Introduzzjoni għall-Phishing
Phishing hija forma ta’ inġinerija soċjali. B’differenza minn attakki ċibernetiċi oħra li jimmiraw direttament lejn in-netwerks u r-riżorsi, l-attakki tal-inġinerija soċjali jużaw żbalji umani, stejjer foloz, u tattiċi ta’ pressjoni biex jimmanipulaw lill-vittmi biex jagħmlu ħsara lilhom infushom jew lill-organizzazzjonijiet tagħhom mingħajr ma jkunu intenzjonati. F’attentat tipiku ta’ phishing, kriminal jippretendi li hu xi ħadd li l-vittma tafda, bħal kollega, imgħallem, figura ta’ awtorità, jew rappreżentant ta’ marka magħrufa sew. Il-kriminal jibgħat messaġġ li jagħti struzzjonijiet lill-vittma biex tħallas fattura, tiftaħ anness, tikklikkja fuq link, jew tieħu xi azzjoni oħra.
L-evoluzzjoni u l-impatt tal-attakki ta’ phishing
Il-phishing, terminu li issa huwa sinonimu maċ-ċiberkriminalità, oriġina minn programm żviluppat minn żagħżugħ f’Pennsylvania msejjaħ AOHell. Dan il-malware bikri kien immirat lejn AOL (America Online), servizz online popolari fil-bidu tal-internet, billi uża mekkaniżmi biex jisraq informazzjoni dwar karti ta’ kreditu u jikxef passwords, u wassal għal tfixkil fis-servizzi ta’ AOL. Il-programm AOHell witta t-triq għal softwer awtomatizzat ta’ phishing, u influwenza metodi ta’ phishing sussegwenti, inklużi dawk użati mill-komunità Warez – grupp involut fil-hacking u l-kondiviżjoni ta’ softwer piratat.
L-ewwel jiem tal-phishing
Il-komunità Warez hija kkreditata bl-ewwel attakki ta’ phishing organizzati, li bdew fl-1996. Huma mmirati lejn utenti tal-AOL billi użaw algoritmu biex jiġġeneraw numri każwali ta’ karti ta’ kreditu. Meta sabu numru validu, ħolqu kontijiet reali tal-AOL biex iqarrqu b’utenti oħra. Din l-iskema inizjali ta’ phishing evolviet f’tattiċi ta’ inġinerija soċjali aktar sofistikati, b’attakkanti jimpersonaw impjegati tal-AOL biex jiġbru informazzjoni sensittiva.
Wara dawn l-iskemi bikrija, it-tattiċi tal-phishing malajr għaddew għall-email. L-emails bikrija tal-phishing varjaw minn skemi mhux konvinċenti, bħal dawk li jinvolvu prinċpijiet Niġerjani foloz, għal tentattivi aktar sofistikati bħall-virus Mimail tal-2003. Il-virus Mimail kien imqassam permezz ta’ email li kienet tgħid li kienet ġejja minn PayPal, u li kienet tħeġġeġ lill-utenti biex jaġġornaw id-dettalji tal-karta ta’ kreditu tagħhom. Ħafna utenti, imqarrqa mil-logo konvinċenti ta’ PayPal, daħħlu l-kredenzjali tagħhom fuq websajt malizzjuża.
It-theddida ċċentrata fuq il-bniedem
Il-phishing huwa partikolarment perikoluż għaliex jisfrutta l-psikoloġija umana aktar milli jiddependi fuq vulnerabbiltajiet teknoloġiċi. L-attakkanti spiss ma jkollhomx bżonn jiksru s-sistemi direttament jew jegħlbu l-għodod taċ-ċibersigurtà. Minflok, iqarrqu bl-individwi b’aċċess awtorizzat għal informazzjoni sensittiva, u jwassluhom biex bla ma jafu jgħinu fl-attakk.
Il-phishers jistgħu jvarjaw minn scammers individwali għal gruppi kriminali organizzati u jistgħu jużaw il-phishing għal diversi skopijiet malizzjużi, inkluż is-serq tal-identità, frodi ta’ karti ta’ kreditu, serq ta’ flus, estorsjoni, teħid ta’ kontroll ta’ kontijiet, u spjunaġġ. Il-miri tal-attakki ta’ phishing jinkludu individwi, korporazzjonijiet, u aġenziji governattivi. Eżempju notevoli huwa l-attakk ta’ phishing fuq il-kampanja presidenzjali tal-Istati Uniti tal-2016 ta’ Hillary Clinton, fejn hackers Russi użaw email falza ta’ reset tal-password biex jisirqu eluf ta’ emails. Anke l-help desk tal-IT tal-kampanja ġie mqarraq bl-emails frodulenti.
Tekniki moderni ta’ phishing
Il-phishing evolva b’mod sinifikanti, billi juża diversi metodi ta’ komunikazzjoni u tekniki sofistikati biex iqarraq bil-miri. It-tentattivi moderni ta’ phishing jistgħu jimitaw mill-qrib kumpaniji leġittimi, u dan jagħmilha diffiċli li jiġu skoperti mingħajr skrutinju bir-reqqa.
Xi tekniki kontemporanji ta’ phishing jinkludu:
- Angler Phishing: Dan iseħħ permezz tal-midja soċjali, bl-użu ta’ URLs foloz, messaġġi instantanji, jew profili foloz biex jiġbru informazzjoni sensittiva. L-attakkanti jistgħu wkoll jisfruttaw il-profili tal-midja soċjali għal informazzjoni personali biex itejbu l-manipulazzjoni tagħhom.
- Klonazzjoni u Spoofing tad-Dominju: L-attakkanti joħolqu emails li jixbħu ħafna lil dawk leġittimi, billi jużaw kopji eżatti ta’ messaġġi jew jiffalsifikaw ismijiet ta’ dominju biex jagħmlu l-emails jidhru ġenwini. Spiss jimpersonifikaw kumpaniji kbar u magħrufa biex iqarrqu bl-utenti biex jiżvelaw informazzjoni personali.
- Smishing: Din it-teknika tgħaqqad il-phishing mal-SMS, fejn tibgħat messaġġi foloz biex tiġbor informazzjoni bħal numri ta’ karti ta’ kreditu jew passwords.
- Spear Phishing: Spear phishing immirat ħafna jinvolvi lill-attakkanti jiġbru informazzjoni dettaljata biex joħolqu emails personalizzati li jidhru li ġejjin minn sorsi fdati.
- Kaċċa għall-Balieni: Dan it-tip ta’ phishing jimmira lejn impjegati ta’ livell għoli jew individwi ta’ profil għoli, ħafna drabi jinvolvi manipulazzjoni soċjali sofistikata u ġbir ta’ intelliġenza.
- Vishing: Billi jikkombina l-phishing mal-VoIP (voice over Internet Protocol), il-vishing jinvolvi telefonati frodulenti mmirati biex jiksbu informazzjoni sensittiva.
Fil-qosor, il-phishing evolva minn programmi bikrija bħal AOHell għal skemi kumplessi li jinvolvu diversi metodi ta’ komunikazzjoni. It-theddida tibqa’ sinifikanti għaliex taffettwa l-psikoloġija umana, u dan jagħmilha essenzjali għall-individwi u l-organizzazzjonijiet li jibqgħu viġilanti u infurmati dwar dawn it-tattiċi li dejjem jevolvu.
Jekk trid titgħallem aktar dwar dan is-suġġett, iċċekkja dawn:
https://www.ibm.com/topics/phishing
