Definizione di phishing
Il phishing è un attacco in cui l’attore della minaccia si atteggia a persona o organizzazione fidata per indurre le potenziali vittime a condividere informazioni sensibili o inviare loro denaro. Come per la pesca reale, c’è più di un modo per catturare una vittima: phishing, smishing e vishing via e-mail sono tre tipi comuni. Alcuni aggressori adottano un approccio mirato, come nel caso dello spear phishing o del whale phishing (ulteriori informazioni sui tipi di phishing di seguito).
Come funzionano gli attacchi di phishing
Gli attacchi di phishing iniziano con l’attore della minaccia che invia una comunicazione, agendo come qualcuno fidato o familiare. Il mittente chiede al destinatario di intraprendere un’azione, spesso implicando un’urgenza in tal senso. Le vittime che cadono nella truffa possono divulgare informazioni sensibili che potrebbero costare loro. Di seguito sono riportati ulteriori dettagli su come funzionano gli attacchi di phishing:
- Il mittente : in un attacco di phishing, il mittente imita (o ” falsifica “) qualcuno di cui il destinatario probabilmente conoscerebbe. A seconda del tipo di attacco di phishing, potrebbe essere un individuo, come un familiare del destinatario, l’amministratore delegato dell’azienda per cui lavora o anche qualcuno famoso che presumibilmente sta dando via qualcosa. Spesso i messaggi di phishing imitano le e-mail di grandi aziende come PayPal, Amazon o Microsoft, ma anche banche o uffici governativi.
- Il messaggio : sotto le spoglie di qualcuno di fiducia, l’attaccante chiederà al destinatario di fare clic su un collegamento, scaricare un allegato o inviare denaro. Quando la vittima apre il messaggio, trova un messaggio spaventoso inteso a superare il suo miglior giudizio riempiendoli di paura. Il messaggio potrebbe richiedere che la vittima visiti un sito Web e intraprenda un’azione immediata o rischi una sorta di conseguenza.
- La destinazione : se gli utenti abboccano e fanno clic sul collegamento, vengono inviati a un’imitazione di un sito Web legittimo. Da qui, viene chiesto loro di accedere con le proprie credenziali nome utente e password. Se sono abbastanza creduloni da conformarsi, le informazioni di accesso vanno all’attaccante, che le usa per rubare identità, rubare conti bancari e vendere informazioni personali sul mercato nero.
Chi è preso di mira dal phishing?
Chiunque può essere preso di mira con un attacco di phishing, ma alcuni tipi di phishing vengono effettuati su persone molto specifiche. Alcuni attori delle minacce invieranno un’e-mail generale a molte persone, sperando che alcuni abbocchino in base a un tratto comune. Un esempio potrebbe dire che qualcosa non va nel tuo account Facebook o Amazon e devi fare clic subito su questo link per accedere e risolverlo. Il collegamento probabilmente porterebbe a una pagina Web contraffatta in cui potresti rivelare le tue credenziali di accesso.
Gli attori delle minacce utilizzano attacchi di phishing più mirati se cercano qualcosa di specifico, come l’accesso alla rete o ai dati di una determinata azienda o alle informazioni di un politico o di un candidato politico. Questo si chiama spear phishing. In questo caso, possono ricercare informazioni per rendere il loro attacco familiare e credibile, quindi è più probabile che il bersaglio faccia clic su un collegamento o fornisca informazioni. Un esempio potrebbe essere ricercare il nome e lo stile di comunicazione del CEO di un’azienda target, quindi inviare e-mail o inviare messaggi a dipendenti specifici di quell’azienda che fingono di essere il CEO chiedendo qualcosa.
Mentre gli attori delle minacce spesso fingono di essere CEO nei loro attacchi di phishing, a volte l’obiettivo è il CEO stesso. “Whale phishing” descrive gli attacchi di phishing verso persone di alto profilo come dirigenti aziendali, celebrità o noti individui facoltosi. Che un attacco sia generico o altamente mirato, inviato a una o più persone, chiunque può diventare un bersaglio di phishing, quindi è importante
Tipi di attacchi di phishing
Nonostante le loro numerose varietà, il denominatore comune di tutti gli attacchi di phishing è l’uso di una pretesa fraudolenta per acquisire oggetti di valore. Alcune delle principali categorie includono:
E-mail di phishing
Il phishing via e-mail è uno dei tipi più comuni di phishing. È stato diffuso sin dai primi giorni della posta elettronica. L’attaccante invia un’e-mail con la pretesa di essere una persona affidabile e familiare (rivenditore online, banca, società di social media, ecc.) e ti chiede di fare clic su un link per intraprendere un’azione importante, o magari di scaricare un allegato.
