Phishing: come funziona e come evitarlo

1 Ott 2014

Gli attacchi di phishing sono di gran lunga il crimine del XXI secolo. I media pubblicano continuamente liste dove appaiono aziende i cui clienti sono stati vittime del phishing. Ciò dimostra senza ombra di dubbio che le truffe online di phishing sono in grande aumento, sia in quanto a qualità che in quantità. Mentre lo spam tende ad essere semplicemente un elemento fastidioso, il phishinhg può portare molto spesso a importanti perdite economiche. Dato che la minaccia è reale, perché non sensibilizzare le persone verso questa minaccia ed imparare ad evitarla?

phishing

Perché il phishing funziona

Sono molti i modi grazie ai quali è possibile prendere in giro gli utenti

Il phishing funziona molto bene e per molte ragioni, in primis la grande abilità dei truffatori, bravissimi ad ingannare le sue vittime e a spingerle a commettere un passo falso. Tra le trappole più popolari vi è, per esempio, quella di far credere agli utenti che gli si sta regalando qualcosa (e come potete immaginare, l’espediente del regalo funziona sempre).

Inoltre, un truffatore potrebbe utilizzare una notizia molto popolare, com’è stato il caso della grande scam scatenatasi dopo la recente World Cup FIFA. Un’altro esempio di come è stato sfruttato il Mondiale risale a questa estate: su di un sito di phishing che imitava la pagina web ufficiale della FIFA è apparso un modulo dove era possibile firmare una petizione in difesa di Luis Albert Suarez, della nazionale uruguaiana. Per poter firmare, un utente doveva completare un formulario online che includeva nome, paese, numero di telefono e email.

Regalare qualcosa è il miglior modo per ingannare una vittima

Un altro caso è quello del sito fraudolento che offriva ai suoi visitatori l’opportunità di scaricare un e-ticket per la championship, ma al posto del biglietto, cliccando sul link, si scaricava un Trojan capace di rubare dati personali e informazioni bancarie.

Avete presente quel consiglio che diamo sempre ai nostri ragazzi o cuginetti, “non accettate mai nulla da sconosciuti” ? Beh, anche noi adulti a volte dovremmo ricordarci di seguirlo. Esistono infatti cybercriminali che usano gli amici delle vittime per inviare contenuti di phishing, per esempio sui social network.

Secondo Kaspersky Lab, nel 2013, circa il 35% degli avvisi del suo modulo anti-phishing riguardava reazioni a siti web di phishing che falsificavano siti di social media. Dei 600 milioni di tentativi di accesso fraudolenti individuati da Kaspersky Lab, il 22% aveva a che fare con pagine Facebook false.

Un altro metodo estremamente fruttifero è spingere l’utene a cliccare sul sito di phishing e creare una specie di “senso di urgenza” e panico. Per esempio, uno scammer potrebbe minacciare la sua vittima col bloccare il suo profilo utente o persino il suo account di banca online – e per rendere il colpo ancora più efficente, il criminale potrebbe anche usare una tecnica denominata “vishing”, simile al phishing ma effettuata tramite servizi di telefonia. Non tutte le persosone sono disposte a rischiare, declinando una richiesta a prima vista ufficiale nella quale un falso ente gli sta chiedendo i dati della carta di credito per prevenire che venga bloccata.

Il phishing evolve costantemente

Una delle ragioni per cui il phishing ha tanto successo è la costante evoluzione delle tecniche e dei strumenti utilizzati, che poco a poco si fanno sempre più sofisticati.

Non è sempre facile distinguere un siti web fasullo da uno legittimo; inoltre, molte di queste pagine hanno un dominio convincente e in certi casi adoperano addirittura il protocollo sicuro HTTPS con dei certificati autentici.

Il phishing mobile inoltre sta guadagnando sempre più terreno: per via delle particolarità tecniche degli smartphone e dei tablet (schermo piccolo, per esempio) è ancora più difficile distinguere un sito legittimo da uno non legittimo.

Tuttavia, la cosa più importante da tenere a mente è che per realizzare un attacco di phishing, un cybercriminale non ha bisogno di violare o penetrare nel dispositivo. Questo è il motivo per cui qualsiasi sistema operativo o piattaforma è esposto allo steso modo, rendendo questa minaccia un pericolo universale.

Il phishing paga bene

Il phishing è una delle azioni criminali più redditizie. I suoi strumenti sono di facile accesso; grazie ai social network, mettere a punto una truffa di phishing è quasi un gioco da ragazzi e non richiede nemmeno un grande impegno, dato che la maggior parte delle azioni possono essere automatizzate.

Se un criminale si organizza bene, potrebbe raccimolare una buona busta paga. Dato che nella maggior parte dei casi i “phisher” vanno alla ricerca di dati bancari, non è difficile immaginare che il malloppo sarà consistente.

Inoltre il phishing tende a essere usato insieme ad altri metodi finendo per creare “cocktail” molto efficaci. Immaginiamo che avete ricevuto una email di phishing via spam; non appena i criminali sono in possesso di tutti i contatti della vostra rubrica, vengono inviate ulteriori mail di phishing. Con un ampio database di contatti, gli hacker possono inviare catene di mail malware e usare la botnet come più preferiscono.

Dunque, non crediate che i criminali abbiano bisogno solo della vostra carta di credito o bancomat. Molti “phisher” sarebbero contentissimi anche solo con l’accesso alle vostre credenziali di posta elettronica o socia media.

Il phishing tende ad essere usato insieme ad altri metodi, finendo per creare “cocktail” criminali esplosivi.

Come evitare il phishing?

Che cosa possiamo fare per combattere il phishing? Prima di tutto, usare un po’ di senso comune.

Mantenete la calma e non lasciatevi trasportare da offerte incredibili o provocazioni; entrambe sono due elementi basilari sia nelle truffe online che nel vishing. Prendetevi qualche minuto per osservare con attenzione l’aspetto del link e dell’URL a cui vi volete connettere. Se ricevete un link sospetto da un amico o collega di lavoro, verificate che sia stato lui/lei ad inviarvelo prima cliccarci sopra. Nel caso di attacchi di vishing, ricordate che nessun impiegato bancario insisterebbe mai nel voler sapere il pin della vostra carta di credito.

Non visitate mai una pagina web da un link sospetto, inserite sempre l’indirizzo manualmente. Inoltre (non ci sarebbe nemmeno bisogno di dirlo) quando si naviga su Internet bisognerebbe sempre avere installato una rubusta applicazione di sicurezza. Non dimenticare di aggiornare regolarmente il vostro antivirus, specialmente se dotato di un modulo anti-phishing. Per esempio, un build del modulo anti-phishing, parte di Kaspersky Internet Security, verifica e controlla i siti web comparandoli con quelli presenti nel database fraudolento e identifica potenziali pagine pericolose in base a più di 200 criteri.