Cos’è il Phishing e come difendersi efficacemente

Colpisce persone e aziende e ogni anno viene registrato in costante crescita: il phishing provoca danni e perdite economiche. Per questo occorre conoscerlo e sapere come difendersi

---

“A pesca di password”: questo è la più efficace definizione di phishing, termine nata combinando fishing e password, un’attività criminale che ogni anno si registra in notevole crescita. Il più recente report annunale dell’Internet Crime Complaint Center dell’FBI riporta nel 2020 ben 791.790 denunce complessive di sospetto crimine su Internet con un aumento di oltre 300mila denunce dal 2019, che sono costate più di 4,2 miliardi di dollari agli utenti malcapitati. Il phishing è un attacco informatico e come tale va considerato. Anzi, secondo l’FBI è il primo tra i crimini più segnalati dalle vittime: si contano ben 241.342 denunce sul totale riguardanti truffe di phishing con perdite superiori a 54 milioni di dollari.

In Europa non va meglio, soprattutto per le Pmi: gli effetti possono essere pesanti se si considera che si contano circa 25 milioni di Piccole e medie imprese che danno lavoro a 100 milioni di persone. Un sondaggio dell’ENISA (EU Agency for Cybersecurity) su quasi 250 piccole e medie imprese intervistate rileva che più di un terzo di loro (36%) ha subito un cyber incidente negli ultimi 5 anni. I casi di phishing sono tra gli incidenti informatici più comuni a cui le Pmi rischiano di essere esposte, oltre agli attacchi ransomware, ai computer portatili rubati e alle frodi ai Ceo, ai vertici societari. Proprio questi sono direttamente o meno vittime di casi di truffe che rientrano, come vedremo, nella sfera del phishing. Cos’è questo fenomeno che colpisce così tante persone e aziende? Solo alle aziende italiane, il phishing costa in media 680 mila euro l’anno.

Sicuramente a ognuno di noi sarà capitato di aprire un’email intestata alla propria banca, se non addirittura alle Forze dell’Ordine che ci segnala un pericolo; oppure abbiamo ricevuto un sms o una telefonata. Sono tutte “esche” per il phishing, un’attività di “pesca grossa” se si pensa che la Polizia Postale segnalava nel proprio report annuale 2020 che le truffe sul web erano aumentate vertiginosamente (+436%).

Ora è il momento di spiegare cos’è il phishing, sotto che forma si presenta e come difendersi.

Cos’è il phishing

Per cercare di rispondere alla domanda “il phishing cos’è?” si deve partire dalle email. Sono la forma più comune dietro cui si cela una tecnica fraudolenta che cerca di ottenere i dati personali delle vittime cui sono indirizzate missive di posta elettronica, ma anche messaggi sms, telefonate. Le richieste sono di vario tipo, ma tutte tendono a carpire informazioni su privilegi d’accesso per la carta di credito o per informazioni sensibili, riservate, come l’account di posta elettronica, password e altro.

Sono tecniche che, proprio come la pesca commerciale, funziona con le “reti a strascico”, ovvero sulla quantità di email, sms, telefonate, mezzi usati per raccogliere le informazioni. Le campagne di phishing via e-mail costituiscono un attacco informatico che parte dall’invio di un’e-mail contenente un file o un link che ha l’effetto di inviare malware quando viene cliccato dal destinatario. I criminali possono anche compromettere l’account di posta elettronica di una vittima, penetrandovi all’interno e usando malevolmente le email della vittima per diffondere ulteriormente cyber virus. Ne sa qualcosa la SIAE, Società italiana Autori Editori, vittima di un attacco informatico avviato mediante phishing: pare che 60 Gigabyte di dati siano stati trafugati o almeno così hanno fatto sapere i cyber delinquenti autori dell’episodio, come hanno dichiarato gli stessi, chiedendo poi 3 milioni in bitcoin come riscatto.

Le tecniche fraudolente sono sempre più raffinate: una delle più recenti ha coinvolto suo malgrado, OLAF, l’Ufficio europeo per la lotta antifrode. Diversi utenti hanno segnalato di aver ricevuto un’email che si spacciava provenire da questo ente per estorcere dati sensibili.

Le diverse tipologie

Il phishing è un complesso di tecniche fraudolente che si manifestano in diversi modi e mediante vari strumenti. Lo stessa FBI, a questo proposito, nel proprio report mette insieme phishing, vishing, smishing e pharming. Ognuna ha proprie caratteristiche, anche se il fine è lo stesso: estorcere informazioni riservate e/o soldi. E-mail non richieste, messaggi di testo e telefonate da parte di un’azienda legittima che richiede credenziali personali, finanziarie e/o di accesso sono tutte espressioni.

