Che cos'è il phishing?

Come funziona il phishing?

Il modo più semplice per commettere una rapina è probabilmente quello di convincere le vittime che non si tratta affatto di una rapina. Questo è il concetto alla base delle truffe di phishing.

Gli attacchi di phishing iniziano con un'e-mail, una telefonata, un messaggio SMS, un post sui social media o altre comunicazioni che sembrano provenire da una fonte affidabile. L'aggressore può avere vari obiettivi, come indurre la vittima a fornire informazioni sul suo conto in banca, effettuare un trasferimento con PayPal, scaricare un malware nascosto e così via.

Vediamo un esempio tipico: la vittima riceve un'e-mail o un messaggio di testo da quella che sembra essere la sua banca. Il messaggio di phishing menziona un'offerta speciale in scadenza, un probabile furto d'identità o qualcosa di simile, e chiede alla vittima di accedere al proprio conto bancario tramite un link. Questo link rimanda però a una finta pagina web di login, dove il malcapitato fornisce involontariamente all'aggressore le proprie credenziali di accesso.

L'attacco illustrato in questo esempio, come la maggior parte degli attacchi di phishing, crea con abilità un certo senso di urgenza che induce la vittima ad abbassare la guardia, invece di prendersi il tempo necessario per valutare l'attendibilità del messaggio. Tuttavia, sventare un attacco potrebbe essere più facile a dirsi che a farsi, dato che i trucchi degli aggressori sono molteplici.

Tipi di attacchi di phishing

Gli aggressori hanno sviluppato un'ampia varietà di tecniche di phishing per riuscire a sfruttare tecnologie, tendenze, settori e utenti diversi. Ecco alcune delle tipologie più comuni:

• Phishing via e-mail: un'e-mail proveniente da un mittente apparentemente legittimo cerca di indurre il destinatario a seguire un link dannoso e/o a scaricare un file infetto. L'indirizzo e-mail e gli URL contenuti in un'e-mail di phishing possono utilizzare lo spoofing per apparire legittimi.
• Smishing/phishing via SMS: attraverso messaggi di testo, gli aggressori cercano di indurre le vittime a fornire informazioni personali, come numeri di carte di credito o altri numeri di conto.
• Vishing/phishing vocale: questi attacchi sono essenzialmente simili allo smishing, ma vengono effettuati tramite una telefonata e mirano a ottenere informazioni sulle carte di credito o altri dati sensibili.
• Angler phishing: gli aggressori si fingono organizzazioni legittime sui social media e richiedono informazioni personali alle vittime, spesso offrendo carte regalo, sconti, ecc.
• Phishing via pop-up: un attacco molto comune sugli smartphone, che consiste in un'offerta o un messaggio di avvertimento che appare sotto forma di pop-up e generalmente contiene un link dannoso per indurre le vittime a divulgare i propri dati personali.
• Spear phishing: mentre molte truffe di phishing cercano vittime a caso, gli attacchi di spear phishing prendono di mira individui specifici di cui l'aggressore conosce già in parte i dati personali. Questo ulteriore dettaglio può incrementare notevolmente le probabilità di successo dell'attacco.
• Whaling: gli aggressori inviano attacchi di phishing ai dirigenti o ad altri membri importanti di un'organizzazione nel tentativo di estrapolare informazioni che consentano di ottenere un accesso con privilegi all'ambiente di destinazione.
• Clone phishing: i phisher inviano alle vittime e-mail che sembrano provenire da mittenti di cui la vittima si fida, come istituzioni finanziarie o servizi aziendali. Si tratta di un fenomeno strettamente legato allo spear phishing, ed è una tattica comune negli attacchi BEC (Business Email Compromission).
• Evil twin phishing: gli aggressori attirano le vittime con un hotspot Wi-Fi apparentemente attendibile, quindi lanciano attacchi "man in middle" intercettando i dati che le vittime trasferiscono attraverso la connessione.
• Pharming: gli aggressori sabotano le funzionalità di un server DNS (Domain Name System) in modo da reindirizzare gli utenti a un sito web fittizio e dannoso, anche se digitano un URL benigno.

Quanto sono pericolosi gli attacchi di phishing?

Gli attacchi di phishing possono essere estremamente pericolosi. Le campagne di phishing di grandi dimensioni possono colpire milioni di persone e rubare dati sensibili, installare ransomware e altri malware e ottenere l'accesso alle aree più sensibili dei sistemi aziendali.

Perdita di dati sensibili, danni alla reputazione e problemi legali sono alcune delle possibili conseguenze di un attacco di phishing riuscito che hanno ripercussioni sull'intera organizzazione. I rischi per le vittime degli attacchi di phishing possono includere la perdita o la compromissione dei dati sensibili; inoltre, le imprese devono affrontare anche possibili danni alla reputazione e problemi legali.

Qual è l'impatto del phishing sulle aziende?

Le conseguenze di un attacco di phishing riuscito possono essere gravi e di ampia portata per un'organizzazione. Un conto bancario aziendale compromesso può generare delle perdite finanziarie, mentre un attacco ransomware lanciato da un vettore di phishing può comportare la perdita di dati. Inoltre, una qualsiasi violazione dei dati sensibili può portare a un grave danno reputazionale per un'organizzazione, perché sarebbe necessario renderla nota al pubblico.

Ognuno di questi effetti può avere a sua volta conseguenze ancora più gravi. I criminali informatici possono vendere i dati rubati sul dark web anche a concorrenti senza scrupoli. Inoltre, molte violazioni dovranno essere rese note agli enti di regolamentazione di settore o governativi, che potrebbero imporre multe o altre sanzioni. L'organizzazione potrebbe essere inoltre coinvolta in indagini sulla criminalità informatica, che possono richiedere molto tempo e attirare un'attenzione negativa.

