Cos'è il phishing e come funziona?
Home
Articoli
Cos'è il phishing e come funziona?

Cos'è il phishing e come funziona?

Principiante
Pubblicato Nov 28, 2018Aggiornato May 29, 2024
7m

TL;DR

  • Il phishing è una pratica dannosa in cui gli aggressori fingono di essere entità affidabili per indurre le vittime a rivelare informazioni sensibili.

  • Stai attento al phishing riconoscendo i segnali più comuni come URL sospetti e richieste urgenti di informazioni personali.

  • Scopri le diverse tecniche di phishing, dalle comuni truffe via email al sofisticato spear phishing, per rafforzare la tua sicurezza informatica.

Introduzione

Il phishing è una tattica dannosa in cui i malintenzionati fingono di essere fonti affidabili per indurre le vittime a condividere dati sensibili. In questo articolo faremo luce su cos'è il phishing, come funziona e cosa puoi fare per evitare di cadere vittima di tali truffe.

Come funziona il phishing

Il phishing si basa principalmente sull'ingegneria sociale, un metodo attraverso cui gli aggressori manipolano le persone per indurle a divulgare informazioni riservate. Gli aggressori raccolgono dati personali da fonti pubbliche (come i social media) per creare email apparentemente autentiche. Le vittime spesso ricevono messaggi che sembrano provenire da contatti familiari o da organizzazioni affidabili.

La forma più comune di phishing si verifica attraverso email contenenti link o allegati dannosi. Cliccando su questi link, l'utente potrebbe installare malware sul suo dispositivo o accedere a siti web contraffatti progettati per rubare informazioni personali e finanziarie.

Mentre è più facile individuare le email di phishing scritte male, i criminali informatici utilizzano strumenti avanzati come chatbot e generatori vocali IA per migliorare l'autenticità dei loro attacchi. Questo rende difficile per gli utenti distinguere le comunicazioni autentiche da quelle fraudolente.

Riconoscere i tentativi di phishing

Identificare le email di phishing può essere complicato, ma ci sono alcuni segnali da tenere d'occhio.

Segni comuni

Fai attenzione se il messaggio contiene URL sospetti, utilizza indirizzi email pubblici, induce paura o urgenza, richiede informazioni personali o presenta errori di ortografia e grammaticali. Nella maggior parte dei casi, dovresti essere in grado di passare il mouse sui link per controllare gli URL senza cliccare su di essi.

Truffe basate sui pagamenti digitali

I phisher spesso si spacciano per servizi di pagamento online affidabili come PayPal, Venmo o Wise. Gli utenti ricevono email fraudolente che li invitano a verificare i dati di accesso. È fondamentale rimanere vigili e segnalare le attività sospette.

Attacchi di phishing finanziari

I truffatori si spacciano per banche o istituzioni finanziarie, fingendo violazioni della sicurezza per ottenere informazioni personali. Le tattiche più comuni includono email ingannevoli su trasferimenti di denaro o truffe su depositi diretti che prendono di mira i nuovi dipendenti. Potrebbero anche affermare che c'è un aggiornamento di sicurezza urgente.

Truffe di phishing legate al lavoro

Queste truffe personalizzate coinvolgono aggressori che si spacciano per dirigenti, CEO o CFO, che richiedono bonifici o acquisti falsi. Il phishing vocale che utilizza generatori vocali IA al telefono è un altro metodo utilizzato dai truffatori.

Come prevenire gli attacchi di phishing

Per prevenire gli attacchi di phishing, è importante adottare diverse misure di sicurezza. Evita di cliccare direttamente su qualsiasi link. Invece, visita il sito web ufficiale o i canali di comunicazione dell'azienda per verificare se le informazioni ricevute sono legittime. Prendi in considerazione l'utilizzo di strumenti di sicurezza come software antivirus, firewall e filtri antispam. 

Inoltre, le organizzazioni dovrebbero utilizzare gli standard di autenticazione delle email per verificare le email in entrata. Esempi comuni di metodi di autenticazione delle email includono DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Per gli individui, è fondamentale informare la propria famiglia e gli amici sui rischi del phishing. Per le aziende, è fondamentale educare i dipendenti sulle tecniche di phishing e fornire una formazione periodica di sensibilizzazione per ridurre i rischi.

Se hai bisogno di ulteriore assistenza e informazioni, cerca iniziative governative come OnGuardOnline.gov e organizzazioni come Anti-Phishing Working Group Inc. Forniscono risorse e indicazioni più dettagliate su come individuare, evitare e segnalare gli attacchi di phishing.

Tipi di phishing

Le tecniche di phishing si stanno evolvendo e i criminali informatici utilizzano vari metodi. I diversi tipi di phishing sono generalmente classificati in base al bersaglio e al vettore di attacco. Esploriamoli meglio.

Clone phishing

Un utente malintenzionato utilizzerà un'email legittima inviata in precedenza e ne copierà il contenuto in una email simile contenente un link a un sito dannoso. L'aggressore potrebbe anche affermare che si tratta di un link aggiornato o nuovo, affermando che il precedente non era corretto o era scaduto.

Spear phishing

Questo tipo di attacco si concentra su una persona o un'istituzione. Uno spear attack è più sofisticato rispetto ad altri tipi di phishing perché è profilato. Ciò significa che l'aggressore raccoglie prima informazioni sulla vittima (ad es., i nomi di amici o familiari) e utilizza questi dati per attirare la vittima verso un file o un sito web dannoso.

Pharming

Un utente malintenzionato avvelena un record DNS, che, in pratica, reindirizzerà i visitatori di un sito web legittimo a uno fraudolento che l'aggressore ha creato in anticipo. Questo è il più pericoloso degli attacchi perché i record DNS non sono sotto il controllo dell'utente, rendendo così l'utente incapace di difendersi.

