Phishing

Che cos'è phishing?

Phishing un tipo di attacco informatico in cui gli aggressori tentano di ingannare le persone per ottenere informazioni sensibili o installare software dannoso. Di solito si fingono un'entità o una persona affidabile nelle comunicazioni elettroniche, come e-mail, messaggi di testo o persino telefonate. L'obiettivo è quello di rubare dati personali, come credenziali di accesso, numeri di carte di credito o altre informazioni finanziarie, che possono poi essere utilizzati per attività fraudolente.

Metodi comuni di phishing

phishing via e-mail

Gli aggressori inviano e-mail che sembrano provenire da fonti legittime, come banche, siti di social media o altre organizzazioni affidabili. Queste e-mail contengono spesso messaggi urgenti o minacce, che inducono il destinatario a cliccare su un link dannoso o a scaricare un allegato.

Indicatori comuni di un phishing tramite e-mail

Phishing sono tentativi fraudolenti di ottenere informazioni sensibili fingendo di essere un'entità affidabile. Gli indicatori comuni dei phishing includono:

1. Indirizzo del mittente sospetto

L'indirizzo e-mail del mittente potrebbe sembrare simile a uno legittimo, ma con lievi modifiche.

Esempio: mentre sei al lavoro, ricevi un'e-mail che sembra provenire dal reparto IT della tua azienda, in cui ti viene chiesto di reimpostare la password. L'indirizzo e-mail del mittente sembra quasi corretto, ma a un esame più attento noti che proviene da "it-support[@]cmpany[.]com" invece che da "it-support[@]company[.]com". Questa leggera alterazione è una phishing molto comune.

2. Saluti generici

Phishing spesso utilizzano saluti generici come "Gentile cliente" invece di rivolgersi a te per nome.

Esempio: unamattina, trovi un'e-mail nella tua casella di posta con il seguente testo: "Gentile cliente, il tuo account è stato compromesso. Verifica immediatamente le tue informazioni". Poiché ricevi spesso e-mail personalizzate dalla tua banca, questo saluto generico ti insospettisce.

3. Linguaggio urgente o minaccioso

Phishing spesso creano un senso di urgenza o paura, sostenendo che è necessario agire immediatamente per evitare conseguenze negative.

Esempio: pocoprima della scadenza di un importante progetto, ricevi un'e-mail da "admin[@]hrdepartment[.]com" che recita: "Il tuo posto di lavoro è a rischio! Conferma i tuoi dati entro 24 ore o sarai licenziato". Il tono urgente e minaccioso ha lo scopo di spaventarti e indurti a rispondere senza riflettere.

4. Richiesta di informazioni personali

Le aziende legittime raramente richiedono informazioni sensibili (come password, numeri di previdenza sociale o dettagli della carta di credito) tramite e-mail.

Esempio: ricevi un'e-mail da "payroll[@]companyfinance[.]com" che ti chiede di confermare il tuo numero di previdenza sociale e i dettagli del tuo conto bancario per elaborare il tuo stipendio. Sapendo che le richieste legittime da parte delle risorse umane non chiederebbero mai informazioni così sensibili via e-mail, sospetti che si tratti di un phishing .

5. Link a siti web falsi

L'e-mail potrebbe contenere link che rimandano a siti web che imitano quelli legittimi. Controlla sempre l'URL per individuare eventuali piccole variazioni o errori ortografici.

Esempio: ricevi un'e-mail da quello che sembra essere il tuo negozio online preferito, in cui si afferma che c'è un problema con il tuo ultimo ordine. L'e-mail contiene un link a "www[.]amaz0n-support[.]com" (nota lo zero al posto della "o"). Passando con il mouse sul link, vedrai che l'URL non è quello del sito ufficiale di Amazon.

6. Grammatica e ortografia scorrette

Molte phishing contengono evidenti errori ortografici e grammaticali.

