/ Che cos'è il phishing?
Che cos'è il phishing?
Come funziona il phishing?
Il modo più semplice per commettere una rapina è probabilmente quello di convincere le vittime che non si tratta affatto di una rapina. Questo è il concetto alla base delle truffe di phishing.
Gli attacchi di phishing iniziano con un'e-mail, una telefonata, un messaggio SMS, un post sui social media o altre comunicazioni che sembrano provenire da una fonte affidabile. L'aggressore può avere vari obiettivi, come indurre la vittima a fornire informazioni sul suo conto in banca, effettuare un trasferimento con PayPal, scaricare un malware nascosto e così via.
Vediamo un esempio tipico: Un aggressore riesce a ottenere l'indirizzo e-mail o il numero di telefono della vittima e le invia un'e-mail o un messaggio di testo fingendosi la sua banca. Il messaggio di phishing menziona un'offerta speciale in scadenza, un probabile furto d'identità o qualcosa di simile, e chiede alla vittima di accedere al proprio conto bancario tramite un link. Questo link rimanda però a una finta pagina web di login, dove la persona fornisce involontariamente le proprie credenziali di accesso all'aggressore.
L'attacco illustrato in questo esempio, come la maggior parte degli attacchi di phishing, crea con abilità un certo senso di urgenza che induce la vittima ad abbassare la guardia, invece di prendersi il tempo necessario per valutare l'attendibilità del messaggio. Tuttavia, sventare un attacco potrebbe essere più facile a dirsi che a farsi, dato che i trucchi degli aggressori sono molteplici.
Tipi di attacchi di phishing
Gli aggressori hanno sviluppato un'ampia varietà di tecniche di phishing per riuscire a sfruttare tecnologie, tendenze, settori e utenti diversi. Ecco alcune delle tipologie più comuni:
- Phishing via e-mail: un'e-mail proveniente da un mittente apparentemente legittimo cerca di indurre il destinatario a seguire un link dannoso e/o a scaricare un file infetto. L'indirizzo e-mail e gli URL contenuti in un'e-mail di phishing possono utilizzare lo spoofing per apparire legittimi.
- Smishing/phishing via SMS: attraverso messaggi di testo inviati ai dispositivi mobili, gli aggressori cercano di indurre le vittime a fornire informazioni personali, come numeri di carte di credito o altri numeri di conto.
- Vishing/phishing vocale: questi attacchi sono essenzialmente simili allo smishing, ma vengono effettuati tramite una telefonata e mirano a ottenere informazioni sulle carte di credito o altri dati sensibili.
- Angler phishing: gli aggressori si fingono organizzazioni legittime sui social media e richiedono informazioni personali alle vittime, spesso offrendo carte regalo, sconti, ecc.
- Phishing via pop-up: è un attacco molto comune sugli smartphone di Apple, Android e di altre marche, che consiste in un'offerta o un messaggio di avvertimento che appare sotto forma di pop-up e generalmente contiene un link dannoso per indurre le vittime a divulgare i propri dati personali
- Spear phishing: mentre molte truffe di phishing cercano vittime a caso, gli attacchi di spear phishing prendono di mira individui specifici di cui l'aggressore conosce già in parte i dati personali. Questo ulteriore dettaglio può incrementare notevolmente le probabilità di successo dell'attacco.
- Whaling: gli aggressori inviano attacchi di phishing ai dirigenti o ad altri membri importanti di un'organizzazione nel tentativo di estrapolare informazioni che consentano di ottenere un accesso con privilegi all'ambiente target.
- Clone phishing: i phisher inviano alle vittime e-mail che sembrano provenire da mittenti di cui la vittima si fida, come istituzioni finanziarie o aziende conosciute come Amazon. Si tratta di un fenomeno strettamente legato allo spear phishing ed è una tattica comune negli attacchi BEC (Business Email Compromission).
- Evil twin phishing: gli aggressori attirano le vittime con un hotspot Wi-Fi apparentemente attendibile, quindi lanciano attacchi "man in middle" intercettando i dati che le vittime trasferiscono attraverso la connessione.
- Pharming: gli aggressori sabotano le funzionalità di un server DNS (Domain Name System) in modo da reindirizzare gli utenti a un sito web fittizio e dannoso, anche se digitano un URL benigno.