Whaling

Una forma di spear phishing che prende di mira persone ricche e importanti, come amministratori delegati e funzionari governativi.

Email spoofing

Le email di phishing in genere fanno spoofing delle comunicazioni provenienti da società o persone legittime. Queste email possono presentare alle vittime inconsapevoli dei link a siti dannosi, dove gli aggressori raccolgono le credenziali di accesso e le informazioni personali utilizzando pagine di accesso abilmente camuffate. Le pagine possono contenere trojan, keylogger e altri script dannosi che rubano informazioni personali.

Reindirizzamenti di siti web

I reindirizzamenti di siti web inviano gli utenti a URL diversi da quello che l'utente intendeva visitare. I malintenzionati che sfruttano vulnerabilità possono inserire reindirizzamenti e installare malware sui computer degli utenti.

Typosquatting

Il typosquatting indirizza il traffico verso siti web contraffatti che utilizzano una lingua straniera, errori di ortografia comuni o sottili variazioni nel dominio di primo livello. I phisher utilizzano i domini per imitare le interfacce dei siti web legittimi, approfittando degli utenti che digitano o leggono male l'URL.

Annunci a pagamento falsi

Gli annunci a pagamento sono un'altra tattica utilizzata per il phishing. Questi annunci (falsi) utilizzano domini che gli aggressori hanno typosquatted e pagato per essere posizionati in alto nei risultati di ricerca. Il sito potrebbe anche apparire tra i primi risultati di ricerca su Google.

Watering hole attack

In un watering hole attack, i phisher analizzano gli utenti e determinano i siti web che visitano di frequente. Scansionano questi siti alla ricerca di vulnerabilità e cercano di inserire script dannosi progettati per colpire gli utenti la prossima volta che visitano quel sito web.

Impersonificazione e fake giveaway

Impersonificazione di figure influenti sui social media. I phisher possono impersonare i leader delle aziende e pubblicizzare giveaway o intraprendere altre pratiche ingannevoli. Le vittime di questo inganno possono anche essere prese di mira individualmente attraverso processi di ingegneria sociale volti a trovare utenti ingenui. I malintenzionati possono hackerare account verificati e modificare i nomi utente per impersonare una figura reale, pur mantenendo lo stato verificato.

Di recente, i phisher hanno preso di mira piattaforme come Discord, X e Telegram per questi scopi: chat di spoofing, impersonare individui e imitare servizi legittimi.

Applicazioni dannose

I phisher possono anche utilizzare app dannose che monitorano il tuo comportamento o rubano informazioni sensibili. Le app possono presentarsi come price tracker, wallet e altri strumenti legati alle crypto (che hanno una base di utenti predisposti al trading e al possesso di criptovalute).

Phishing tramite SMS e messaggi vocali

Una forma di phishing basata su messaggi di testo, solitamente effettuata tramite SMS o messaggi vocali, che incoraggia gli utenti a condividere informazioni personali.

Phishing vs Pharming

Sebbene alcuni considerino il pharming un tipo di attacco di phishing, questo si basa su un meccanismo diverso. La principale differenza tra phishing e pharming è che il phishing richiede alla vittima di commettere un errore. Al contrario, il pharming richiede alla vittima solo di tentare di accedere a un sito web legittimo il cui record DNS è stato compromesso dall'aggressore.

Il phishing nello spazio blockchain e crypto

Sebbene la tecnologia blockchain fornisca una forte sicurezza dei dati grazie alla sua natura decentralizzata, gli utenti dell'ecosistema blockchain dovrebbero rimanere vigili nei confronti del social engineering e dei tentativi di phishing. I criminali informatici spesso tentano di sfruttare le vulnerabilità umane per ottenere l'accesso a chiavi private o credenziali di accesso. Nella maggior parte dei casi, le truffe si basano sull'errore umano.

I truffatori possono anche cercare di indurre gli utenti a rivelare le loro seed phrase o a trasferire fondi a indirizzi falsi. È importante prestare attenzione e seguire le best practice di sicurezza.

In chiusura

In conclusione, comprendere il phishing e rimanere informati sulle tecniche in evoluzione è fondamentale per salvaguardare le informazioni personali e finanziarie. Combinando solide misure di sicurezza, educazione e consapevolezza, individui e organizzazioni possono difendersi dalla minaccia sempre presente del phishing nel nostro mondo digitale interconnesso. Stay SAFU!

Letture consigliate

Disclaimer: Questo contenuto viene presentato "così com'è" solo a scopo informativo ed educativo, senza alcuna dichiarazione o garanzia di alcun tipo. Non deve essere interpretato come consulenza finanziaria, legale o professionale di altro tipo, né intende raccomandare l'acquisto di alcun prodotto o servizio specifico. L'utente è tenuto a rivolgersi a consulenti professionali appropriati. Nel caso in cui l'articolo sia stato redatto da un collaboratore terzo, si prega di notare che le opinioni espresse appartengono al collaboratore terzo e non riflettono necessariamente quelle di Binance Academy. Per ulteriori dettagli, si prega di leggere il nostro disclaimer completo qui. I prezzi degli asset digitali possono essere volatili. Il valore del tuo investimento può scendere o salire e potresti non recuperare l'importo investito. L'utente è l'unico responsabile delle proprie decisioni di investimento e Binance Academy non è responsabile per eventuali perdite subite. Questo materiale non deve essere interpretato come consulenza finanziaria, legale o professionale. Per maggiori informazioni, consulta i nostri Termini di utilizzo e l'Avvertenza sui rischi.