Whaling

È una frode digitale attraverso tecniche di social engineering, progettata per incoraggiare le vittime a eseguire un’azione, come trasferire fondi. È un tipo specifico di attacco phishing che prende di mira posizioni di vertice aziendali, come Ceo o il direttore finanziario, al fine di rubare informazioni sensibili da una società. Il fine prevalente è raggirare la vittima per autorizzare trasferimenti di denaro, spesso ingenti, al delinquente responsabile dell’aggressione.

La perdita finanziaria o di dati attraverso un attacco di whaling è a volte pesante e causa di serie conseguenze. Un esempio: il produttore aerospaziale austriaco FACC ha perso quasi 50 milioni di euro a seguito di un attacco e-mail mirato nel 2016; per questo ha deciso di licenziare diversi membri del personale tra cui il CEO per il loro presunto coinvolgimento nell’incidente.

Phishing email

È la tecnica per eccellenza: recapitare e-mail per indurre la vittima a fornire privilegi di accesso o dati personali agli autori della truffa. Potrebbero cercare di rubare password, numeri di conto corrente o altri privilegi di accesso. Vengono lanciate ogni giorno migliaia di email fraudolente: il Threat Analysis Group di Google ha annunciato lo scorso ottobre di aver ridotto del 99,6% il volume delle email di phishing correlate su Gmail da maggio 2021, bloccando 1,6 milioni di messaggi email.

Smishing

È la forma di phishing svolta mediante sms. È un fenomeno diffuso e di attualità: proprio di recente la Regione Lazio ha segnalato l’intensificazione di attacchi di questo tipo, che prevedono l’invio di messaggi via smartphone o cellulari contenenti link che portano o a fornire informazioni private o a veicolare malware. Colpisce dappertutto. A Singapore, poco dopo le vacanze di Natale almeno 790 sono stati colpiti, con una perdita di circa 9 milioni di euro, ha segnalato la OCBC Bank. Il problema ha avuto una certa eco, tanto che la Monetary Authority of Singapore è intervenuta, promuovendo nuove misure per rafforzare la sicurezza del digital banking.

Vishing

Con questo termine si definisce una truffa telefonica (la parola combina infatti voice e phishing), perpetrata con tecniche che permettono a chi l’attua di carpire in modo illecito informazioni sulla vittima riguardanti dati personali o bancari.

Pharming

Seppure non vada considerata phishing in quanto non agisce direttamente su una persona, ma su un’infrastruttura tecnologica, colpendo poi persone o aziende è bene segnalarla qui visto che viene correlata. È una tecnica che utilizza mezzi tecnici per reindirizzare gli utenti ad accedere a un falso sito web mascherato da un sito legittimo e divulgare informazioni personali. Come spiega il NIST, viene messo in atto corrompendo un servizio d’infrastruttura come un server DNS e facendo sì che l’abbonato venga indirizzato erroneamente a un verificatore/RP falsificato, che potrebbe indurre l’abbonato a rivelare informazioni sensibili, scaricare software dannoso o addirittura contribuire a un’azione fraudolenta.

Come difendersi dal phishing

Il phishing è da considerare un attacco informatico, uno dei tanti cui purtroppo persone e aziende possono essere vittima. Come difendersi da questo tipo di aggressione, subdola e pericolosa? Qualche prezioso consiglio lo offre la Polizia Postale. Nel sito web fornisce alcune indicazioni da ricordare e, nel caso, mettere in pratica per evitare brutte sorprese.

La prima è: come si riconosce un’email potenzialmente phishing? Pensiamo alla classica email della nostra banca. Se anche non si facesse caso all’indirizzo email del mittente (che già riporta una provenienza assai dubbia), è bene sapere che:

“gli Istituti di Credito o le Società che emettono Carte di Credito non chiedono mai la conferma di dati personali tramite e-mail ma contattano i propri clienti direttamente per tutte le operazioni riservate. Diffidate delle e-mail che, tramite un link in esse contenute, rimandano ad un sito web ove confermare i propri dati”.

Se proprio vi fosse una richiesta di dati personali, quantomeno è bene contattare la propria banca o l’istituto che ha emesso la carta di credito. In ogni caso, prima di cliccare su link presenti in email meglio fare prima una verifica digitando l’indirizzo del sito web della propria banca o della società o ente che ha fatto la richiesta via email.

Un’altra raccomandazione è verificare che nel sito web dove inserire i propri dati, la trasmissione degli stessi venga svolta con protocollo cifrato.

È bene entrare nella pagina web segnalata dall’email digitando l’indirizzo (url) direttamente nel browser ed evitare, invece, sempre di accedere al sito di un servizio di home banking, e-commerce o altro che chiede di autenticarsi da un link inserito in un messaggio.

Un’altra precauzione utile è installare sul proprio computer un filtro anti-spam.

Nel caso invece, siano già stati inseriti i propri dati all’interno di un sito copia, è bene contattare il proprio istituto bancario e si avvisi del fatto, oltre a sporgere denuncia alla stessa Polizia Postale.