La mail è ormai considerata tra gli strumenti di comunicazione più rilevanti, non solo per le aziende ma anche per i privati. Oggi infatti le comunicazioni più importanti o ufficiali vengono fatte proprio tramite mail. I cyber criminali approfittano di questo per incrementare le truffe, sia numericamente che qualitativamente, sfruttando una tattica detta Phishing.
Cos’ è il Phishing?
Il Phishing è la più comune tecnica di frode informatica. Il termine deriva dalla combinazione di due parole: phreaking, parola con cui vennero definite le prime truffe online, e fishing, ovvero pescare. Questo perché, proprio come i pescatori ingannano i pesci con un’esca, allo stesso modo i criminali ingannano l’utente tramite una mail dal contenuto ingannevole, utilizzando il nome di istituti di credito, finanziari, assicurativi. Il phishing è quindi un tipo di attacco informatico molto semplice, eppure è anche il più pericoloso ed efficace.
La capacità di riuscita di queste truffe sta proprio nello sfruttare la disinformazione che la maggior parte degli utenti ha sull’argomento. Avendo a disposizione anche solo poche informazioni però, chiunque può scampare alle più comuni e banali truffe.
Come si manifesta: phishing massivo e spear phishing
La maggior parte degli attacchi di phishing sono diffusi in modo massivo e indiscriminato (cosiddetto spamming). Il phishing tende a colpire un vasto numero di persone, utilizzando in genere uno scarso livello di complessità nel contenuto: un classico esempio è la mail dove si legge “Hai vinto 1 milione di euro, CLICCA QUI”.
I cyber criminali però si sono evoluti anche su questo ovviamente, e rendono specifico il contenuto di una mail, a seconda della vittima.
Sono proprio i contenuti più sofisticati e personalizzati ad avere un livello di riuscita maggiore: questa tecnica si chiama spear phishing, ed è una frode che ha come obiettivo un’organizzazione o, appunto, una persona specifica, le quali di conseguenza faranno ancora più fatica a capire la truffa. Gli scopi di questi attacchi sono tipicamente due: ottenere del denaro, oppure l’accesso ad informazioni riservate di tipo finanziario, segreti industriali, di stato o militari.
Un esempio di spear phishing è quello che può essere fatto ad un utente del quale si siano già spiati i contenuti delle sue mail, in questo caso i criminali sapranno ad esempio che il soggetto sta per partire per un viaggio d’affari. A quel punto entra in atto la truffa: arriva una mail dove si esorta il cliente del biglietto aereo, piuttosto che della stanza di albergo, a fornire gli ultimi dati personali fondamentali che non risultano all’host. Preso dalla fretta o semplicemente dalla vulnerabilità delle problematiche che possono conseguire dal mancato viaggio, la vittima si sbrigherà a fornire dei dati sensibili.
Un nuovo strumento per il phishing: il deepfake
Potremmo dire che il deepfake non è altro che un’evoluzione delle fake news ma divulgate con un metodo più sofisticato, ovvero sottoforma di video o audio.
Elaborando infatti video e audio di persone reali, le quali spesso hanno un ruolo di potere istituzionale o dirigenziale, si possono costruire delle truffe quasi impossibili da evitare.
Un esempio può essere dato da un finto messaggio vocale che un membro della direzione di un’azienda invia al personale, invitandolo a cliccare sul file ricevuto per mail.
L’impiego di deepfake audio come parte di una campagna di phishing o di spear-phishing diventa quindi uno scenario più che credibile oggi.
VoIP phishing o vishing
Il vishing è quella specifica modalità di attacco phishing che sfrutta la comunicazione telefonica.
Il mezzo telefonico consente infatti al criminale, da un lato, di non mostrarsi, dall’altro, di interagire con la vittima in modo più diretto rispetto alla mail. Il vishing sfrutta le tecniche di persuasione e il minor tempo che l’interlocutore ha di razionalizzare le informazioni ricevute. Un esempio può essere rappresentato da un finto banner che invita gli utenti a chiamare il numero di help desk indicato, per velocizzare la soluzione di un certo disservizio. A quel punto sarà facile per il cyber criminale ottenere dati sensibili.
Come tutelarsi dagli attacchi Cyber
- La prima cosa da fare è controllare il mittente della mail prima di cliccare qualunque indirizzo.
- Per quanto riguarda il link, invece, bisogna verificare se l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice, passando il mouse sopra il link stesso. Ancora meglio sarebbe copiare il link nella barra dove si inserisce l’indirizzo del browser.
- Bisognerebbe usare solo connessioni sicure e non, ad esempio, wi-fi pubblici senza una password di protezione
- Quando si usano siti che contengono informazioni sensibili, come l’online banking o i social media, bisogna controllare che la connessione sia sicura e verificare il nome del dominio all’apertura di una pagina.
- Non condividere i propri dati sensibili dal momento che le compagnie ufficiali non chiedono mai informazioni del genere via e-mail.