso i criminali informatici raccolgono dati sulle loro vittime (nome, ruolo aziendale, email) per rendere il messaggio più credibile.

Un tipico esempio è un’email apparentemente inviata da un dirigente aziendale che richiede un pagamento urgente. Questo metodo è estremamente efficace: nel 2015, il 38% degli attacchi informatici alle aziende era legato allo spear phishing, causando danni medi di 1,8 milioni di dollari per incidente.

🔹 Come difendersi?

  • Verifica sempre il mittente prima di rispondere a richieste sensibili.
  • Non cliccare su link o allegati sospetti, anche se l’email sembra legittima.
  • Utilizza l’autenticazione a due fattori per proteggere i tuoi account.

2. Clone Phishing: L’Inganno delle Email Clonate

Il clone phishing si basa sulla creazione di una copia quasi identica di un’email autentica, in cui vengono sostituiti link e allegati con versioni dannose. Una volta cliccati, gli utenti concedono involontariamente accesso ai loro dispositivi, consentendo agli hacker di diffondersi nella rete aziendale.

🔹 Come difendersi?

  • Confronta l’email ricevuta con le precedenti per individuare anomalie.
  • Evita di scaricare allegati se non sei certo della loro provenienza.
  • Abilita filtri anti-phishing su email e browser.

3. Phishing 419: La Storica Truffa Nigeriana

La cosiddetta truffa 419 (dal numero della sezione del codice penale nigeriano sulle frodi) è una delle più longeve. Il classico esempio è l’email di un presunto principe nigeriano o funzionario governativo che chiede aiuto per trasferire milioni di dollari in cambio di una ricompensa.

Una variante moderna è stata riportata nel 2016 dal sito di news britannico Anorak: un certo Dr. Bakare Tunde, sedicente manager dell’agenzia spaziale nigeriana, raccontava che un astronauta disperso poteva essere recuperato solo con un versamento di 3 milioni di dollari, promettendo ai finanziatori un compenso di 600.000 dollari.

🔹 Come difendersi?

  • Non fidarti di email che offrono guadagni facili o eredità inaspettate.
  • Non inviare mai dati bancari a sconosciuti.
  • Segnala questi tentativi alle autorità competenti.

4. Phone Phishing (Vishing): L’Inganno Telefonico

Nel phone phishing o vishing, i truffatori si spacciano per banche, forze dell’ordine o enti governativi tramite telefonate. Con tono allarmante, convincono le vittime a fornire dati bancari o a effettuare pagamenti fraudolenti via bonifico o carta prepagata.

Una variante è il SMS phishing (smishing), che utilizza messaggi di testo con link dannosi per rubare dati personali o installare malware.

🔹 Come difendersi?

  • Diffida delle chiamate che richiedono dati sensibili.
  • Non cliccare su link ricevuti via SMS da numeri sconosciuti.
  • Contatta direttamente la banca o l’ente per verificare l’autenticità della richiesta.
phishing tutto ciò che occorre sapere

Phishing: tips per identificare un attacco

Riconoscere un tentativo di phishing non è sempre immediato, ma prestare attenzione a elementi insoliti o ambigui può fare la differenza. I cybercriminali sfruttano ansia e urgenza per indurre l’utente a compiere azioni impulsive, come cliccare su link malevoli o fornire dati sensibili.

Come Identificare un Tentativo di Phishing

Ecco alcuni segnali d’allarme che possono indicare un tentativo di phishing:

🔹 Offerte troppo belle per essere vere – Vincite alla lotteria, premi di valore o eredità inaspettate.
🔹 Mittente conosciuto ma con messaggi ambigui – Un’email da un contatto fidato con contenuti strani o fuori contesto.
🔹 Messaggio allarmante e senso di urgenza – Frasi come “Il tuo account sarà sospeso!” o “Azione immediata richiesta!”.
🔹 Allegati inaspettati o insoliti – File sconosciuti possono contenere malware o trojan.
🔹 Link sospetti o modificati – URL che sembrano autentici ma contengono piccoli “errori”

Phishing: come proteggersi

Come già accennato il phishing può coinvolgere computer fissi, portatili, tablet e smartphone. Molti browser sono dotati di metodi di verifica della sicurezza dei link ma il giudizio degli utenti rimane comunque la difesa migliore.

Di seguito altri consigli per proteggersi dal phishing:

  • Non aprire e-mail provenienti da mittenti sconosciuti
  • Verificare sempre l’URL reale dei link passando il cursore sopra
  • Digitare personalmente l’URL piuttosto di fare click su quello presente nella mail
  • Prestare attenzione alla presenza di errori ortografici
  • Controllare sempre il certificato digitale del sito web
  • Verificare che l’URL della pagina inizi con HTTPS quando vengono richiesti dati sensibili
  • Effettua una ricerca con una parte del testo del messaggio o con un nome per vedere se ci sono testimonianze a riguardo in rete
  • Utilizzare software di sicurezza anti-malware

Phishing: conclusioni

Gli attacchi di phishing hanno registrato una crescita record negli ultimi anni, e un programma efficace di sensibilizzazione sulla sicurezza costituisce parte integrante di tutte le strategie di difesa.

Per la maggior parte delle aziende, gli utenti finali sono il punto di attacco più esteso e più vulnerabile. Nexsys a tal proposito offre corsi di formazione di phishing awareness, in modo da per promuovere maggiore consapevolezza in ambito cybersecurity per gli utenti aziendali.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

Please enable JavaScript in your browser to complete this form.
My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.