Quanto sono pericolosi gli attacchi di phishing?
Gli attacchi di phishing possono essere estremamente pericolosi. Le campagne di phishing di grandi dimensioni possono colpire milioni di persone e rubare dati sensibili, installare ransomware e altri malware e ottenere l'accesso alle aree più sensibili dei sistemi aziendali.
Perdita di dati sensibili, perdite finanziarie, danni alla reputazione e problemi legali sono alcune delle possibili conseguenze di un attacco di phishing di successo che hanno ripercussioni sull'intera organizzazione. I rischi per le vittime degli attacchi di phishing possono includere la perdita o la compromissione dei dati sensibili; inoltre, le imprese devono affrontare anche possibili danni alla reputazione e problemi legali.
Qual è l'impatto del phishing sulle aziende?
Le conseguenze di un attacco di phishing riuscito possono essere gravi e di ampia portata per un'organizzazione. Un conto bancario aziendale compromesso può generare perdite finanziarie, mentre un attacco ransomware lanciato da un vettore di phishing può comportare la perdita di dati. Inoltre, una qualsiasi violazione dei dati sensibili può portare a un grave danno reputazionale per un'organizzazione, perché è necessario renderla nota al pubblico.
Ognuno di questi effetti può avere a sua volta conseguenze ancora più gravi. I criminali informatici possono vendere i dati rubati sul dark web anche a concorrenti senza scrupoli. Inoltre, molte violazioni dovranno essere rese note agli enti di regolamentazione di settore o governativi, che potrebbero imporre multe o altre sanzioni. L'organizzazione potrebbe essere inoltre coinvolta in indagini sulla criminalità informatica, che possono richiedere molto tempo e attirare un'attenzione negativa.
Come proteggere l'organizzazione dagli attacchi di phishing
Fortunatamente, la maggior parte delle tipologie di attacchi di phishing può essere bloccata, se si prendono le giuste precauzioni, come:
- Utilizzare efficaci contromisure di sicurezza informatica. Le moderne soluzioni antivirus e anti-phishing, insieme a filtri antispam efficaci, sono in grado di bloccare molti tentativi di phishing.
- Mantenere aggiornati i sistemi operativi e i browser. I fornitori di soluzioni software risolvono regolarmente le nuove vulnerabilità nei loro prodotti, e senza i dovuti aggiornamenti il sistema risulterebbe esposto.
- Proteggere i dati con backup automatici. È necessario implementare un processo periodico di backup dei dati di sistema, in modo da poterli recuperare in caso di violazione.
- Utilizzare l'autenticazione avanzata a più fattori (MFA) Le strategie zero trust come l'MFA creano ulteriori livelli di difesa tra gli aggressori e i sistemi interni.
- Istruire gli utenti sui temi relativi alla sicurezza informatica. I criminali informatici inventano sempre nuove strategie e la sicurezza delle e-mail non è in grado di bloccare tutto. Gli utenti e l'intera organizzazione saranno più al sicuro se tutti sapranno come identificare i messaggi e-mail sospetti e segnalare il phishing.
Quali sono gli indicatori di un attacco di phishing?
Per quanto riguarda il phishing, gli utenti più sicuri sono quelli che sanno come evitare di essere ingannati. Anche se un breve riassunto non può sostituire una formazione mirata sulla sicurezza, ecco alcuni indicatori che segnalano un tentativo di phishing:
- Discrepanze nei nomi di dominio: gli indirizzi e-mail e i domini web possono presentare incongruenze. Ad esempio, si riceve un'e-mail che appare provenire da un marchio noto, ma l'indirizzo e-mail non corrisponde.
- Errori ortografici: sebbene gli attacchi di phishing siano diventati molto più efficaci, spesso i messaggi contengono ancora errori ortografici o grammaticali.
- Forme di saluto poco consone: a volte, lo stile di un saluto o di una firma può indicare che qualcosa non va; ecco perché è importante notare se ad esempio qualcuno che inizia sempre i messaggi con "Ciao!" improvvisamente scrive "Caro amico".
- Brevi e ambigue: le e-mail di phishing spesso contengono poche informazioni e lasciano spazio all'ambiguità per confondere il giudizio delle vittime. Se mancano troppi dettagli importanti, potrebbe trattarsi di un tentativo di phishing.
