Phishing: come difendersi da una minaccia sempre più insidiosa

Secondo il rapporto CLUSIT 2024, gli attacchi di phishing e social engineering in Italia sono cresciuti dell’87% nel 2023, rendendoli una delle minacce informatiche più diffuse. Sempre nel nostro paese, il phishing ha rappresentato il 9% di tutti gli attacchi informatici nel 2023, facendo registrare un leggero aumento rispetto all’8% dell’anno precedente.

Il 53% degli attacchi di phishing rilevati è stato classificato come “di alta gravità”. E a livello globale, il phishing rimane un vettore chiave per l’accesso iniziale negli attacchi informatici.

Una minaccia molto nota quanto diffusa quindi e sulla quale è necessario continuare a fare formazione e informazione per mantenere alta la guardia.

In questo articolo

Il phishing è una delle truffe informatiche più diffuse e, nonostante la sua notorietà, rimane un pericolo in cui molti utenti continuano a cadere. Questa truffa si basa sull’inganno psicologico: i cybercriminali sfruttano le paure o l’inesperienza degli utenti per ottenere informazioni sensibili, come credenziali bancarie o dati personali. Una volta ottenute queste informazioni, i criminali possono utilizzarle per attività illegali, come frodi finanziarie o furti d’identità.

Se dovessimo fornire una definizione di phishing equiparandola alle dinamiche sociali, potremmo descrivere il phishing come una forma di manipolazione.

Fin dai primi giorni del web, l’email è stata il veicolo principale per gli attacchi di phishing. I cybercriminali inviano messaggi che sembrano provenire da fonti affidabili, come ad esempio banche o servizi postali, avvisando l’utente di un presunto problema con il proprio account, solitamente legato alla sicurezza. Nel messaggio, viene chiesto di cliccare su un link per risolvere il problema, ma il link porta a un sito fraudolento che imita perfettamente il portale ufficiale dell’ente. Una volta arrivato sulla pagina fasulla, l’utente inserisce inconsapevolmente le proprie credenziali, consegnandole direttamente ai criminali.

Oltre al furto di dati, il semplice accesso ad un sito falso può portare all’infezione del dispositivo con virus come trojan o malware, che compromettono ulteriormente la sicurezza del sistema.

Il phishing colpisce solo le PMI? Assolutamente no, il phishing è una minaccia che colpisce anche le più grandi aziende tecnologiche del mondo.
La stessa Google, ad esempio, ha sviluppato Google Safe Browsing, un sistema che esamina le pagine web per identificare quelle che contengono software o script dannosi.

Quando un sito viene rilevato come pericoloso, viene inserito in una blacklist e reso inaccessibile per proteggere gli utenti.
Affidarsi solo a strumenti di protezione come Google Safe Browsing non è sufficiente per navigare in sicurezza. Ci sono alcune piccole accortezze che possono ridurre il rischio di cadere vittima di phishing:

• Attivare sistemi antispam: riduce la quantità di email indesiderate che arrivano nelle caselle di posta, filtrando automaticamente i messaggi sospetti, categorizzandoli come posta indesiderata o mettendoli in standby tramite sistemi di quarantena.
• Verificare il dominio del mittente: aziende ed enti utilizzano il loro dominio ufficiale nelle comunicazioni. Controllare che il dominio dell’email corrisponda a quello ufficiale può essere un primo passo per identificare i tentativi di phishing.
• Diffidare dal cliccare su link “unsubscribe”: nelle email sospette, i link con testo come “unsubscribe” o “annulla iscrizione” potrebbero essere tentativi di phishing. Evitare di cliccare su questi link senza fare prima un’analisi approfondita.
• Evitare sempre le scorciatoie: controllare a fondo le richieste di aggiornamento o rinnovo di un servizio inviate tramite email. Solitamente è preferibile non utilizzare i link presenti nella comunicazione ma è più sicuro accedere direttamente al sito ufficiale dal browser per verificare lo stato dell’abbonamento o del servizio.
• Verificare il link e il mittente: Prima di cliccare su un link in un’email, è fondamentale controllare l’indirizzo del mittente e il link stesso. È utile passare il mouse sopra di esso per vedere l’URL completo e verificare che corrisponda all’indirizzo reale. Questo semplice controllo aiuta a evitare di finire su siti fraudolenti.
• Utilizzare connessioni sicure: Quando si accede a siti sensibili, come quelli bancari o che richiedono dati personali, è importante usare solo connessioni sicure. Evitare reti Wi-Fi pubbliche non protette, che possono essere facilmente intercettate da cybercriminali. Per una maggior sicurezza, si può optare per una VPN (Virtual Private Network) che cripta il traffico e protegge da attacchi di phishing.
• Controllare il protocollo HTTPS e il dominio: Accedendo a pagine sensibili, assicurarsi che la connessione sia HTTPS e che il nome del dominio sia corretto. Questo è particolarmente importante per siti bancari, negozi online e social media, dove il rischio di furto di dati è più alto.
• Non condividere dati sensibili via e-mail: Le aziende affidabili non richiedono mai dati personali o finanziari tramite email. Diffidare sempre di richieste del genere e non condividere mai informazioni sensibili con terze parti attraverso canali non sicuri.
• Attivare i protocolli SPF, DKIM e DMARC: l’attivazione di questi protocolli contribuisce a proteggere il proprio dominio di posta elettronica, sia in ingresso che in uscita, e aiuta a garantire che solo mittenti autorizzati possano inviare email a nome dell’azienda, prevenendo la falsificazione delle email.

