Il phishing è un’attività illecita che sfrutta l’inganno per appropriarsi indebitamente di informazioni personali e dati sensibili.
Questo metodo di frode online utilizza prevalentemente strumenti come l’e-mail, le app di messaggistica istantanea e i social network.
Phishing deriva dalla combinazione delle parole inglesi “phreaking” (“phone + freaking” ovvero telefono + impazzira ) e “fishing” (pescare), e fa riferimento alla metafora di “andare a pesca su Internet”.
Nell’era digitale, le tattiche di phishing si sono evolute per sfruttare la vulnerabilità umana, rendendo questa forma di ingegneria sociale uno dei metodi di attacco più prevalenti nel cyberspazio.

Tentativi di attacco Phishing

Il phishing è un attacco informatico ampiamente diffuso che prende di mira servizi online come l’e-banking, l’e-government e altri. Il bulk phishing è un tentativo di phishing di massa che mira a ingannare gli utenti e a rubare dati sensibili.

Esistono tre tipi comuni di tentativi di phishing, tra cui quelli relativi ai servizi bancari, alle vincite e alle lotterie e alla consegna di pacchi.

Come avviene un attacco di phishing

Il primo passo di un attacco informatico consiste nell’ottenere le informazioni di contatto della vittima, che possono essere un indirizzo e-mail o un numero di telefono. Questi dati sono spesso di dominio pubblico o ottenuti con mezzi fraudolenti.

Anche i privati cittadini che tengono riservate le proprie informazioni di contatto possono essere vittime di un attacco informatico se si sono abbonati a un servizio digitale che è stato preso di mira.

Questi attacchi hanno portato alla creazione di vasti database con credenziali rubate che possono essere facilmente accessibili ai criminali informatici sul dark web.

Un servizio gratuito chiamato www.haveibeenpwned.com permette di verificare se i propri contatti sono stati compromessi da un attacco digitale. Una volta ottenute le informazioni di contatto, gli aggressori inviano comunicazioni contraffatte che sembrano provenire da aziende o autorità affidabili.

Queste comunicazioni possono assumere diverse forme e spesso si adattano a eventi attuali, come lo sfruttamento della pandemia Covid19. Alle vittime viene chiesto di compiere un’azione online, che le porta a una pagina web falsa dove vengono ingannate per fornire informazioni personali e credenziali.

Queste informazioni vengono poi utilizzate per scopi nefasti, come l’appropriazione indebita di denaro dal conto bancario della vittima.

Se vuoi approfondire abbiamo scritto un brevissimo
articolo su un CASO REALE a Sony Pictures

La tecnologia e la tecnica che governa gli attacchi

Il phishing sfrutta le normali funzioni delle tecnologie Web per ingannare gli utenti. La capacità di far apparire un link Internet diverso dall’indirizzo a cui in realtà punta è uno dei modi più importanti per raggiungere questo obiettivo. Ciò avviene spesso mascherando i collegamenti a Internet con immagini.

Ad esempio, l’immagine di una banca può essere inclusa in un messaggio di posta elettronica con un link che sembra condurre al sito della stessa banca. Tuttavia, la coerenza tra l’immagine e il link web non viene verificata e l’utente può finire su un sito completamente diverso.

Altre tecniche includono l’associazione di informazioni fuorvianti a un link Internet e la creazione di domini Internet con caratteri di alfabeti diversi da quello latino, che possono sembrare simili a quelli legittimi.

L’evoluzione del phishing

Il phishing esiste dagli anni ’90, con i primi casi documentati negli Stati Uniti. All’epoca, America Online (AOL) era il principale fornitore di servizi Internet e i suoi milioni di clienti furono i primi a cadere vittima del phishing. Questo portò alla nascita dei primi gruppi di criminali informatici che sfruttavano le vulnerabilità dei sistemi per effettuare attacchi informatici.
Fu sviluppata una suite di programmi chiamata AOHell per automatizzare le attività dannose dirette alla piattaforma AOL e fu coniato il termine “phishing”.

Tuttavia, è all’inizio degli anni 2000, quando si diffondono i sistemi di pagamento elettronico e l’online banking, che il phishing conosce un’evoluzione significativa. Il numero di perdite legate al phishing negli Stati Uniti tra il maggio 2004 e il maggio 2005 è stato stimato in 1,2 milioni, con una perdita totale di circa 930 milioni di dollari. Durante la pandemia del 2020, i danni subiti dai cittadini statunitensi a causa di truffe basate sul phishing hanno superato i 40 miliardi di dollari.

Oggi il phishing è diventato uno strumento quotidiano per i criminali informatici per rubare ogni tipo di informazione.

In base alle vittime colpite, si possono distinguere tre tipi di phishing:

7 buone pratiche come difendersi dagli attacchi di phishing

In generale, essere consapevoli di come utilizziamo la tecnologia è la nostra prima linea di difesa contro le minacce informatiche. È importante usare cautela quando si utilizzano i servizi digitali, soprattutto se lo si fa per la prima volta o in un modo diverso da quello a cui siamo abituati.

Per migliorare la nostra strategia di difesa, possiamo installare un software anti-phishing che ci aiuta a identificare i messaggi di phishing applicando filtri alle e-mail e ad altri messaggi.

Molti provider di posta elettronica utilizzano già strumenti che bloccano sul nascere i tentativi di phishing. Ricordate sempre di dare un’occhiata più da vicino ai link Internet prima di aprirli.

Passando il cursore sul link ci si può fare un’idea del suo contenuto e se è sicuro aprirlo.

QUI puoi leggere 8 modi pratici
Come difendersi da un attacco Phishing

L’autenticazione a due fattori è un altro strumento di difesa che possiamo utilizzare per i servizi bancari. Si tratta di un doppio codice di accesso che richiede due dispositivi diversi per accedere.

Anche il protocollo HTTPS è importante perché aggiunge un ulteriore livello di sicurezza a tutti i siti Internet. È rappresentato da un’icona a forma di lucchetto nella barra di ricerca; se è chiusa o colorata di verde, significa che la connessione è sicura.

Verificate sempre il proprietario del sito prima di fidarvi.

Blu7 Agenzia per la Comunicazione, Pubblicità e Marketing a Firenze.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.