- Richieste insolite: un'e-mail che chiede di fare qualcosa di insolito, soprattutto senza spiegazioni, è un segnale importante che qualcosa non va. Ad esempio, un tentativo di phishing potrebbe dichiarare di provenire dal team IT e richiedere di scaricare un file senza specificarne il motivo.
Phishing ed AI
Gli attacchi di phishing basati sull'intelligenza artificiale sfruttano gli strumenti di AI per migliorare la sofisticazione e l'efficacia delle campagne di phishing. L'intelligenza artificiale automatizza e personalizza vari aspetti del processo di attacco, rendendo il phishing ancora più difficile da rilevare. Ad esempio, i chatbot vengono comunemente utilizzati per creare e-mail di phishing altamente convincenti e prive di errori. Inoltre, gli aggressori utilizzano sempre più servizi avanzati di AI, come la tecnologia deepfake e la clonazione vocale, per impersonare organizzazioni o persone autorevoli e ingannare le vittime. Vengono inoltre impiegati vari canali di comunicazione, tra cui e-mail, telefonate e videochiamate, SMS e applicazioni di messaggistica cifrata.
L'intelligenza artificiale generativa, o GenAI, sta facendo avanzare rapidamente il panorama delle minacce di phishing, favorendo l'automazione e potenziando l'efficienza di numerose fasi della catena di attacco. Grazie alla capacità di analizzare rapidamente i dati disponibili al pubblico, come i dettagli su organizzazioni o dirigenti, la GenAI consente agli autori delle minacce di risparmiare tempo nella ricognizione dell'obiettivo e di avviare attacchi mirati più precisi. Eliminando gli errori di ortografia e grammaticali, gli strumenti di GenAI migliorano la credibilità delle comunicazioni di phishing. Inoltre, l'intelligenza artificiale generativa è in grado di creare rapidamente pagine di phishing sofisticate o di estendere le proprie capacità per generare malware e ransomware per attacchi secondari. Con la rapida evoluzione degli strumenti e delle tattiche di GenAI, gli attacchi di phishing diventeranno ogni giorno più dinamici (e difficili da rilevare).
La crescita della popolarità e dell'utilizzo di strumenti di GenAI come ChatGPT e Drift sta già iniziando a incidere sull'attività di phishing e sull'aumento dei possibili tipi di attacchi. I Paesi come gli Stati Uniti e l'India dove, secondo quanto osservato dalla ricerca di ThreatLabz nel Report del 2024 sulla sicurezza dell'AI, questi strumenti sono ampiamente utilizzati, sono i principali obiettivi delle truffe di phishing, e nell'ultimo anno hanno subito il maggior numero di attacchi cifrati, una parte dei quali sotto forma di phishing
Proteggersi dal phishing con Zscaler
Dato che il phishing si basa sullo sfruttamento della natura umana per avere successo, la compromissione degli utenti è una delle sfide di sicurezza più difficili da superare. Per rilevare le violazioni attive e ridurre al minimo i danni che le stesse possono causare, è necessario implementare controlli efficaci di prevenzione del phishing nell'ambito di una strategia zero trust più estesa.
Costruita su un'architettura olistica zero trust, la piattaforma Zscaler Zero Trust Exchange™ consente di ridurre al minimo la superficie di attacco, prevenire la compromissione, eliminare il movimento laterale e bloccare la perdita di dati. Inoltre, contribuisce a fermare gli attacchi di phishing nei seguenti modi:
- Prevenzione degli attacchi: con funzioni come l'ispezione TLS/SSL completa, l'isolamento del browser e il controllo degli accessi basato su policy, che impediscono l'accesso ai siti web dannosi.
- Prevenzione del movimento laterale: una volta entrato nel sistema, il malware può diffondersi e causare danni ancora maggiori, ma con Zero Trust Exchange gli utenti si collegano direttamente alle app, non alla rete aziendale, e la diffusione del malware viene bloccata.
- Blocco delle minacce interne: la nostra architettura cloud proxy blocca i tentativi di exploit delle app private e rileva anche le tecniche di attacco più sofisticate con l'ispezione inline completa.
- Blocco della perdita di dati: Zero Trust Exchange ispeziona i dati in movimento e inattivi per prevenirne il potenziale furto da parte di aggressori attivi.