Notizie e informazioni dal mondo della CYBER SECURITY.

I cyber criminali preferiscono la famosa app di messaggistica alle più tradizionali e-mail per diffondere link fasulli e portare a termite attacchi di phishing. Perchè questa scelta? 

phishingL'evoluzione dell'utilizzo delle tecnologie vede gli hacker sempre in prima linea nell'adottare le soluzioni migliori per raggiungere i loro scopi. Così, se le connessioni internet oggi avvengono prevalentemente tramite smartphone, ne consegue che sempre più persone utilizzano le app di messaggistica, e soprattutto la famosa WathsApp, che registra ben l'89% di tutti gli attacchi phishing registrati nei primi sei mesi del 2021. Lo rivela Kaspersky, società che si occupa di sicurezza informatica e che ha analizzato nei mesi scorsi questa tipologia di attacco, evidenziando come non sia più la e-mail lo strumento preferito per la diffusione di attacchi di phishing ma appunto WathsApp. Molto meno interessate dal fenomeno sono invece altre app come Telegram e Viber.

Che cos'è il phishing?

Il phishing è una tecnica con la quale si crea una pagina di atterraggio, raggiungibile tramite un apposito link, che riporta logo, testi e grafica di una pagina ufficiale di un istituto di credito o di un sito e-commerce, ad esempio. In pratica viene riprodotta, il più fedelmente possibile, una pagina ufficiale che richieda le credenziali di accessi e i dati bancari. In questo modo i criminali informatici riescono a rubare le credenziali degli utenti oppure a farsi indirizzare dei pagamenti, che ovviamente, non arriveranno mai al reale venditore. 

Generalmente si basa su tecniche di ingegneria sociale: vengono inviate tantissime e-mail che imitano quelle dei fornitori di servizi più diffusi, così che nel numero si trova certamente qualcuno che è effettivamente cliente di quella specifica società. Fidandosi dell'apparente credibilità data dall'utilizzo del logo e dei colori ufficiali, l'utente clicca sul link e, convinto di fare cosa giusta, inserisce i propri dati. Ma su un portale che non è ciò che appare. 

Un'indagine svolta due anni fa ha evidenziato come, solamente il 17% degli intervistati era in grado di identificare una tecnica di phishing. Ecco perchè ha così successo, ed è passata dai 173.063 attacchi del 2005 ai quasi 500 mila attacchi del 2019. 

Tipologie di attacchi phishing

Esistono diverse tipologie di attacchi basati su questa tecnica, vediamo le principali.

  1. Lo spear phishing, che prende di mira un gruppo specifico di utenti, come gli amministratori di sistema.
  2. Il whaling, che prende di mira i CEO o comunque i dirigenti.
  3. Lo smishing, che consiste nell'invio di sms ad un cellulare contenente un link ad una pagina fasulla. Normalmente simula sms provenienti dalla banca.
  4. Il phishing tramite e-mail, utilizzato da tantissimi anni, riesce ancora oggi a fare delle vittime.
  5. Il phishing tramite motori di ricerca, che consistenell'utilizzare tecniche di SEO per spingere tra le prime posizioni dei motori di ricerca delle pagine web truffa che portano ad inserire dati personali e credenziali di accesso, spesso simili a quelle originali.

Come difendersi da attacchi phishing?

A livello aziendale esistono soluzioni di sicurezza e percorsi di formazione e sensibilizzazione specifica capaci di ridurre il rischio derivante dal comportamento troppo ingenuo degli operatori, come la soluzione di Proofpoint della quale parliamo a questo link. Ma un accorgimento che tutti dovrebbero adottare è quello di soffermarsi a leggere con attenzione il messaggio e soprattutto il link. Appare evidente che non può essere copiato perfettamente il dominio, pertanto quello fasullo ha sempre anche solo una lettera diversa, l'aggiunta di un numero o un'estensione diversa da quella ufficiale. Anche il testo stesso del messaggio spesso presenta errori grammaticali, a volte anche molto grossolani. Se il messaggio arriva dalla banca o richiede credenziali bancarie, è sempre meglio contattare direttamente la banca, evitando di cliccare su qualsiasi link.

Miki G.
Autore: Miki G.
Web Content Editor
Titolare di Web Idea, analista e professionista della comunicazione con oltre 15 anni di esperienza in progetti legati alla cyber security e all'analisi dei rischi aziendali in relazione alla digitalizzazione, gestione della reputazione sul web, online marketing, copywriting, coordinamento di progetti e pubbliche relazioni, progettazione e realizzazione siti web.
Ultimi articoli

Partner