Nel panorama dei rischi associati all’utilizzo di internet, tra le minacce più conosciute e diffuse rientra il furto di identità. Si parla di furto di identità quando un malintenzionato utilizza i dati personali di un individuo per impersonificare soggetti terzi, al fine di effettuare acquisti, prestiti o riscuotere crediti oppure per commettere reati come truffe, accedere ad account privati o per offendere e danneggiare la reputazione di qualcuno.
Uno dei metodi più utilizzati per effettuare il furto dell’identità è attraverso il phishing, questa è una tecnica fraudolenta caratterizza dall’abilità di ottenere informazioni confidenziali con pretesti fuorvianti attraverso l’uso combinato di strumenti tecnologici/digitali e maestria ingannevole.
Cos’è il phishing
Fondamentalmente, il phishing è un attacco informatico nel quale viene inviata una e-mail malevola scritta appositamente con lo scopo di spingere la vittima a cadere in una trappola. Spesso l’intento è portare gli utenti a rivelare informazioni bancarie, credenziali di accesso o altri dati sensibili.
Il phishing è un metodo semplice, economico ed efficace, in quanto gli indirizzi e-mail sono facili da recuperare e inviare mail non costa nulla.
Oltre agli indirizzi di posta elettronica, vengono usati anche altri mezzi per effettuare attacchi phishing, articolandolo così in diverse varianti:
- Lo smishing, nel quale vengono utilizzati messaggi SMS, i truffatori spingono gli utenti ad accedere a siti web malevoli dai propri smartphone;
- Il vishing prevede l’utilizzo di una telefonata in cui il cybercriminale, con la scusa di offrire un servizio o prestare un intervento tecnico, cerca di ottenere indirettamente delle informazioni riservate inducendo il malcapitato a eseguire delle operazioni mirate alla realizzazione della truffa stessa;
- Lo spear phishing dove vengono creati messaggi mail altamente personalizzati che i truffatori scrivono servendosi di informazioni pubbliche raccolte sulla vittima, come il campo lavorativo, il ruolo in azienda, gli interessi che coltiva, la zona in cui abita, informazioni fiscali e ogni altro dato che può emergere dai social network. Tali dettagli rendono le e-mail credibili agli occhi delle vittime ed aumentano la probabilità che l’utente apra il link o gli allegati malevoli.
Le informazioni a cui i criminali sono interessati includono dati bancari, sanitari, aziendali, oppure anche per avere accesso ad account social o aziendali per ottenere privilegi di accesso e modifica.
Pagamenti online: truffe e rischi privacy (anche col riconoscimento biometrico)
Come riconoscere le email di phishing (occhio agli allegati)
Nelle e-mail di phishing c’è quasi sempre la paura e il senso di urgenza, spesso viene detto che l’account è stato bloccato e che bisogna eseguire immediatamente determinate azioni per evitare eventuali complicazioni. Lo scopo è quello di persuadere l’utente nel compiere azioni ingannevoli o nello scaricare allegati malevoli. Gli allegati condivisi potrebbero essere:
- Link malevoli che rimandano a pagine web fake, all’apparenza questi siti web appaiono in tutto e per tutto identici a quelli originali, attraverso l’utilizzo delle stesse immagini, loghi e font. L’obiettivo è quello di far credere alla vittima che si tratti della piattaforma legittima. In realtà questi sono realizzati con lo scopo di salvare e memorizzare l’username e la password dell’utente una volta che questi vengono inseriti all’interno degli appositi campi;
- Allegati malevoli, all’apparenza sembrano normali allegati, in realtà sono infettati con malware in grado di compromettere il sistema e i file della vittima. Spesso si tratta di malware di tipo ransomware o keylogger;
- Moduli di compilazione falsi, questi spingono gli utenti a fornire informazioni sensibili, come numero di telefono, carta di credito, account personali.
Di seguito viene riportato un esempio di una mail di phishing inviata dalla società American Express.
Nella figura sono stati evidenziati gli elementi che contraddistinguono oltre ogni ragionevole dubbio la presenza di una mail di phishing rispetto a una legittima. Innanzitutto, l’indirizzo e-mail del mittente non risulta conforme agli standard aziendali, in quanto mancante del nome proprio della società, in secondo luogo l’assenza del nome personale del destinatario e infine il senso di urgenza e paura instaurato al fine di reindirizzare l’utente sul “finto” portale per revisionare l’account.
