Phishing
Le tipologie di phishing esistenti sono moltissime.
Quante volte ci sarà capitato di ricevere una mail o un sms di questo tenore: “Congratulazioni, hai vinto il nuovo iPhone, clicca qui per scoprire come ritirarlo”, che ci invita a cliccare su un certo link. Capita anche spesso di ricevere e-mail apparentemente provenienti dalla propria banca che, riferendo problemi di registrazione o di altra natura, invita a fornire i propri dati di accesso o a modificare il codice pin della propria carta.
Si tratta, in realtà, di vere e proprie truffe note come phishing, attuate tramite particolari modalità e aventi obbiettivi specifici. Il phishing si sostanzia nell’attività di un utente malintenzionato (il phisher) che, attraverso mezzi tecnologici e tecniche di ingegneria sociale, tenta di ingannare un utente destinatario al fine di carpire dati e informazioni, ottenere pagamenti ingiustificati e/o installare virus e malware.
Per difendersi da questa tipologie di truffe occorre conoscere e riconoscere le diverse tipologie di phishing, oltre che dotarsi di adeguati strumenti di prevenzione e avere consapevolezza dei rimedi utilizzabili.
Le diverse tipologie di phishing
Le tipologie di phishing esistenti sono moltissime.
| Mezzo | Descrizione |
| Si tratta del più̀ comune strumento di phishing. Ottenere l’indirizzo mail del destinatario è, infatti, piuttosto facile (si pensi a quante volte ciascuno di noi lo utilizza per registrarsi a siti web e applicazioni). È accompagnata da un link o da allegati malevoli. |
|
| SMS | Si parla, in questi casi, di SMishing. Si tratta di una tipologia di phishing sempre più̀ frequente, dato il continuo uso e la familiarità̀ di ciascuno con il proprio telefono. È accompagnato da un link. |
| Sito Web | È uno strumento spesso usato in connessione ad altri (raggiungibile tramite link in una mail o in un SMS), ma può accadere che esistano siti web esistenti su domini appositamente registrati per confondere direttamente gli utenti del web. È solitamente presente uno spazio per inserire delle credenziali. Accade spesso che siano incluse indicazioni e strumenti per effettuare pagamenti. Può contenere malware e codici autoeseguibili |
| Chiamate | Lo strumento della chiamata permette all’utente malintenzionato di simulare l’esistenza di un call center e carpire dati personali o altre informazioni riservate. |
| Codice QR | Si tratta di uno strumento che ha avuto rapida diffusione negli ultimi anni e, per questo motivo, sempre più utilizzato da utenti malintenzionati. La natura del QR code presenta diversi vantaggi per il phisher. Non c’è modo, infatti, di sapere in quale ambiente virtuale si finisca prima che si inquadri il QR code con lo smartphone. Tipicamente, vengono messi falsi codici QR nelle zone di sosta, invitando l’utente a scannerizzare il codice per pagare il parcheggio tramite un (falso) sito, appositamente creato. |
In secondo luogo, occorre prendere in considerazioni le diverse tecniche utilizzate dal phisher per ingannare il destinatario. Ogni tecnica comporta strategie e metodi diversi che aumentano o diminuiscono il rischio di essere ingannati.
| Tecnica | Modalità | Esempi | Rischio |
| Spear Phishing Il phisher finge di essere un soggetto noto al destinatario. L’attacco è diretto e pensato per un singolo destinatario o un gruppo di destinatari specifici. Lo spear phishing è detto anche “whaling” quando i destinatari sono soggetti di alto/altissimo profilo e dotati di accessi o risorse di grado elevato. |
Solitamente, questa tecnica viene utilizzata nel phishing tramite email. L’utente malintenzionato: ⦁ utilizza indirizzi mail molto simili a quelli del (finto) mittente; ⦁ utilizza loghi, immagini e marchi simili (se non identici) a quelli del finto mittente; ⦁ utilizza un linguaggio e un tono simili a quelli del finto mittente; ⦁ rappresenta problemi tecnici, di registrazione o di altra natura, per giustificare la propria mail. |
Il phisher solitamente si finge: ⦁ la banca dove il destinatario ha un conto corrente ⦁ un ente o un soggetto con cui il destinatario ha un rapporto ⦁ un collega ⦁ un dipendente o un superiore ⦁ un familiare o un amico Nella prassi, il messaggio del phisher è giustificato da un problema tecnico o di registrazione tale per cui, per esempio, la banca richiede di immettere le proprie credenziali o fornire il pin della propria carta di credito. |
ALTO |
| Clone phishing L’utente malintenzionato crea una copia quasi identica di un messaggio legittimo già ricevuto dal destinatario e lo invia nuovamente, includendo elementi malevoli. L’attacco è specifico per un singolo destinatario. |
L’utente malintenzionato: ⦁ utilizza indirizzi mail molto simili a quelli del (finto) mittente; ⦁ lascia (sostanzialmente) invariato il corpo e il testo della mail, compresi loghi e immagini; ⦁ modifica elementi della mail in maniera non immediatamente percettibile, rendendoli malevoli. |
Tipicamente, il phisher modifica link e allegati dichiarando che si tratta di una versione aggiornata, nascondendo così strumenti malevoli. Alternativamente, può inserirsi in un rapporto consolidato (es: tra un superiore e un dipendente, relativamente ad ordini di pagamento frequenti), inserendo coordinate bancarie diverse. |
Alto / Massimo |
| Routine activity phishing Il malintenzionato chiede al destinatario di effettuare un’attività (tipicamente un pagamento) che il destinatario è abituato a fare. Non necessariamente il phisher conosce i destinatari |
Questa tecnica può sfruttare mezzi diversi e combina tecniche ulteriori. Il phisher: ⦁ impersona un soggetto che ricorre abitualmente nella vita del destinatario o che il destinatario non trova sospetto ⦁ utilizza nomi, loghi, immagini e marchi credibili |
Un esempio, è la tecnica di pagamento del parcheggio tramite QR Code che riporta a un sito fittizio. Alternativamente, l’utente può fingersi un ente istituzionale (es: il messaggio del (finto) Ministero della Salute che informa di una pretesa sospensione del “green pass” del destinatario) o un soggetto che offre servizi ricorrenti che chiede conferme e pagamenti. |
Medio / Alto |
| Prize & package phishing L’utente malintenzionato informa il mittente che quest’ultimo ha diritto ad ottenere qualche cosa. L’attacco è generale e impersonale, tipicamente il phisher non conosce i destinatari. |
L’utente malintenzionato: ⦁ utilizza banner o avvisi su siti web, che attirano l’attenzione del destinatario; ⦁ richiede al destinatario di compiere un azione specifica per ottenere un vantaggio; ⦁ informa il destinatario di eventuali problemi che giustificano l’azione da compiere. ⦁ promette promozioni e offerte. |
Molto frequentemente il phisher invia email che informano il destinatario di aver vinto un premio che può ritirare, previa conferma dell’identità, cliccando su uno specifico link. Spesso, vengono inviati messaggi da (finti) spedizionieri che indicano che il destinatario deve ritirare un pacco, confermando la volontà di procedere tramite uno specifico link. |
Medio / Basso |
L’ultimo elemento del phishing è costituito dall’obbiettivo dell’utente malintenzionato. Il phisher, infatti, può voler ottenere determinate informazioni o richiedere certi comportamenti al destinatario. In base a ciò che l’utente malintenzionato vuole ottenere, agirà e predisporrà la truffa in modo diverso.
