Phishing

Che cos'è il phishing?

Il Phishing è un tipo di attacco informatico in cui gli aggressori tentano di ingannare gli individui per indurli a fornire informazioni sensibili o installare software dannoso. Di solito impersonano un'entità o una persona affidabile nelle comunicazioni elettroniche, come e-mail, messaggi di testo o persino telefonate. L'obiettivo è rubare dati personali, come credenziali di accesso, numeri di carte di credito o altre informazioni finanziarie, che possono essere utilizzate per attività fraudolente.

Metodi comuni di phishing

phishing via e-mail

Gli aggressori inviano e-mail che sembrano provenire da fonti legittime, come banche, siti di social media o altre organizzazioni affidabili. Spesso queste e-mail contengono messaggi urgenti o minacce, che spingono il destinatario a cliccare su un link dannoso o a scaricare un allegato.

Indicatori comuni di un tentativo di phishing via e-mail

I tentativi Phishing sono tentativi fraudolenti di ottenere informazioni sensibili camuffandosi da entità affidabili. Gli indicatori comuni dei tentativi phishing includono:

1. Indirizzo del mittente sospetto

L'indirizzo e-mail del mittente potrebbe essere simile a quello legittimo, ma con lievi modifiche.

Esempio: Mentre siete al lavoro, ricevete un'e-mail da quello che sembra essere il reparto IT della vostra azienda, che vi chiede di reimpostare la password. L'e-mail del mittente sembra quasi corretta, ma a un esame più attento si nota che proviene da "it-support[@]cmpany[.]com" anziché da "it-support[@]company[.]com". Questa leggera alterazione è una tattica comune phishing .

2. Saluti generici

Le e-mail Phishing spesso utilizzano saluti generici come"Gentile cliente" invece di rivolgersi all'utente per nome.

Esempio: Una mattina trovate nella vostra casella di posta un'e-mail che recita:"Gentile cliente, il suo account è stato compromesso. La preghiamo di verificare immediatamente le sue informazioni". Dato che ricevete spesso e-mail personalizzate dalla vostra banca, questo saluto generico fa scattare un campanello d'allarme.

3. Linguaggio urgente o minaccioso

Le e-mail Phishing spesso creano un senso di urgenza o paura, sostenendo che è necessario agire immediatamente per evitare conseguenze negative.

Esempio: Poco prima della scadenza di un progetto importante, ricevete un'e-mail da"admin[@]hrdepartment[.]com" che dice:"Il vostro lavoro è a rischio! Confermi i suoi dati entro 24 ore o rischia il licenziamento". Il tono urgente e minaccioso è studiato per farvi entrare nel panico e farvi rispondere senza riflettere.

4. Richiesta di informazioni personali

Le aziende legittime raramente chiedono informazioni sensibili (come password, numeri di previdenza sociale o dati della carta di credito) via e-mail.

Esempio: Arriva un'e-mail da"payroll[@]companyfinance[.]com" che vi chiede di confermare il vostro numero di previdenza sociale e le coordinate bancarie per elaborare il vostro stipendio. Sapendo che le richieste legittime delle risorse umane non chiederebbero mai informazioni così sensibili via e-mail, sospettate che si tratti di un tentativo phishing .

5. Link a siti web falsi

L'e-mail può contenere link che conducono a siti web che imitano quelli legittimi. Controllate sempre che l'URL non presenti piccole variazioni o errori ortografici.

Esempio: Ricevete un'e-mail da quello che sembra essere il vostro negozio online preferito, sostenendo che c'è un problema con il vostro recente ordine. L'e-mail contiene un link a"www[.]amaz0n-support[.]com" (notare lo zero al posto della "o"). Passando il mouse sul link, si nota che l'URL non è il sito ufficiale di Amazon.

6. Grammatica e ortografia scadenti

Molte e-mail phishing contengono evidenti errori ortografici e grammaticali.