Esempio: dopo una riunione di gruppo, ricevi un'e-mail da "ceo[@]companyy[.]com" che dice: "Si prega di consultare l'allegato per informazioni importanti relative alla valutazione delle prestazioni". La grammatica scorretta e gli errori ortografici indicano che non si tratta di un messaggio inviato dal tuo vero amministratore delegato.

7. Allegati inaspettati

Le e-mail non richieste con allegati possono essere un campanello d'allarme. Questi allegati possono contenere malware.

Esempio: subito dopo aver inviato una segnalazione, ricevi un'e-mail da "support[@]techservices[.]com" con un allegato denominato "invoice_12345[.]zip". Poiché non hai richiesto alcun servizio, questo allegato non richiesto suscita sospetti.

8. Offerte troppo belle per essere vere

Diffida delle offerte che sembrano troppo belle per essere vere, come vincere una lotteria a cui non hai mai partecipato.

Esempio: ricevi un'e-mail da "reward[@]employeeappreciation[.]com" in cui ti viene comunicato che hai vinto una carta regalo del valore di 1000 $ per le tue prestazioni eccezionali. Il trucco? Per richiedere il premio devi fornire i dati della tua carta di credito. L'offerta sembra troppo bella per essere vera e probabilmente si tratta di una phishing .

9. Formattazione delle e-mail incoerente

Fai attenzione a formattazioni insolite, inclusi caratteri, loghi o colori non uniformi.

Esempio: arriva un'e-mail da "info[@]bankingservice[.]com" con caratteri tipografici incoerenti, loghi non corrispondenti e colori che non corrispondono al marchio ufficiale a cui sei abituato. Queste incongruenze sono un segno rivelatore di un phishing .

10. URL contraffatti

Passa il mouse sui link per visualizzare l'URL effettivo. Phishing spesso utilizzano URL che sembrano legittimi ma presentano piccole differenze.

Esempio: mentre controlli la posta elettronica, ricevi un'e-mail da "support[@]softwareupdate[.]com" che ti invita a scaricare l'ultimo aggiornamento. Il link sembra "www[.]update-software[.]com", ma quando ci passi sopra con il mouse, vedi che l'URL effettivo è "www[.]malicious-site[.]com/update". Questo URL contraffatto è un chiaro segno di phishing.

11. Richieste insolite

Le e-mail che richiedono azioni insolite, come trasferimenti di denaro o acquisti di carte regalo, sono spesso phishing .

Esempio: dopo una lunga giornata, trovi un'e-mail da "manager[@]companyprojects[.]com" che ti chiede di acquistare diverse carte regalo per un incontro con un cliente e di inviare i codici. Questa richiesta insolita, soprattutto se inviata tramite e-mail, è un classico phishing .

Essere consapevoli di questi indicatori può aiutarti a identificare ed evitare phishing

Spear phishing

Si tratta di una forma più mirata di phishing l'autore dell'attacco personalizza l'e-mail in base alle informazioni specifiche del destinatario, rendendola più credibile. Ad esempio, potrebbe utilizzare il nome, la posizione o altri dettagli del destinatario per creare un messaggio più convincente.

Indicatori comuni di un phishing spear phishing

1. Personalizzazione

L'e-mailè altamente personalizzata e utilizza il tuo nome, la tua qualifica professionale o dettagli specifici relativi al tuo ruolo o alle tue attività recenti.

Esempio: " Ciao [Il tuo nome], ho notato che hai partecipato alla recente conferenza di marketing. Potresti dare un'occhiata alla presentazione allegata in vista del nostro prossimo incontro?"

2. Rilevanza contestuale

Il messaggio è contestualmente rilevante e spesso fa riferimento a eventi, progetti o comunicazioni recenti.

Esempio: " A seguito del nostro incontro della scorsa settimana, ti prego di esaminare il documento allegato."

3. Mittente credibile

L'e-mail sembra provenire da un collega, un superiore o qualcuno con cui interagisci frequentemente.