L’autenticazione DMARC (Domain-based Message Authentication, Reporting & Conformance) rileva e previene lo spoofing delle email utilizzato nel phishing, nella compromissione delle email aziendali (BEC) e in altri attacchi basati sulle email.

Basandosi sugli standard esistenti come il SPF (Send Policy Framework) e il DKIM (DomainKeys Identified Mail), il DMARC è la prima e unica tecnologia ampiamente diffusa in grado di rendere affidabile l’intestazione del dominio “from”. Il proprietario del dominio può pubblicare un record DMARC nel Domain Name System (DNS) e creare una DMARC policy per indicare ai destinatari cosa fare con le email che non superano l’autenticazione.

Il protocollo DMARC permette al proprietario del domino di stabilire regole chiare per l’autenticazione delle email e decidere quali azioni intraprendere quando un’email non supera il controllo di autenticazione.

Il BIMI (Brand Indicators for Message Identification) è uno standard emergente per l’inserimento di marchi registrati all’interno dei client di posta elettronica e permette alle aziende di visualizzare il proprio marchio nelle e-mail inviate.
L’idea alla base dello sviluppo delle linee guida BIMI, era quella di promuovere un ecosistema di posta elettronica più sicuro accelerando l’adozione del DMARC e offrendo ai marchi un incentivo per implementare correttamente il DMARC. Questo incentivo è stato progettato sotto forma di un certificato di marchio verificato, VMC, che consente di mostrare il logo verificato di un’organizzazione in una casella di posta.

Per utilizzare lo standard BIMI al massimo livello di convalida, le aziende necessitano di un VMC emesso da un’autorità di certificazione autorizzata e una politica DMARC impostata su quarantena o rifiuto.

Gli attacchi phishing via e-mail possono essere classificati a seconda dalla tipologia di tecnica utilizzata:

• Domain spoofing: un attaccante falsifica il dominio di un’azienda per inviare email che sembrano legittime.
• Email spoofing: tecnica di falsificazione delle email per far sembrare che provengano da un mittente affidabile.
• Business Email Compromise (BEC): l’attaccante invia un’email che sembra provenire da un dirigente aziendale, richiedendo trasferimenti di denaro o informazioni sensibili.
• Impostor email: e-mail truffaldine che impersonano un’altra persona o entità.
• Email phishing: e-mail ingannevoli progettate per convincere le vittime a divulgare credenziali o installare malware, spesso camuffate da messaggi di marchi affidabili.
• Consumer phishing: e-mail contraffatte inviate ai clienti di un’azienda, spacciandosi per quella stessa azienda, per sottrarre dati personali.
• Partner spoofing: falsi messaggi inviati a partner commerciali o rivenditori per alterare i dettagli di pagamento e deviare fondi verso conti fraudolenti.
• Spear phishing: truffe via email rivolte a dirigenti di alto livello, con l’obiettivo di sottrarre fondi o informazioni aziendali critiche.

Lo smishing è una variante del phishing che utilizza SMS o messaggi di app di messaggistica come WhatsApp per truffare le persone e ottenere dati personali o finanziari. Simile al phishing tradizionale via email, lo smishing è in crescita e rappresenta una minaccia significativa per persone e aziende di tutte le dimensioni.

Il termine “smishing” deriva dalla combinazione di SMS (lo strumento usato per la truffa) e phishing (che indica il tentativo di “pescare” informazioni sensibili).

Ad esempio, un hacker potrebbe inviare migliaia di SMS ingannevoli a numeri ottenuti casualmente, informando i destinatari di un presunto problema con una spedizione. Questo tipo di messaggio sfrutta l’urgenza della situazione per spingere le persone a cliccare su un link. Una volta cliccato, l’utente può inconsapevolmente rivelare informazioni personali, come credenziali bancarie o numeri di carte di credito, o scaricare malware che infettano il dispositivo.

Il vishing è una tecnica di truffa che, come il phishing, ha l’obiettivo di sottrarre informazioni personali, ma utilizza la voce anziché l’e-mail. Il termine è una combinazione di “voice” e “phishing”. In questo caso, l’attacco viene eseguito tramite una telefonata ingannevole, durante la quale l’utente viene spinto a fornire dati sensibili come numeri di carte di credito, PIN o codici bancari.