Come proteggere l'organizzazione dagli attacchi di phishing

Fortunatamente, la maggior parte delle tipologie di attacchi di phishing può essere bloccata, se si prendono le giuste precauzioni, come:

• Utilizzare efficaci contromisure di sicurezza informatica. Le moderne soluzioni antivirus e anti-phishing, insieme a filtri antispam efficaci, sono in grado di bloccare molti tentativi di phishing.
• Mantenere aggiornati i sistemi operativi e i browser. I fornitori di soluzioni software risolvono regolarmente le nuove vulnerabilità nei loro prodotti, e senza i dovuti aggiornamenti il sistema risulterebbe esposto.
• Proteggere i dati con backup automatici. È necessario implementare un processo periodico di backup dei dati di sistema, in modo da poterli recuperare in caso di violazione.
• Utilizzare l'autenticazione avanzata a più fattori (MFA). Le strategie zero trust come l'MFA creano ulteriori livelli di difesa tra gli aggressori e i sistemi interni.
• Istruire gli utenti sui temi relativi alla sicurezza informatica. I criminali informatici inventano sempre nuove strategie e la sicurezza delle e-mail non è in grado di bloccare tutto. Gli utenti e l'intera organizzazione saranno più al sicuro se tutti sapranno come identificare i messaggi e-mail sospetti e segnalare il phishing.

Quali sono gli indicatori di un attacco di phishing?

Per quanto riguarda il phishing, gli utenti più sicuri sono quelli che sanno come evitare di essere ingannati. Anche se un breve riassunto non può sostituire una formazione mirata sulla sicurezza, ecco alcuni indicatori che segnalano un tentativo di phishing:

• Discrepanze nei nomi di dominio: gli indirizzi e-mail e i domini web possono presentare incongruenze. Ad esempio, si riceve un'e-mail che appare provenire da un marchio noto, ma l'indirizzo e-mail non corrisponde.
• Errori ortografici: sebbene gli attacchi di phishing siano diventati molto più efficaci, spesso i messaggi contengono ancora errori ortografici o grammaticali.
• Forme di saluto poco consone: a volte, lo stile di un saluto o di una firma può indicare che qualcosa non va; ecco perché è importante notare se ad esempio qualcuno che inizia sempre i messaggi con "Ciao!" improvvisamente scrive "Caro amico".
• Brevi e ambigue: le e-mail di phishing spesso contengono poche informazioni e lasciano spazio all'ambiguità per confondere il giudizio delle vittime. Se mancano troppi dettagli importanti, potrebbe trattarsi di un tentativo di phishing.
• Richieste insolite: un'e-mail che chiede di fare qualcosa di insolito, soprattutto senza spiegazioni, è un segnale importante che qualcosa non va. Ad esempio, un tentativo di phishing potrebbe dichiarare di provenire dal team IT e richiedere di scaricare un file senza specificarne il motivo.

Phishing e lavoro da remoto

Un sondaggio del 2021 condotto tra i responsabili della sicurezza IT delle aziende ha rilevato che, secondo l'80% degli intervistati, i lavoratori da remoto sono più a rischio di cadere vittima di attacchi di phishing. Nonostante ciò, molte organizzazioni si affidano ancora a protocolli di sicurezza deboli. Si prevede che la maggior parte delle aziende continuerà a facilitare il lavoro da remoto o flessibile per almeno una parte della propria forza lavoro anche dopo l'attenuazione della pandemia di COVID-19, e questo potrebbe esporle a vulnerabilità.

A casa, i lavoratori da remoto si affidano spesso a software di sicurezza meno sofisticati rispetto a quelli utilizzati in ufficio. Inoltre, potrebbero utilizzare e-mail personali o altri account non controllati dal team IT dell'organizzazione, ed essendo lontani dai controlli aziendali interni, i dipendenti da remoto non sono sempre costretti a mantenere una buona igiene digitale; per questo motivo, il monitoraggio da parte dei manager IT può risultare complesso se non praticamente impossibile.

Per essere al sicuro nell'era del lavoro da remoto, è necessario un sistema di sicurezza che tenga conto delle esigenze di una forza lavoro sempre più mobile e distribuita.

Proteggersi dal phishing con Zscaler

Dato che il phishing si basa sullo sfruttamento della natura umana per avere successo, la compromissione degli utenti è una delle sfide di sicurezza più difficili da superare. Per rilevare le violazioni attive e ridurre al minimo i danni che le stesse possono causare, è necessario implementare controlli efficaci di prevenzione del phishing nell'ambito di una strategia zero trust più estesa.

Costruita su un'architettura olistica zero trust, la piattaforma Zscaler Zero Trust Exchange™ consente di ridurre al minimo la superficie di attacco, prevenire la compromissione, eliminare il movimento laterale e bloccare la perdita di dati. Inoltre, contribuisce a fermare gli attacchi di phishing nei seguenti modi:

• Prevenzione degli attacchi: con funzioni come l'ispezione TLS/SSL completa, l'isolamento del browser e il controllo degli accessi basato su policy, che impediscono l'accesso ai siti web dannosi.
• Prevenzione del movimento laterale: una volta entrato nel sistema, il malware può diffondersi e causare danni ancora maggiori, ma con Zero Trust Exchange gli utenti si collegano direttamente alle app, non alla rete aziendale, e questo impedisce al malware di diffondersi.
• Blocco delle minacce interne: la nostra architettura cloud proxy blocca i tentativi di exploit delle app private e rileva anche le tecniche di attacco più sofisticate con l'ispezione inline completa.
• Blocco della perdita di dati: Zero Trust Exchange ispeziona i dati in movimento e inattivi per prevenire il potenziale furto di dati da parte di un aggressore attivo.