Google stima che oltre 12,3 milioni di persone cadano ogni anno vittime di phishing. Nonostante i primi attacchi di phishing siano stati registrati alla fine del secolo scorso e i metodi tradizionali stiano progressivamente passando in secondo piano, questo tipo di frode informatica continua a rappresentare un pericolo piuttosto grave sia per i privati che per le aziende.
Per ridurre al minimo i rischi di diventare una vittima del phishing, dovresti familiarizzare in dettaglio con questo tipo di frode informatica.
Cos’è il phishing?
Nella stragrande maggioranza dei casi, il phishing è la distribuzione di lettere per conto di società abbastanza note e di natura di massa. Tali messaggi di solito contengono un collegamento che porta a un sito che, dopo un’iniziale ispezione superficiale, non è diverso da quello reale. Inserendo informazioni riservate nei campi appropriati, che i truffatori ottengono utilizzando una varietà di trucchi, l’utente consente ai criminali informatici di accedere ai propri account.
Come è iniziato tutto
La prima menzione di phishing relativa ad AOL è apparsa nel 1996.
I truffatori, fingendosi dipendenti di una società di media, hanno chiesto agli utenti di fornire loro le password per i loro account e, dopo aver ottenuto l’accesso, le hanno utilizzate per inviare spam. La distribuzione ai sistemi di pagamento è iniziata nei primi anni 2000 e nel 2006 i cyber truffatori sono entrati in MySpace, rubando i dati di registrazione degli utenti.
Obiettivo di phishing
Considerando il fatto che gli attacchi di phishing possono essere svolti sia su privati che su aziende, differiscono anche gli obiettivi perseguiti dai truffatori.
Quindi, nel primo caso, l’obiettivo è ottenere l’accesso a login e password, nonché ai numeri di conto degli utenti dei servizi bancari, nonché ai sistemi di pagamento e ai social network. Inoltre, vengono spesso effettuati attacchi di phishing per installare software dannoso sul computer di una potenziale vittima.
Incassare account a cui hanno avuto accesso i truffatori è un processo piuttosto complicato da un punto di vista tecnico ed è molto più facile catturare una persona coinvolta in tali operazioni.
Pertanto, dopo aver ricevuto informazioni riservate, il truffatore, nella stragrande maggioranza dei casi, le vende semplicemente ad altre persone utilizzando metodi comprovati per prelevare fondi dai conti. Nel caso in cui venga effettuato un attacco di phishing su un’azienda, l’obiettivo prioritario è accedere all’account di uno dei dipendenti per poi attaccare l’azienda nel suo insieme.
Metodi e schemi di phishing
Metodo di ingegneria sociale
In questo caso, i truffatori, spacciandosi per dipendenti di note aziende, informano la potenziale vittima che è necessario aggiornare i dati personali, o fornirli, cosa che di solito è spiegata da un errore o una perdita del sistema.
Questo schema sfrutta il fatto che le persone di solito reagiscono a eventi significativi, in relazione ai quali gli organizzatori dell’attacco di phishing cercano di eccitare il più possibile l’utente, costringendolo a intraprendere immediatamente l’azione di cui i truffatori hanno bisogno. È generalmente accettato che una lettera con la frase “per ripristinare l’accesso all’account, segui il link …” nel titolo attiri l’attenzione dell’utente, costringendolo a fare clic.
Semplice inganno
Questo schema, in cui i truffatori inviano un’e-mail per conto di una nota azienda, inclusa la richiesta di seguire un collegamento, è il più comune e consente di inviare milioni di e-mail di spam entro un’ora. Per sottrarre dati personali vengono creati siti di phishing che, a prima vista, esteriormente non differiscono da quelli reali. Nella stragrande maggioranza dei casi, vengono utilizzati domini che differiscono da quelli reali letteralmente per un carattere.