Esempio: un'e-mail che sembra provenire dal tuo diretto superiore o da un membro del team con cui lavori regolarmente.

4. Urgenza

Ilmessaggio crea un senso di urgenza o importanza per sollecitare un'azione rapida senza un esame approfondito.

Esempio: "Si prega di completare l'attività allegata entro la fine della giornata."

Caccia alle balene

Un tipo di spear phishing prende di mira persone di alto profilo all'interno di un'organizzazione, come dirigenti o senior manager. I messaggi sono personalizzati in modo da attirare l'attenzione in base ai loro ruoli e responsabilità specifici.

Indicatori comuni di un tentativo di caccia alle balene

1. Rivolto ai dirigenti

Il messaggio è rivolto a figure di spicco all'interno dell'organizzazione, come dirigenti o senior manager.

Esempio: un'e -mail indirizzata all'amministratore delegato in cui si richiedono informazioni riservate sull'azienda.

2. Linguaggio di alto livello

Il tono e il linguaggio sono professionali, in linea con l'anzianità del destinatario.

Esempio: " Gentile Amministratore Delegato, la prego di esaminare questa relazione finanziaria riservata."

3. Ricorso all'autorità

L'e-mail spesso fa appello all'autorità o all'urgenza, sfruttando il potere decisionale del dirigente.

Esempio: "È richiesta un'azione immediata in merito al decreto esecutivo allegato."

4. Impersonificazione di entità affidabili

Ilmittente è solitamente qualcuno all'interno dell'organizzazione o un partner di fiducia.

Esempio: un'e-mail che sembra provenire da un membro del consiglio di amministrazione o da un cliente di alto profilo.

Smishing e Vishing

Lo smishing consiste phishing messaggi di testo SMS, mentre il vishing consiste nelle chiamate vocali. Entrambi i metodi mirano a indurre il destinatario a fornire informazioni personali o a trasferire fondi.

Indicatori comuni di un tentativo di smishing

1. Messaggi inaspettati

Ricezionedi messaggi di testo non richiesti da numeri sconosciuti.

Esempio: un messaggio proveniente da un numero sconosciuto che dichiara di essere la tua banca.

2. URL abbreviati

Ilmessaggio contiene URL abbreviati che nascondono la vera destinazione.

Esempio: "Clicca qui per verificare il tuo account: bit[.]ly/12345."

3. Linguaggio urgente

Ilmessaggio crea un senso di urgenza o minaccia.

Esempio: "Il tuo account è stato compromesso. Agisci subito per proteggerlo."

4. Richiesta di informazioni personali

Iltesto richiede informazioni personali quali password, PIN o dati della carta di credito.

Esempio: "Verifica la tua identità fornendo il tuo numero di previdenza sociale."

Indicatori comuni di un tentativo di vishing

1. Chiamate indesiderate

Ricezione di chiamate inaspettate da numeri sconosciuti o falsificati.

Esempio: una chiamata da un numero che dichiara di essere della tua banca, ma l'ID chiamante mostra un numero locale.

2. Richieste urgenti

Il chiamante crea un senso di urgenza, spesso minacciando conseguenze negative.

Esempio: "Il tuo account verrà bloccato se non verifichi subito la tua identità."

3. Richiesta di informazioni sensibili

Il chiamante richiede informazioni sensibili quali password, numeri di conto o numeri di previdenza sociale.

Esempio: "Inserisci il tuo PIN per confermare la tua identità."

4. Impersonificazione di entità affidabili

Il chiamante si finge un'istituzione o una persona affidabile.

Esempio: qualcuno che dichiara di appartenere al reparto antifrode della tua banca e richiede dettagli di verifica.

Clone Phishing

Gli aggressori creano una replica quasi identica di un'e-mail legittima inviata in precedenza da un'entità affidabile. Modificano l'allegato o il link sostituendoli con uno dannoso, sperando che il destinatario clicchi su di esso credendo che si tratti del messaggio originale.

