Phishing: più di vent’anni e non sentirli

Il phishing nasce contestualmente al web ma è una tecnica di attacco ancora diffusa perché semplice, poco costosa e di sicuro successo

Il termine “phishing” è apparso per la prima volta nel 1996, pochi giorni dopo la nascita del Web. Quindi, perché questo metodo di frode online vecchio più di 20 anni è ancora tra noi?

Per una ragione molto semplice: funziona ancora in modo molto efficace. Si tratta, infatti, di uno dei metodi più affidabili che un hacker può utilizzare per accedere a conti digitali personali o aziendali. L’FBI ha calcolato che le perdite totali derivanti dalle e-mail aziendali hanno superato i 12 miliardi di dollari a livello globale se si considera il periodo ottobre 2013 – maggio 2018.

Il phishing è diventato un processo avanzato e dettagliato. Si stima che quasi un’e-mail su 2.000 sia di phishing, e che ogni mese vengano creati oltre un milione di siti web falsi per cercare di ingannare gli utenti, e indurli così a distribuire informazioni sensibili. Uno studio recente ha dimostrato che il 25% delle e-mail di phishing bypassa la sicurezza di Microsoft Office 365. Per i criminali, è un gioco semplice: devono solo distribuire una quantità ingente di e-mail e link falsi, e aspettare che le persone cadano nelle loro trappole. Dato che sempre più transazioni vengono effettuate tramite dispositivi mobile, gli utenti sono sempre più nel mirino – con un crescente successo degli attacchi.

I vettori di phishing più comuni

Check Point Software Technologies sottolinea che i principali vettori di phishing sono i seguenti tre:

• Lo spear phishing via e-mail: I tentativi di e-mail phishing possono rivolgersi sia ai consumatori che agli utenti aziendali. Gli attacchi di spear phishing ai consumatori di solito comportano il furto di nomi, numeri di telefono e account per creare messaggi molto mirati e convincenti. Gli attacchi contro gli utenti aziendali implicano la creazione di un profilo da siti web aziendali e profili LinkedIn, Facebook e Twitter, e quindi la creazione di e-mail mirate da parte di un dirigente senior, richiedendo un pagamento o servizio urgente e indirizzando l’obiettivo di effettuare una transazione legittima, ma fraudolenta. In alternativa, questi attacchi possono sembrare provenire dal team IT aziendale, indirizzando gli utenti agli URL per raccogliere le password e le credenziali VPN.

• SMS phishing – il cosiddetto “smishing”: è un vettore sempre più comune per fornire URL dannosi agli utenti. Anche in questo caso, si tratta di diverse varietà, dagli attacchi su larga scala simili agli attacchi e-mail, che incorporano espedienti come la reimpostazione delle password o gli aggiornamenti di sicurezza degli account, fino ad attacchi molto più mirati e personalizzati.

• L’app phishing: le app mobile sono diventate un canale molto proficuo per gli hacker e dagli smartphone se ne possono scaricare sempre alcune dannose; con oltre 3,8 milioni di app su Google Play, e oltre 2 milioni sull’Apple Store e oltre 1,5 milioni di applicazioni su altri Store di terze parti, queste sono grandi opportunità per diffondere contenuti pericolosi.

Come proteggersi

La protezione dal phishing non prevede solo la presenza di un rilevamento delle e-mail potenzialmente dannose, ma deve comportare l’attuazione di tre ulteriori fasi: protezione dell’URL da mobile, profilazione della sicurezza dei dispositivi mobile e -soprattutto- formazione degli utenti.
Combinando tecnologie di sicurezza e formazione degli utenti, le organizzazioni saranno in una buona posizione per garantire che i loro dipendenti non cadranno facilmente nel phishing.