Fishing con arpione
In questo caso, l’attacco non è massiccio, ma viene effettuato su una persona specifica. In genere, tale schema viene utilizzato per aggirare la protezione dell’azienda e condurre un attacco mirato. I truffatori informatici studiano preliminarmente le potenziali vittime utilizzando i social network, oltre ad altri servizi, adattando così i messaggi, rendendoli più convincenti.
“caccia alle balene”
Un metodo simile viene utilizzato in un attacco di phishing ai vertici aziendali e ai dirigenti dell’azienda, e per avere la massima idea delle qualità personali di una potenziale vittima, i truffatori passano molto tempo cercando di trovare il modo più appropriato per rubare informazioni confidenziali.
Distribuzione virus
Spesso gli attacchi di phishing non vengono utilizzati per rubare dati personali, ma per danneggiare un particolare gruppo di persone. Per fare ciò, viene inserito un collegamento in un messaggio di phishing, cliccando sul quale viene scaricato un programma dannoso sul computer della vittima, con il quale è possibile assumere il pieno controllo del computer dell’utente.
Agricoltura
Utilizzando questo metodo, che è abbastanza nuovo, i truffatori ottengono dati personali utilizzando siti Web ufficiali. Tale phishing, quando l’indirizzo digitale del sito Web ufficiale dell’azienda sul server DNS viene falsificato e l’utente viene automaticamente reindirizzato a un sito falso, è molto più pericoloso dei metodi tradizionali, poiché in questo caso lo spoofing è semplicemente impossibile da vedere. Ebay e PayPal hanno già sofferto di un tale schema di phishing.
Vishing
In questo caso si utilizza la comunicazione telefonica, e il numero di telefono stesso, che deve essere chiamato per eliminare il “problema”, è indicato in una lettera di natura di notifica. Inoltre, già direttamente nel corso di una conversazione telefonica, i truffatori chiedono all’utente di fornire dati identificativi al fine di risolvere il problema nel più breve tempo possibile.
Come proteggersi dal phishing
Prima di tutto, dovresti imparare a calcolare tu stesso il phishing e quando ricevi lettere che ti chiedono di “verificare” il tuo account, contatta immediatamente l’azienda per autenticare il messaggio.
Invece di utilizzare collegamenti ipertestuali, dovresti inserire manualmente l’URL dell’azienda nel tuo browser. La stragrande maggioranza dei messaggi provenienti da servizi reali contiene alcune informazioni che non sono disponibili per i phisher principianti, come il nome o le ultime cifre di un account, sebbene ciò riduca solo leggermente i rischi. Vale la pena notare che un collegamento a un sito di phishing può anche essere contenuto nei messaggi di amici i cui account sono stati violati.
Metodi tecnici per ridurre al minimo i rischi
Molti browser avvertono già gli utenti di Internet delle minacce di phishing, per cui mantengono i propri elenchi di tali siti. Anche i servizi di posta stanno combattendo, migliorando i filtri antispam e analizzando le e-mail di phishing. Le grandi aziende, al fine di ridurre al minimo i rischi, complicare le procedure di autorizzazione e migliorare la protezione dei dati personali.
L’esperto di sicurezza delle informazioni Mikhail Tereshkov, che rappresenta JSC ER-Telecom Holding, offre diversi metodi di protezione contro il phishing abbastanza semplici ma efficaci. È necessario prestare particolare attenzione al fatto che il sito abbia un certificato di sicurezza simile a https e modificare anche le password predefinite del router. Quando si effettuano acquisti, è meglio non utilizzare il Wi-Fi pubblico e quando si paga in un negozio online sconosciuto, è necessario raccogliere maggiori informazioni al riguardo.
Uscita
Tenendo conto del fatto che gli attacchi informatici sono entrati da tempo nelle nostre vite, la protezione qualificata contro i criminali informatici è diventata uno dei compiti principali delle aziende che sviluppano servizi di e-commerce, tuttavia, gli utenti ordinari non dovrebbero dimenticare le misure che possono ridurre al minimo il rischio di cadere la trappola dei criminali.