Esempio: Dopo una riunione di squadra, ricevete un'e-mail da"ceo[@]companyy[.]com" che dice:"Vi preghiamo di leggere l'allegato per avere informazioni importanti sulla vostra valutazione della performance". Gli errori grammaticali e di ortografia indicano che non si tratta del vostro vero CEO.

7. Allegati inaspettati

Le e-mail non richieste con allegati possono essere un segnale di allarme. Questi allegati possono contenere malware.

Esempio: Subito dopo aver inviato una segnalazione, si riceve un'e-mail da"support[@]techservices[.]com" con un allegato denominato "invoice_12345[.]zip". Poiché non avete richiesto alcun servizio, questo allegato non richiesto solleva dei sospetti.

8. Offerte troppo belle per essere vere

Diffidate di offerte che sembrano troppo belle per essere vere, come la vincita di una lotteria a cui non avete mai partecipato.

Esempio: Ricevete un'e-mail da"reward[@]employeeappreciation[.]com" in cui affermate di aver vinto una carta regalo da 1.000 dollari per le vostre eccellenti prestazioni. Il problema? Dovete fornire i dati della vostra carta di credito per richiedere il premio. L'offerta sembra troppo bella per essere vera e probabilmente si tratta di una truffa phishing .

9. Formattazione incoerente delle e-mail

Fate attenzione alla formattazione insolita, compresi caratteri, loghi o colori incoerenti.

Esempio: Arriva un'e-mail da"info[@]bankingservice[.]com" con caratteri incoerenti, loghi non corrispondenti e colori non in linea con il marchio ufficiale a cui siete abituati. Queste incongruenze sono la spia di un tentativo phishing .

10. URL spoofati

Passate il mouse sui link per vedere l'URL effettivo. I tentativi Phishing spesso utilizzano URL che sembrano legittimi ma che presentano piccole deviazioni.

Esempio: Mentre controllate le e-mail, ne ricevete una da"support[@]softwareupdate[.]com" che vi invita a scaricare l'ultimo aggiornamento. Il link sembra"www[.]update-software[.]com", ma quando ci passate sopra, vedete che l'URL reale è"www[.]malicious-site[.]com/update". Questo URL falsificato è un chiaro segno di phishing.

11. Richieste insolite

Le e-mail che richiedono azioni insolite, come il versamento di denaro o l'acquisto di carte regalo, sono spesso tentativi phishing .

Esempio: Dopo una lunga giornata, trovate un'e-mail di"manager[@]companyprojects[.]com" che vi chiede di acquistare diverse carte regalo per una riunione con un cliente e di rispedire i codici. Questa richiesta insolita, soprattutto se arriva via e-mail, è un classico scenario phishing .

Essere consapevoli di questi indicatori può aiutarvi a identificare ed evitare i tentativi phishing .

Spear phishing

Si tratta di una forma di phishing più mirata in cui l'aggressore personalizza l'e-mail in base alle informazioni specifiche del destinatario, facendola apparire più legittima. Ad esempio, potrebbe utilizzare il nome, la posizione o altri dettagli del destinatario per creare un messaggio più convincente.

Indicatori comuni di un tentativo di spear phishing

1. La personalizzazione

L'e-mail è altamente personalizzata, utilizzando il vostro nome, il titolo di lavoro o dettagli specifici sul vostro ruolo o sulle vostre recenti attività.

Esempio: "Salve [Nome], ho notato che ha partecipato alla recente conferenza sul marketing. Potrebbe rivedere la presentazione allegata per il nostro prossimo incontro?".

2. Rilevanza contestuale

Il messaggio è contestualmente rilevante e spesso fa riferimento a eventi, progetti o comunicazioni recenti.

Esempio: "A seguito del nostro incontro della scorsa settimana, vi invitiamo a prendere visione del documento allegato".

3. Mittente credibile

L'e-mail sembra provenire da un collega, da un superiore o da una persona con cui si interagisce spesso.

