Il Phishing è un tipo di attacco informatico in cui un hacker finge di essere un’entità o una compagnia con una reputazione accertata al fine di ingannare le sue vittime e ottenere informazioni sensibili - come dati della carta di credito, nomi utente, password e via dicendo. Dato che il phishing coinvolge manipolazione psicologica e si basa su errori umani (invece di hardware o software), è considerato un social engineering attack.
In genere, gli attacchi phishing utilizzano e-mail fraudolente che convincono l’utente a inserire informazioni sensibili in un sito web compromesso. Queste e-mail chiedono solitamente di ripristinare la propria password o di confermare informazioni sulla propria carta di credito, reindirizzando a siti web falsi che hanno un aspetto molto simile agli originali. Le principali tipologie di phishing sono clone phishing, spear phishing e pharming.
Gli attacchi phishing vengono usati anche nell’ecosistema delle criptovalute, dove gli hacker cercano di sottrarre Bitcoin o altre valute digitali agli utenti. Uno dei metodi applicati consiste nello spoofing di un sito web reale e nella modifica del suo indirizzo wallet a quello dell’hacker, facendo credere agli utenti che stanno pagando per un servizio legittimo mentre, in realtà, i loro soldi finiscono nelle tasche sbagliate.
Quali sono i diversi tipi di phishing?
Esistono diverse tipologie di phishing, classificate in base all’obiettivo e al vettore d’attacco. Ecco una lista degli esempi più comuni.
Clone phishing: un hacker utilizza un’e-mail legittima inviata in precedenza, copiandone i contenuti per crearne una simile contenente un link a un sito compromesso. L’hacker potrebbe anche aggiungere che questo link è la versione aggiornata, magari affermando che quello precedente è scaduto.
Spear phishing: questo tipo di attacco prende di mira una singola persona o entità (in genere qualcuno di famoso), spesso raccogliendo e usando informazioni identificabili, come il nome di un parente o di un amico.
Pharming: l’hacker modifica un record DNS che, in pratica, reindirizza i visitatori di un sito web legittimo a uno compromesso realizzato in precedenza. Questo è il più pericoloso degli attacchi in quanto i record DNS non sono sotto il controllo dell’utente, rendendolo quindi indifeso.
Whaling: una forma di spear phishing che prende di mira persone ricche e importanti, come CEO e funzionari governativi.
Email Spoofing: in genere le phishing e-mail copiano le comunicazioni di compagnie o persone legittime. Tali e-mail possono presentare a vittime ignare link a siti compromessi, in cui gli hacker raccolgono credenziali di accesso e PII usando pagine di login abilmente camuffate. Le pagine possono contenere trojan, keylogger e altri script dannosi che rubano informazioni personali.
Reindirizzamenti: i reindirizzamenti portano gli utenti a URL diversi da quelli che intendono visitare. Gli hacker possono sfruttare vulnerabilità inserendo reindirizzamenti e installando malware sui computer degli utenti.
Typosquatting: il typosquatting dirige il traffico web per contraffare siti web che usano spelling in un’altra lingua, errori comuni o sottili variazioni di domini ad alto livello. I phisher usano questi domini per imitare gli interfaccia di siti legittimi, approfittando degli utenti che sbagliano a scrivere o a leggere l’URL.
La ‘Watering Hole’: in un attacco watering hole, i phisher tracciano il profilo degli utenti e determinano quali siti web frequentano. In seguito, analizzano questi siti in cerca di vulnerabilità e, se possibile, inseriscono script dannosi progettati per colpire gli utenti la prossima volta che visitano il sito.
Impersonificazione e Giveaway: un’altra tecnica usata negli schemi di phishing include l’impersonare figure influenti su social media. I phisher potrebbero impersonare membri importanti di compagnie e, in base al pubblico di riferimento, possono promuovere giveaway o altre pratiche ingannevoli. Le vittime di questi trucchi possono anche essere prese di mira individualmente tramite processi di social engineering mirati a trovare utenti ingenui. Gli hacker potrebbero attaccare account verificati e modificarne gli username per impersonare una figura reale, mantenendo lo status di verificato. Le vittime tendono a fornire PII e interagire di più con figure influenti, dando ai phisher l’opportunità di sfruttare le loro informazioni.