Alcuni esempi specifici di phishing tramite posta elettronica includono:
- Business Email Compromise (BEC): un attacco BEC (Business Email Compromise) prende di mira qualcuno nel dipartimento finanziario di un’organizzazione, spesso il CFO, e tenta di indurli con l’inganno a inviare ingenti somme di denaro. Gli aggressori usano spesso tattiche di ingegneria sociale per convincere il destinatario che inviare denaro è urgente e necessario.
- Clonazione del phishing: in questo attacco, i criminali copiano o clonano e-mail precedentemente consegnate ma legittime che contengono un collegamento o un allegato. Quindi, il phisher sostituisce i collegamenti oi file allegati con sostituzioni dannose mascherate da cose reali. Gli utenti ignari fanno clic sul collegamento o aprono l’allegato, il che spesso consente di requisire i loro sistemi. Quindi il phisher può falsificare l’identità della vittima per mascherarsi da mittente fidato ad altre vittime nella stessa organizzazione.
- 419/Truffe nigeriane: un’e-mail di phishing prolissa da parte di qualcuno che afferma di essere un principe nigeriano è una delle prime e più longeve truffe su Internet. Questo “principe” o ti offre del denaro, ma dice che devi prima inviargli una piccola somma per richiederlo, oppure dice che è nei guai e ha bisogno di fondi per risolverlo. Il numero ” 419 ” è associato a questa truffa. Si riferisce alla sezione del codice penale nigeriano che si occupa di frode, accuse e sanzioni per i trasgressori.
Vishing (phishing delle chiamate vocali)
Con i tentativi di phishing basati sul telefono, a volte chiamati voice phishing o ” vishing “, il phisher chiama sostenendo di rappresentare la tua banca locale, la polizia o persino l’IRS. Successivamente, ti spaventano con una sorta di problema e insistono affinché tu lo chiarisca immediatamente condividendo le informazioni del tuo account o pagando una multa. Di solito ti chiedono di pagare con un bonifico o con carte prepagate, quindi sono impossibili da rintracciare.
Smishing (phishing tramite SMS o SMS)
SMS phishing, o ” smishing “, è il gemello malvagio di vishing, che esegue lo stesso tipo di truffa (a volte con un link dannoso incorporato su cui fare clic) tramite SMS.
Catphishing
Catfishing o catphishing? In ogni caso, è phishing con un tocco romantico. Dai un’occhiata al nostro articolo Bad romance: spiegato il catphishing . Dall’articolo:
Catfishing (scritto con una “f”) è una sorta di inganno online in cui una persona crea una presenza nei social network come un burattino con i calzini o un personaggio online fittizio allo scopo di attirare qualcuno in una relazione, di solito romantica, in ordine per ottenere denaro, regali o attenzioni. Il catphishing (scritto con un “ph”) è simile, ma con l’intento di ottenere un rapporto e (di conseguenza) l’accesso a informazioni e/o risorse su cui il bersaglio ignaro ha diritti.
Spear-phishing
Phishing vs spear phishing : mentre la maggior parte delle campagne di phishing invia e-mail di massa al maggior numero possibile di persone, lo spear phishing è mirato. Lo spear phishing attacca una persona o un’organizzazione specifica, spesso con contenuti personalizzati per la vittima o le vittime. Richiede una ricognizione pre-attacco per scoprire nomi, titoli di lavoro, indirizzi e-mail e simili. Gli hacker perlustrano Internet per confrontare queste informazioni con altre conoscenze ricercate sui colleghi dell’obiettivo, insieme ai nomi e alle relazioni professionali dei dipendenti chiave nelle loro organizzazioni. Con questo, il phisher crea un’e-mail credibile.
Ad esempio, un truffatore potrebbe effettuare il phishing di un dipendente le cui responsabilità includono la capacità di autorizzare i pagamenti. L’e-mail pretende di provenire da un dirigente dell’organizzazione, che ordina al dipendente di inviare un pagamento sostanziale al dirigente oa un fornitore dell’azienda (quando in realtà, il collegamento di pagamento dannoso lo invia all’attaccante).
“Una prolissa e-mail di phishing da parte di qualcuno che afferma di essere un principe nigeriano è una delle prime e più longeve truffe su Internet”.
Phishing delle balene
Il phishing delle balene è quello che probabilmente suona: phishing che prende di mira vittime di alto profilo. Questo può includere celebrità, politici e uomini d’affari di livello C. In genere, l’attaccante tenta di indurre questi noti bersagli a fornire le proprie informazioni personali e/o credenziali aziendali. Gli attacchi di caccia alle balene di solito comportano sforzi di ingegneria sociale per indurre la vittima a credere all’inganno.