Esempio: Un'e-mail che sembra provenire dal vostro diretto responsabile o da un membro del team con cui lavorate regolarmente.

4. Urgenza

‍Ilmessaggio crea un senso di urgenza o di importanza che spinge ad agire rapidamente senza un esame approfondito.

Esempio:"Si prega di completare il compito allegato entro la fine della giornata".

La caccia alle balene

Un tipo di spear phishing che prende di mira persone di alto profilo all'interno di un'organizzazione, come dirigenti o senior manager. I messaggi sono personalizzati per fare appello ai loro ruoli e alle loro responsabilità specifiche.

Indicatori comuni di un tentativo di caccia alle balene

1. Rivolto ai dirigenti

Il messaggio è diretto a persone di alto profilo all'interno dell'organizzazione, come dirigenti o manager di alto livello.

Esempio: Un'e-mail indirizzata all'amministratore delegato che richiede informazioni aziendali sensibili.

2. Linguaggio di alto livello

Il tono e il linguaggio sono professionali, in linea con l'anzianità dell'interlocutore.

Esempio: "Caro amministratore delegato, la prego di esaminare questo rapporto finanziario riservato".

3. Appello dell'Autorità

L'e-mail fa spesso appello all'autorità o all'urgenza, facendo leva sul potere decisionale del dirigente.

Esempio:"È necessaria un'azione immediata per l'ordine esecutivo allegato".

4. Impersonificazione di entità fidate

Ilmittente è solitamente una persona interna all'organizzazione o un partner fidato.

Esempio: Un'e-mail che sembra provenire da un membro del consiglio di amministrazione o da un cliente di alto profilo.

Smishing e Vishing

Lo smishing consiste nel phishing attraverso messaggi di testo SMS, mentre il vishing riguarda le chiamate vocali. Entrambi i metodi mirano a indurre il destinatario a fornire informazioni personali o a trasferire fondi.

Indicatori comuni di un tentativo di smishing

1. Messaggi inattesi

‍Riceveremessaggi di testo non richiesti da numeri sconosciuti.

Esempio: Un messaggio da un numero sconosciuto che dichiara di essere la vostra banca.

2. URL abbreviati

Ilmessaggio contiene URL abbreviati che nascondono la vera destinazione.

Esempio:"Clicca qui per verificare il tuo account: bit[.]ly/12345".

3. Linguaggio urgente

Ilmessaggio crea un senso di urgenza o di minaccia.

Esempio:"Il vostro conto è stato compromesso. Agisci subito per metterlo al sicuro".

4. Richiesta di informazioni personali

Iltesto chiede informazioni personali come password, PIN o dati della carta di credito.

Esempio:"Verifica la tua identità fornendo il tuo numero di previdenza sociale".

Indicatori comuni di un tentativo di vishing

1. Chiamate non richieste

Ricevere chiamate inaspettate da numeri sconosciuti o spoofati.

Esempio: Una chiamata da un numero che sostiene di essere la vostra banca, ma l'ID del chiamante mostra un numero locale.

2. Richieste urgenti

L'interlocutore crea un senso di urgenza, spesso minacciando conseguenze negative.

Esempio:"Il suo account sarà bloccato se non verifica subito la sua identità".

3. Richiesta di informazioni sensibili

Il chiamante chiede informazioni sensibili come password, numeri di conto o numeri di previdenza sociale.

Esempio:"Si prega di fornire il PIN per confermare la propria identità".

4. Impersonificazione di entità fidate

Il chiamante si spaccia per un'istituzione o una persona fidata.

Esempio: Qualcuno che dichiara di provenire dall'ufficio frodi della vostra banca e vi chiede i dati di verifica.

Clone Phishing

Gli aggressori creano una replica quasi identica di un'e-mail legittima precedentemente inviata da un'entità fidata. Cambiano l'allegato o il link con uno dannoso, sperando che il destinatario faccia clic su di esso, credendo che si tratti del messaggio originale.