Le strategie dei criminali del phishing
In un contesto attuale, la pandemia da Covid-19 ha portato ad un drastico aumento degli attacchi da phishing, tra i fattori che hanno contribuito a questa tendenza c’è stata la maggior diffusione dello smart working, della DAD e delle spese online, oltre alla spasmodica ricerca di informazioni riguardanti i contagi, le cure e i vaccini contro il coronavirus. Attraverso lo smart working e la didattica a distanza le persone non godevano delle stesse misure di sicurezza e filtraggio delle e-mail presenti normalmente in un’infrastruttura aziendale. Inoltre, con le limitazioni dovute al lockdown e alle misure di contenimento dei contagi, sempre più persone hanno iniziato a fare shopping online ordinando cibo su servizi di delivery. Durante la prima fase della pandemia sono stati in molti a ricevere sms ed e-mail contenenti informazioni su consegne di prodotti mai acquistati, in cui veniva richiesto all’utente di compilare dei moduli per riprogrammare l’appuntamento con il corriere, con l’obiettivo di rubare informazioni sensibili o indurre l’utente a scaricare software malevolo.
Inoltre, un altro elemento che ha alimentato ulteriormente questa minaccia è stata la morte della sovrana Elisabetta II nel settembre 2022. Tale è stato un accadimento epocale, che ha saputo conquistare l’attenzione di tutto il mondo, le notizie sono state al centro delle cronache e delle prime pagine delle principali testate d’informazione.
Ma oltre a sentimenti di dolore e di curiosità l’evento ha solleticato anche l’interesse di gruppi dediti al cybercrime. È stata infatti svelata una campagna di phishing che attraverso una serie di e-mail inviate da un account Microsoft fasullo, invitava i destinatari a prendere parte a un “memory board interattivo” creato per raccogliere ricordi e tributi in onore della defunta regina. Aprendo il link contenuto nell’email i malcapitati erano reindirizzati, secondo uno schema di attacco man-in-the-middle capace anche di aggirare la protezione dell’autenticazione a due fattori (MFA), verso una pagina mirata ad esfiltrare proprio le loro credenziali Microsoft.
Una strategia che, come osservato anche nel corso della pandemia da Covid-19, cavalca l’emotività individuale e globale suscitata da un evento di portata storica, e che, ancora una volta, evidenzia come l’anello debole della catena di sicurezza sia rappresentato dai sentimenti umani.
Come proteggersi dal phishing
Proprio per questo, per proteggersi contro questo tipo di minaccia, serve innanzitutto una formazione per l’aumento della consapevolezza del problema, sia per quanto riguarda l’ambiente personale che aziendale degli individui. Un modo per proteggere la propria organizzazione dal phishing è un’adeguata formazione specifica che coinvolge tutti i dipendenti, compresi i dirigenti di alto livello che spesso sono essi stessi un obiettivo. È importante insegnare loro come riconoscere una e-mail di phishing e cosa fare quando ne ricevono una. Altrettanto fondamentali sono le simulazioni di attacchi di phishing ai propri dipendenti da parte degli amministratori IT, è utile per valutare come i dipendenti reagiscono a un attacco nelle sue diverse fasi, per capire chi apre una determinata mail e attraverso quale tipo di allegato si cade più spesso nella trappola.
Si possono usare anche e-mail gateway che riescono ad individuare e classificare e-mail di phishing in base alla cattiva reputazione dei link contenuti. Sistemi più sofisticati identificano e-mail malevole tramite l’Analytics. Questa tecnologia ricerca pattern insoliti nel traffico di rete e testa i link contenuti nella mail per verificare se queste fanno partire download o sfruttano exploit nelle pagine web. Identificata una mail sospetta viene messa in quarantena per permettere agli amministratori di analizzarla.
Cosa fare se si cade nella trappola del phishing
Infine, nel caso in cui un attacco di phishing dovesse andare a buon fine è possibile attuare diverse azioni per analizzare la fonte dell’attacco e applicare metodi per mitigare i danni subiti. Con l’ausilio degli strumenti della digital forensics è possibile innanzitutto effettuare una copia forense del dispositivo e dell’account colpito, al fine di analizzare le e-mail, gli sms o le chiamate che hanno portato al compimento dell’attacco informatico.
Analizzarne i contenuti permetterebbe di identificare l’elemento malevolo e consentirebbe di allertare i colleghi della minaccia rilevata. Inoltre, attraverso appositi strumenti sarebbe possibile effettuare un’analisi di eventuali software spia presenti nel dispositivo colpito, che potrebbero essersi installati a seguito dell’apertura di link o dell’installazione di allegati malevoli.
Il furto di dati e i tentativi di raggirare le persone continueranno ad essere una minaccia nel panorama della digital innovation, ciò che è possibile attuare è l’implementazione di meccanismi di difesa sempre più avanzati e istruire le persone circa la prevenzione a tali attacchi e sul comportamento nel caso di violazioni.