Di recente, i phisher hanno iniziato a prendere di mira piattaforme come Slack, Discord e Telegram per gli stessi scopi, spoofing chat, impersonare individui e imitare servizi legittimi.
Pubblicità: la pubblicità è un’altra tattica usata per il phishing. Degli annunci fasulli possono utilizzare domini typosquatted, oltre a pagare per renderli più visibili tra i risultati di ricerca. I siti potrebbero anche apparire come primo risultato di ricerca per compagnie o servizi legittimi, come Binance. Questi siti vengono spesso usati come mezzo per rubare informazioni sensibili, tra cui le credenziali d’accesso ai tuoi account per il trading.
Applicazioni Dannose: i phisher possono anche usare app infette come vettore per iniettare malware che monitora il tuo comportamento o ruba informazioni personali. Le app possono apparire come price tracker, wallet e altri strumenti relativi al mondo delle crypto (i quali hanno una base di utenti predisposti al trading e al possesso di criptovalute).
Text and Voice Phishing: SMS phishing, una forma di phishing basata su messaggi di testo, e vishing, l’equivalente covale/al telefono, sono altri mezzi usati dagli hacker per raccogliere informazioni personali.
Phishing vs Pharming
Anche se il pharming viene considerato da qualcuno un tipo di attacco phishing, si basa su un meccanismo diverso. La differenza centrale tra phishing e pharming è il fatto che il phishing richiede che la vittima commetta un errore, mentre il pharming ha solo bisogno che la vittima cerchi di accedere a un sito web legittimo con un record DNS compromesso da un hacker.
Come prevenire il phishing?
Sii prudente: la miglior difesa contro il phishing è pensare in modo critico alle e-mail che ricevi. Ti aspettavi di ricevere un’e-mail da qualcuno riguardo al soggetto in questione? Sospetti che l’informazione che quella persona sta cercando non sia legata al soggetto dell’e-mail? Se hai un qualsiasi dubbio, fai il possibile per contattare il mittente attraverso mezzi diversi.
Controlla i contenuti: puoi copiare parte del contenuto (o l’indirizzo e-mail del mittente) in un motore di ricerca per controllare se ci sono tracce di attacchi phishing che hanno usato quel metodo specifico.
Prova altri modi: se credi di aver ricevuto una richiesta legittima per confermare le credenziali del tuo account per un’attività che conosci, cerca di farlo attraverso modi diversi invece di cliccare il link all’interno dell’e-mail.
Controlla l’URL: passa il mouse sopra il link, senza cliccare, per controllare se inizia con HTTPS e non HTTP. Tuttavia, ricorda che questo elemento da solo non garantisce che il sito sia legittimo.
Non condividere mai le tue chiavi private: non inviare a nessuno la chiave privata del tuo Bitcoin wallet, e verifica che il venditore a cui stai per inviare criptovalute è legittimo. La differenza nell’usare le crypto invece delle carte di credito è che non c’è un’autorità centrale per risolvere una controversia nel caso in cui non ricevi il prodotto o il servizio concordato. Per questa ragione è necessario essere sempre estremamente attenti quando si ha a che fare con transazioni di criptovalute.
Conclusione
Il phishing è una delle tecniche di attacco informatico più diffuse e comuni. Nonostante i filtri e-mail dei servizi più usati facciano un buon lavoro nel separare spoof da messaggi reali, serve comunque prestare la massima attenzione e mantenere l’ultima linea di difesa. Diffida di qualsiasi tentativo di raccogliere informazioni sensibili o private su di te. Se possibile, verifica sempre che il mittente e la richiesta siano legittimi usando altri mezzi di comunicazione. Non cliccare link all’interno di e-mail riguardanti incidenti di sicurezza, raggiungi invece la pagina web a modo tuo, controllando sempre che ci sia HTTPS all’inizio dell’URL. Infine, fai particolare attenzione alle transazioni di criptovalute, in quanto non c’è modo di annullarle nel caso in cui il commerciante non rispetta la sua parte dell’accordo. Tieni sempre al sicuro le tue chiavi private e le tue password e non dare nulla per scontato.