Cos'è il phishing? Ecco tutto quello che devi sapere

Cos'è il phishing? Come la pesca vera, non è divertente essere all’estremità dell’amo. Ma è lì che probabilmente ogni utente moderno del web si ritroverà ad un certo punto del suo tempo online. Che si tratti di un'e-mail fasulla che promette milioni, di una telefonata che afferma di provenire dalla tua banca o di un modulo di accesso a un sito Web falso, il phishing è ovunque. La cosa spaventosa? È più redditizio che mai.

Contenuti

  • Ingegneria sociale
  • Forme fasulle
  • Phishing mirato

A differenza di molte minacce moderne alla nostra identità digitale, però, le truffe di phishing sì esisteva da secoli in forma più classica e decenni nella loro fase più recente. Oggi sono in gioco nuovi metodi e vettori di attacco, ma tutto ciò che fanno è sfruttare i nuovi mezzi di comunicazione per eseguire le stesse truffe secolari che ingannano da sempre le persone incaute.

Video consigliati

Ingegneria sociale

La sicurezza informatica paga e prega

Il componente principale di qualsiasi truffa di phishing è Ingegneria sociale. Questa è la pratica di indurre l'utente a credere che la persona, l'e-mail o la pagina web con cui hanno a che fare sia legittima. Commettere una frode è manipolazione psicologica. Una forma digitale dei classici trucchi di fiducia per incoraggiare la divulgazione di informazioni personali.

L’uso più classico dell’ingegneria sociale nel phishing è con la posta elettronica. La truffa del Principe nigeriano è ben nota, ma ha anche altro forme moderne sui social media. Altre variazioni sul tema includono telefonate, e-mail o messaggi di social network che sembrano provenire dalla tua banca che vogliono che tu faccia clic su un collegamento o su un'e-mail che sembra provenire da un collega che ha un disperato bisogno che tu apra un attaccamento. In alcuni casi ciò porta a siti dannosi che continuano l'attacco di phishing, ma possono anche scaricare software dannoso che inserisce malware per un attacco combinato.

In ogni caso, gli attacchi di phishing che si basano sull'ingegneria sociale incoraggiano l'utente a compiere un'azione non consigliabile. Possono usare il linguaggio per suggerire che il tempo è essenziale, fare appello alla buona natura o suggerire familiarità per esercitare ulteriore pressione sulla potenziale vittima.

Una buona regola pratica per evitare tali truffe è considerare il vecchio adagio “è troppo bello per essere vero” e non fare mai clic sui collegamenti all’interno delle e-mail. Quando si tratta di allegati, chiedere ai colleghi di distribuirli su piattaforme di condivisione file è più sicuro e meno suscettibili di manipolazione rispetto alle e-mail che possono essere facilmente falsificate per far sembrare che provengano da qualche parte legittimo.

Forme fasulle

Una forma di phishing più inattiva implica la falsificazione di qualcosa di più di una semplice e-mail. In alcuni casi interi siti web, o almeno le loro pagine di accesso, vengono falsificati per dare ulteriore sensazione di legittimità. Potrebbero utilizzare indirizzi web apparentemente simili, opere d'arte copiate, scelte di design e persino certificati di sicurezza, a seconda della complessità della falsificazione.

Come nel caso delle truffe via e-mail, i siti Web di phishing sono progettati per incoraggiare la vittima a condividere le proprie informazioni personali. Un sito bancario o un social network falso potrebbero rubare le tue credenziali di accesso. Un falso scambio Bitcoin potrebbe tentare di rubare la tua criptovaluta.

Anche se meno comune, la forma più sofisticata di spoofing di siti Web prevede l'utilizzo di una falla di sicurezza in un sito Web legittimo per dirottarlo. Quando le vittime tentano di accedere, in realtà inseriscono le proprie informazioni in un modulo di accesso fasullo o concedono agli aggressori la possibilità di accedere a quel sito contemporaneamente a loro.

Il modo migliore per evitare tali attacchi è assicurarsi sempre di trovarsi effettivamente sul sito Web giusto, non su uno con un URL simile, e diffidare di eventuali richieste di accesso inaspettate. In caso di dubbi, digita l'indirizzo web che sai essere sicuro nel tuo browser web invece di utilizzare i collegamenti.

Phishing mirato

Il phishing è generalmente piuttosto generico e gli aggressori cercano di allargare la propria rete per cercare di intrappolare quante più potenziali vittime possibile. Ciò è particolarmente importante ora che la maggior parte dei browser Web moderni adotta misure di sicurezza anti-phishing. Tuttavia, alcuni degli attacchi di phishing più efficaci hanno avuto successo perché erano mirati. La pratica di utilizzare informazioni specifiche su individui, magari raccolte da un precedente attacco di ingegneria sociale o malware, è nota come spear phishing.

Lo spear phishing può assumere le sembianze di e-mail, telefonate o messaggi istantanei più o meno allo stesso modo degli attacchi più generali. Impiegheranno tattiche disarmanti come l'uso del nome o informazioni personali preferite che potrebbero sembrare provenire solo da una fonte legittima. Questo può essere a scopo di guadagno monetario, ma ci sono stati anche casi in cui è stato utilizzato a tale scopo spionaggio industriale e manipolazione politica.

Secondo a Studio sulla rete del 2017, l’attacco di spear phishing mediamente riuscito contro le aziende frutta agli aggressori 1,6 milioni di dollari, rendendolo molto più redditizio rispetto ad altri tipi di attacchi digitali.

Un’altra forma di phishing più di nicchia conosciuta come “whaling” può essere ancora più redditizia. Si rivolge specificamente a individui e aziende con patrimoni elevati con lo scopo di truffarli o ottenere un accesso digitale di alto livello a un'organizzazione.

Gli attacchi di spear phishing sono, per loro stessa natura, molto più difficili da individuare ed evitare. Tuttavia, è importante ricordare che si basano sulle stesse tecniche di manipolazione di altre truffe di phishing. Vogliono le tue informazioni. Se presti molta attenzione alle informazioni che fornisci e al contesto in cui le offri, dovresti essere relativamente al sicuro da tutte le forme di phishing.

Puoi mitigare ulteriormente i problemi associati agli attacchi di phishing utilizzando password univoche su tutti i tuoi servizi e archiviandole in un potente gestore di password.

Raccomandazioni degli editori

  • Laptop con ricarica USB-C: ecco cosa devi sapere
  • Cos'è la RAM? Ecco tutto quello che devi sapere
  • Tutto quello che devi sapere sull'acquisto di una GPU nel 2023
  • Meta Quest 3: tutto quello che devi sapere
  • Microsoft ti ha appena offerto un nuovo modo per proteggerti dai virus

Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.