Phishing

Introduzione al Phishing

Il phishing è una forma di ingegneria sociale. A differenza di altri cyberattacchi che prendono di mira direttamente reti e risorse, gli attacchi di ingegneria sociale utilizzano l’errore umano, le storie false e le tattiche di pressione per manipolare le vittime e indurle a danneggiare involontariamente se stesse o le loro organizzazioni. In un tipico tentativo di phishing, un criminale finge di essere una persona di cui la vittima si fida, come un collega, un capo, una figura autoritaria o un rappresentante di un marchio noto. Il criminale invia un messaggio in cui chiede alla vittima di pagare una fattura, aprire un allegato, cliccare su un link o compiere un’altra azione.

L’evoluzione e l’impatto degli attacchi di phishing

Il phishing, termine ormai sinonimo di criminalità informatica, ha avuto origine da un programma sviluppato da un adolescente della Pennsylvania chiamato AOHell. Questo primo malware prendeva di mira AOL (America Online), un popolare servizio online agli albori di Internet, utilizzando meccanismi per rubare informazioni sulle carte di credito e decifrare le password, causando interruzioni dei servizi di AOL. Il programma AOHell ha gettato le basi per il software di phishing automatizzato, influenzando i metodi di phishing successivi, compresi quelli utilizzati dalla comunità Warez, un gruppo coinvolto nell’hacking e nella condivisione di software pirata.

I primi tempi del phishing

Alla comunità Warez si attribuiscono i primi attacchi di phishing organizzati, iniziati nel 1996. Hanno preso di mira gli utenti di AOL utilizzando un algoritmo per generare numeri di carta di credito casuali. Quando trovavano un numero valido, creavano veri account AOL per truffare altri utenti. Questo schema iniziale di phishing si è evoluto in tattiche di social engineering più sofisticate, con gli aggressori che impersonavano i dipendenti di AOL per raccogliere informazioni sensibili.

Dopo queste prime truffe, le tattiche di phishing sono passate rapidamente alle e-mail. Le prime e-mail di phishing andavano da schemi poco convincenti, come quelli che coinvolgevano falsi principi nigeriani, a tentativi più sofisticati come il virus Mimail del 2003. Il virus Mimail veniva distribuito attraverso un’e-mail che sosteneva di provenire da PayPal, invitando gli utenti ad aggiornare i dati della propria carta di credito. Molti utenti, ingannati dal convincente logo di PayPal, hanno inserito le proprie credenziali in un sito web dannoso.

La minaccia umano-centrica

Il phishing è particolarmente pericoloso perché sfrutta la psicologia umana piuttosto che affidarsi alle vulnerabilità tecnologiche. Gli aggressori spesso non hanno bisogno di violare direttamente i sistemi o di superare in astuzia gli strumenti di sicurezza informatica. Invece, ingannano le persone che hanno accesso autorizzato a informazioni sensibili, inducendole a partecipare involontariamente all’attacco.

I phisher possono spaziare da singoli truffatori a bande criminali organizzate e possono utilizzare il phishing per vari scopi malevoli, tra cui il furto di identità, la frode con carta di credito, il furto di denaro, l’estorsione, l’acquisizione di account e lo spionaggio. Gli obiettivi degli attacchi di phishing includono individui, aziende e agenzie governative. Un esempio notevole è l’attacco di phishing alla campagna presidenziale statunitense di Hillary Clinton del 2016, in cui gli hacker russi hanno utilizzato una falsa email di ripristino della password per rubare migliaia di email. Persino l’help desk informatico della campagna è stato ingannato dalle e-mail fraudolente.

Le moderne tecniche di phishing

Il phishing si è evoluto in modo significativo, utilizzando molteplici metodi di comunicazione e tecniche sofisticate per ingannare gli obiettivi. I moderni tentativi di phishing possono imitare da vicino le aziende legittime, rendendo difficile individuarli senza un attento esame.

Alcune tecniche di phishing contemporanee includono:

• Angler Phishing: si verifica attraverso i social media, utilizzando URL contraffatti, messaggi istantanei o profili falsi per raccogliere informazioni sensibili. Gli aggressori possono anche sfruttare i profili dei social media per ottenere informazioni personali per migliorare la loro manipolazione.
• Clonazione e Domain Spoofing: Gli aggressori creano email che assomigliano molto a quelle legittime, utilizzando copie esatte dei messaggi o falsificando i nomi di dominio per far apparire le email autentiche. Spesso si spacciano per grandi e note aziende per indurre gli utenti a divulgare informazioni personali.
• Smishing: questa tecnica combina il phishing con gli SMS, inviando falsi messaggi di testo per raccogliere informazioni come numeri di carte di credito o password.
• Spear Phishing: altamente mirato, lo spear phishing prevede che gli aggressori raccolgano informazioni dettagliate per creare email personalizzate che sembrano provenire da fonti attendibili.
• Whaling: Questo tipo di phishing prende di mira dipendenti di alto livello o persone di alto profilo, spesso coinvolgendo una sofisticata manipolazione sociale e la raccolta di informazioni.
• Vishing: combinando il phishing con il VoIP (voice over Internet Protocol), il vishing consiste in telefonate fraudolente volte a ottenere informazioni sensibili.

In sintesi, il phishing si è evoluto dai primi programmi come AOHell a schemi complessi che coinvolgono vari metodi di comunicazione. La minaccia rimane significativa perché fa leva sulla psicologia umana, per cui è essenziale che individui e organizzazioni rimangano vigili e informati su queste tattiche in continua evoluzione.