Indicatori comuni di un phishing clone

1. Indirizzo del mittente simile ma leggermente modificato

L'e-mail sembra provenire da una fonte attendibile, ma l'indirizzo del mittente è leggermente diverso.

Esempio: "support[@]paypa1[.]com" invece di "support[@]paypal[.]com."

2. Contenuto duplicato dell'e-mail

Ilcontenuto dell'e-mail è quasi identico a un messaggio legittimo che hai ricevuto in precedenza, ma contiene un link o un allegato dannoso.

Esempio: un'e-mail che sembra identica a una precedente inviata dal reparto Risorse umane, ma con un allegato diverso.

3. Link o allegati modificati

L'e-mail clonata contiene link o allegati che rimandano a siti web o file dannosi.

Esempio: un'e-mail che in precedenza aveva un allegato PDF ora ha un file ZIP.

4. Seguito inaspettato

Ricevere un'e-mail di follow-up per un'azione già completata, che richiede di cliccare su un nuovo link.

Esempio: "Abbiamo notato che non hai completato il modulo nella nostra precedente e-mail. Trovi qui il link aggiornato."

Perché gli hacker utilizzano phishing ?

Gli hacker utilizzano phishing perché sfruttano le vulnerabilità umane piuttosto che le debolezze tecnologiche. Phishing sull'ingegneria sociale, manipolando le persone affinché divulghino informazioni sensibili o compiano azioni che compromettono la sicurezza. A differenza dell'hacking tradizionale, che spesso richiede competenze tecniche significative per violare direttamente i sistemi, phishing essere eseguito con uno sforzo relativamente basso. Creando messaggi ingannevoli che sembrano legittimi, gli hacker possono indurre le persone a fornire password, numeri di carte di credito o altre informazioni personali. Questo metodo è molto efficace perché aggira molte misure di sicurezza tecniche, prendendo invece di mira l'elemento umano.

Inoltre, phishing scalabile e adattabile, il che lo rende uno strumento versatile per gli hacker. Questi ultimi possono facilmente inviare migliaia di phishing o messaggi phishing con costi e sforzi minimi, aumentando in modo significativo le possibilità di successo. Con il miglioramento delle difese informatiche, gli hacker evolvono continuamente phishing loro phishing per apparire più credibili e sofisticati. Adattano i loro attacchi a individui o organizzazioni specifici (spear phishing whaling), aumentando le probabilità di successo. L'ampia disponibilità di informazioni personali sui social media e su altre piattaforme aiuta gli hacker a creare phishing convincenti e personalizzati. Questa adattabilità e portata rendono phishing minaccia persistente e pericolosa nel panorama della sicurezza informatica.

Esempio di un attacco iniziato con phishing

L'immagine sottostante illustra un phishing spear phishing simulato in cui l'autore dell'attacco prende inizialmente di mira un dipendente su LinkedIn per raccogliere informazioni e utilizza WhatsApp per aggirare la sicurezza, compromettendo un laptop aziendale.

L'autore dell'attacco naviga quindi attraverso l'architettura Zero Trust (ZTNA), passando al data center utilizzando un servizio di comando remoto, e installa Command and Control C2) per ottenere un accesso persistente e condurre ricognizioni.

L'autore dell'attacco ruba le credenziali amministrative dal server e le utilizza per spostarsi lateralmente, ottenendo l'accesso ad altri server.

Durante questo processo, Vectra AI varie attività sospette, tra cui tunnel HTTPS nascosti, enumerazione di condivisioni di file, scansioni delle porte e anomalie nell'accesso privilegiato. Le linee guida degli analisti suggeriscono di sfruttare i dati aggregati delle indagini, esaminare i dati di log per ottenere informazioni più approfondite e bloccare gli account infetti per fermare l'attacco.