News

Phishing: il ruolo dell’utente non è quello del pesce

Prima di soffermarci a capire cos’è una mail d Phishing e come funziona, informazioni queste facilmente accessibili e di cui il web è già ben ricco, è fondamentale trasmettere a chi è meno pratico di queste tematiche il motivo per il quale dovrebbe essere interessato a capire cos’è il Phishing e perché potrebbe essere preso di mira da un attacco informatico di questo tipo.

Tecniche di attacco informatico come il Phishing (Social Engineering) crescono significativamente ogni anno (+87,7% nel 2017, Clusit 2017) a dimostrazione del fatto che le persone sono il veicolo maggiormente sfruttato per arrivare a dati e informazioni aziendali.

Avendo accesso direttamente a dati, cartelle, programmi, strumenti ed e-mail, il personale di un’azienda si ritrova ad essere il diretto collegamento tra l’azienda e il mondo esterno, divenendo anche il veicolo più semplice e proficuo da sfruttare per arrivare al vero obiettivo di un attacco informatico: l’azienda e la sua reputazione. Lo dimostrano i dati: il 75% degli incidenti di sicurezza è imputabile al fattore umano, mentre il 90% degli attacchi informatici inizia proprio con una mail di Phishing.

Sono dati che dimostrano come chi attacca abbia ben capito quanto sia più facile e proficuo sfruttare le vulnerabilità umane piuttosto di quelle tecnologiche, con la conseguenza che la migliore difesa per questa tipologia di minaccia è la presa di consapevolezza e la formazione degli utenti che quotidianamente utilizzano PC e strumenti aziendali.

A cosa serve una mail di Phishing?

Il Phishing non è altro che un tentativo di frode realizzato mediante l’invio di messaggi di posta dal contenuto apparentemente legittimo, utilizzando anche loghi di marchi noti, con l’obiettivo di rendere queste mail fraudolente il più possibile familiari e credibili. I messaggi contenenti potrebbero riguardare ad esempio l’avviso di scadenza di un account bancario o di posta, l’accettazione di cambiamenti contrattuali o normativi come ad esempio il GDPR, rinnovi delle carte di credito, offerte particolarmente interessanti e molto altro.

L’obiettivo è di catturare l’attenzione della potenziale vittima, portarla ad aprire questa mail ed a cliccare su eventuali link presenti al suo interno o su eventuali allegati.

Nel caso si trattasse di un allegato potrebbe contenere al suo interno un Ransomware, altresì nel testo della mail potrebbe essere presente il link ad un sito molto simile a quello originale con la speranza che il malcapitato utente inserisca username, password o altre informazioni. Se a questo punto l’utente di turno “abbocca all’amo”, il phisher, il malintenzionato, potrà ottenere i dati per accedere ad un account bancario o una via sicura per entrare indisturbato in una rete aziendale.

Pesci grossi e pesci piccoli: differenza tra Mass Phishing, Spear Phishing e Whaling

A differenza del Mass Phishing attraverso il quale vengono inviate delle mail malevole in maniera massiva, lo Spear Phishing è un tipo di attacco mirato che ha molta più probabilità di successo, poiché il contenuto delle mail sono attentamente adattate all’azienda target dell’attacco informatico.

Questo tipo di Phishing è molto più pericoloso e sinistro poiché presuppone un’attività di OSINT (Open Source INTellingence), vale a dire una raccolta di informazioni sull’azienda ricercate nel pubblico dominio. Mettendo insieme pazientemente tutte le info trovate nel web è possibile realizzare una perfetta combinazione di dettagli tale da rendere il più possibile convincente una mail di Phishing.

Una forma ancor più specifica dello Spear Phishing avviene quando vengono presi di mira determinati obiettivi strategici dell’azienda, quali dirigenti o figure di alto profilo, questa tipologia di Phishing viene chiamata Whaling, caccia alla balena. L’attacco in questo caso è mirato ad obiettivi sensibili come ad esempio l’Amministratore Delegato (CEO), il Chief Financial Officier (CFO) o qualsiasi altra figura che se danneggiata o compromessa potrebbe comportare seri impatti sul business o sulla reputazione aziendale.

Le 5 regole d’oro per evitare un’e-mail di Phishing realizzata con i fiocchi

Per riconoscere una mail di Phishing ci sono alcuni “trucchetti” che è utile tenere sempre ben a mente:

  1. Se in una mail ci viene chiesto di fare qualcosa come ad esempio inserire le credenziali di un account o aprire un allegato, prima di farlo leggiamo con attenzione la mail e chiediamoci sempre “Perché lo dovrei fare? Ha senso quello che mi sta chiedendo?”.
  2. Nel caso al primo punto non ci siamo dati una risposta certa, andiamo a verificare chi è realmente il mittente e l’indirizzo mail. In particolar modo verifichiamo il dominio della mail: corrisponde con il vero dominio utilizzato solitamente da questa azienda/persona oppure è molto simile ma non è lo stesso? Nell’esempio il mittente sembra essere SDA Express Courier, ma il dominio invece è @icareermail.com, molto lontano da quello che potrebbe essere un indirizzo mail legittimo di SDA. 
  3. Non fidiamoci di eventuali link presenti nelle mail. Andiamoci sopra con il mouse senza cliccare e osserviamo il pop-up che appare: l’indirizzo web che comparirà è il reale indirizzo verso il quale il link punta. A questo punto chiediamoci se è un sito originale. Dall’esempio appare chiaro che il link non sta puntando al sito di PayPal ma a qualcos’altro ben diverso. 
  4. Se la mail ci chiede di inserire delle credenziali in un determinato sito, controlliamo prima che questo sito sia in possesso di un certificato HTTPS (es. https://www.intuity.it). 
  5. Ultimamente le mail di Phishing sono realizzate molto bene e scritte in un italiano corretto, ma ancora girano mail realizzate con meno attenzione dove sono evidenti gli errori di battitura e di grammatica, oltre ad essere anonime e non indirizzate a nessuno in particolare.

Riassumendo:

Phishing: il ruolo dell’utente non è quello del pesce