Le chiamate possono provenire da una persona reale o da una voce registrata, progettata per sembrare professionale e affidabile, che spesso finge di rappresentare una grande azienda come una banca, una società di telecomunicazioni o un fornitore di servizi energetici.

Ad esempio, una telefonata prima di una vacanza in cui viene comunicato che la tua carta di credito è bloccata. In uno scenario del genere, è facile che l’utente, preoccupato, si senta spinto a collaborare e fornisca le informazioni richieste senza sospettare che si tratti di una truffa.

Come le altre tecniche, il vishing sfrutta la pressione emotiva e l’urgenza percepita, rendendo difficile per le vittime riconoscere un inganno ben congegnato.

Le campagne di phishing che sono arrivate ad essere di dominio pubblico hanno impattato anche su grandi aziende, che non possono considerarsi meno vulnerabili rispetto ad altre realtà. Le conseguenze possono essere molto importanti sotto ogni aspetto. Qualche esempio?

Nel 2020 a Twitter (ora X), un attacco ha compromesso account di alto profilo, tramite la promozione di una truffa relativa alle criptovalute e causando perdite per oltre 100.000 dollari, che ha danneggiato la reputazione di Twitter riguardo alla sicurezza dei suoi utenti più influenti.

Nel 2019 a PayPal gli utenti sono stati presi di mira da una campagna di phishing che ha raccolto credenziali e dati finanziari, esponendoli a frodi e furti di identità.

Nel 2020 è stata Chase Bank ad essere vittima di false notifiche che hanno indotto alcuni clienti a fornire le proprie credenziali bancarie, portando a furti di denaro e costringendo la banca ad intensificare i sistemi di sicurezza.

Robinhood, azienda statunitense che offre servizi finanziari online, nel 2021 ha subito il furto di circa 7 milioni di dati personali degli utenti, compromessi a causa di un attacco di phishing che ha rubato le credenziali di un dipendente, aumentando i rischi di frode e furti d’identità.

Una campagna di phishing del 2022 ha sfruttato addirittura la morte della regina Elisabetta per rubare le credenziali di Microsoft Office.

Il gruppo di truffatori ha impersonato un generico “team di Microsoft” che invitava la vittima a collegarsi ad un “hub di tecnologia artificiale”, in onore della sovrana defunta. Gli utenti comuni, si leggeva nella mail, potevano inserire messaggi di cordoglio alla famiglia reale, che sarebbero stati inseriti in una bacheca virtuale, insieme a quelli di personaggi famosi. Inutile dire che il vero obiettivo degli attaccanti era accedere alle credenziali, compresi i codici della multi-factor authentication (i codici numerici inviati sul numero di cellulare o generati da un’applicazione mobile).

Dopo un tentativo di phishing, anche se non ha avuto successo, è importante effettuare una segnalazione per aiutare altri a non cadere nella trappola. Si può fare una segnalazione sul sito del Commissariato di Polizia di Stato online, gestito dalla Polizia Postale, che permette di denunciare reati informatici come phishing, hacking, furti di dati e truffe online.

Se siamo vittime di phishing e abbiamo fornito informazioni sensibili, è necessario contattare il sito legittimo, cambiare password e sporgere denuncia. La denuncia può essere fatta comodamente online, e viene trasmessa alla Procura della Repubblica per ottenere le autorizzazioni necessarie.

Una campagna di phishing simulato condotta da esperti di cybersecurity, consente alle aziende di adottare soluzioni efficaci per proteggersi dagli attacchi di phishing e rappresenta una preziosa opportunità di formazione per tutto il team di lavoro.
Questi attacchi simulati permettono infatti di effettuare test sulla consapevolezza di dipendenti e collaboratori, portandoli a riconoscere le e-mail di phishing reali e ad evitarle in futuro.

Tra i vantaggi delle campagne di phishing simulato:

• Riduzione significativa del rischio di attacchi di phishing;
• Formazione continua del personale, che diventa più consapevole e attento alle minacce;
• Abbattimento dei costi per la formazione in ambito sicurezza

Vuoi saperne di più sulle campagne di phishing simulato?

BeeCyber offre servizi di cyber security completi e personalizzati per proteggere le aziende da minacce informatiche. BeeCyber fornisce una valutazione approfondita dei rischi, gestione delle identità, sistemi di protezione dei dati, monitoraggio continuo delle minacce e risposte rapide agli incidenti.

I servizi includono penetration test, vulnerability assessment e consulenza strategica per garantire conformità alle normative come NIS2, GDPR, ISO 27001 e altri requisiti specifici del settore.

Le soluzioni su misura di BeeCyber, insieme alla formazione del personale, aiutano a mantenere i sistemi aziendali sicuri e operativi.

Una mail al mese sui temi più caldi della cybersecurity. Join us!

Compila il form per iscriverti alle nostre Cybernews