Indicatori comuni di un tentativo di clone phishing

1. Indirizzo del mittente simile ma leggermente modificato

L'e-mail sembra provenire da una fonte affidabile, ma l'indirizzo del mittente è leggermente diverso.

Esempio:"support[@]paypa1[.]com" invece di"support[@]paypal[.]com".

2. Contenuto duplicato delle e-mail

Il contenuto dell'e-mail è quasi identico a quello di un messaggio legittimo ricevuto in precedenza, ma con un link o un allegato dannoso.

Esempio: Un'e-mail identica a una precedente proveniente dall'ufficio risorse umane, ma con un allegato diverso.

3. Modifiche a link o allegati

L'e-mail clonata contiene link o allegati che portano a siti web o file dannosi.

Esempio: Un'e-mail che in precedenza aveva un allegato PDF ora ha un file ZIP.

4. Follow-up inatteso

Ricevere un'e-mail di follow-up per un'azione già completata, che invita a fare clic su un nuovo link.

Esempio:"Abbiamo notato che non ha compilato il modulo nella nostra precedente e-mail. Trovi qui il link aggiornato".

Perché gli hacker utilizzano le tecniche di phishing ?

Gli hacker utilizzano le tecniche phishing perché sfruttano le vulnerabilità umane piuttosto che le debolezze tecnologiche. Il Phishing si basa sull'ingegneria sociale, manipolando gli individui affinché divulghino informazioni sensibili o compiano azioni che compromettono la sicurezza. A differenza dell'hacking tradizionale, che spesso richiede notevoli competenze tecniche per violare direttamente i sistemi, phishing può essere eseguito con uno sforzo relativamente basso. Creando messaggi ingannevoli che sembrano legittimi, gli hacker possono indurre le persone a fornire password, numeri di carte di credito o altre informazioni personali. Questo metodo è molto efficace perché aggira molte misure di sicurezza tecniche, puntando invece sull'elemento umano.

Inoltre, il phishing è scalabile e adattabile, il che lo rende uno strumento versatile per gli hacker. Possono facilmente inviare migliaia di e-mail o messaggi phishing con costi e sforzi minimi, aumentando notevolmente le probabilità di successo. Con il miglioramento delle difese informatiche, gli hacker evolvono continuamente le loro tattiche phishing per apparire più credibili e sofisticati. Adattano i loro attacchi a persone o organizzazioni specifiche (spear phishing e whaling), aumentando le probabilità di successo. La disponibilità diffusa di informazioni personali sui social media e su altre piattaforme aiuta gli hacker a creare tentativi di phishing convincenti e personalizzati. Questa adattabilità e portata rendono il phishing una minaccia persistente e pericolosa nel panorama della sicurezza informatica.

Esempio di attacco iniziato con il phishing

L'immagine sottostante illustra un attacco di spear phishing simulato in cui l'aggressore si rivolge inizialmente a un dipendente su LinkedIn per raccogliere informazioni e utilizza WhatsApp per aggirare la sicurezza, compromettendo un computer portatile aziendale.

L'aggressore naviga quindi attraverso la Zero Trust Network Architecture ( Zero Trust ), facendo perno sul centro dati utilizzando un servizio di comando remoto, e installa il Command and Control (C2) per un accesso persistente per condurre la ricognizione.

L'attaccante ruba le credenziali di amministrazione dal server e le utilizza per spostarsi lateralmente, ottenendo l'accesso ad altri server.

Durante questo processo, Vectra AI rileva varie attività sospette, tra cui tunnel HTTPS nascosti, enumerazione di file share, controlli a tappeto delle porte e anomalie di accesso privilegiato. Le indicazioni degli analisti suggeriscono di sfruttare i dati aggregati delle indagini, di esaminare i dati di registro per ottenere approfondimenti e di bloccare gli account infetti per bloccare l'attacco.