Il phishing è un tipo di attacco di cybersecurity durante il quale gli attori malintenzionati inviano messaggi fingendo di essere una persona o un'entità fidata. I messaggi di phishing manipolano l'utente, inducendolo a compiere azioni come l'installazione di un file dannoso, il clic su un link dannoso o la divulgazione di informazioni sensibili come le credenziali di accesso.
Il phishing è il tipo più comune di ingegneria sociale, che è un termine generale che descrive i tentativi di manipolare o ingannare gli utenti di computer. L'ingegneria sociale è un vettore di minaccia sempre più comune, utilizzato in quasi tutti gli incidenti di sicurezza. Gli attacchi di ingegneria sociale, come il phishing, sono spesso combinati con altre minacce, come il malware, l'iniezione di codice e gli attacchi di rete.
Rapporto Forrester Wave for Email Security Harmony Email & Collaboration
Checkpoint Research ha recentemente pubblicato il suo Rapporto di metà anno 2023 Cyber Security , che fornisce dati sugli attacchi di phishing e altre principali minacce informatiche.
According to the report, phishing attack was one of the most common methods for spreading malware. The rise of generative AI has recently elevated the phishing threat, helping to eliminate the typos and grammatical errors that made past phishing attacks earlier to detect.
Anche il phishing è una tecnica comune utilizzata dalle principali varianti di malware. Ad esempio, Qbot, il malware più comune nella prima metà del 2023, è noto per il suo utilizzo del phishing come meccanismo di infezione.
L'elemento di base di un attacco di phishing è un messaggio inviato tramite e-mail, social media o altri mezzi di comunicazione elettronica.
Un phisher può utilizzare le risorse pubbliche, soprattutto i social network, per raccogliere informazioni di base sull'esperienza personale e lavorativa della sua vittima. Queste fonti vengono utilizzate per raccogliere informazioni come il nome, il titolo di lavoro e l'indirizzo e-mail della potenziale vittima, oltre agli interessi e alle attività. Il phisher può quindi utilizzare queste informazioni per creare un messaggio falso affidabile.
In genere, le e-mail che la vittima riceve sembrano provenire da un contatto o da un'organizzazione conosciuta. Gli attacchi vengono portati avanti attraverso allegati dannosi o link a siti web dannosi. Gli aggressori spesso creano siti web falsi, che sembrano appartenere a un'entità fidata come la banca, il posto di lavoro o l'università della vittima. Attraverso questi siti web, gli aggressori tentano di raccogliere informazioni private come nomi utente e password o informazioni di pagamento.
Alcune e-mail di phishing possono essere identificate grazie al copywriting scadente e all'uso improprio di font, loghi e layout. Tuttavia, molti criminali informatici stanno diventando più sofisticati nel creare messaggi dall'aspetto autentico e utilizzano tecniche di marketing professionale per testare e migliorare l'efficacia delle loro e-mail.
I phisher utilizzano una serie di tecniche per far apparire i loro attacchi più credibili ai loro obiettivi e per raggiungere i loro scopi. Alcune tecniche di phishing comuni includono:
La maggior parte degli attacchi di phishing viene inviata via e-mail. Gli aggressori in genere registrano nomi di dominio falsi che imitano organizzazioni reali e inviano migliaia di richieste comuni alle vittime.
Per i domini falsi, gli aggressori possono aggiungere o sostituire i caratteri (ad esempio, my-bank.com invece di mybank.com), utilizzare dei sottodomini (ad esempio, mybank.host.com), oppure utilizzi il nome dell'organizzazione di fiducia come nome utente dell'e-mail (ad esempio, mybank@host.com).
Molte e-mail di phishing sfruttano un senso di urgenza o una minaccia per indurre l'utente a conformarsi rapidamente senza verificare la fonte o l'autenticità dell'e-mail.
I messaggi di phishing via e-mail hanno uno dei seguenti obiettivi:
Lo spear phishing comprende malicious email inviato a persone specifiche. In genere, l'aggressore possiede già alcune o tutte le seguenti informazioni sulla vittima:
Queste informazioni aiutano ad aumentare l'efficacia delle e-mail di phishing e a manipolare le vittime per indurle a svolgere compiti e attività, come il trasferimento di denaro.
Gli attacchi di whaling hanno come obiettivo il senior management e altri ruoli altamente privilegiati. L'obiettivo finale del whaling è lo stesso di altri tipi di attacchi di phishing, ma la tecnica è spesso molto sottile. I dipendenti senior dispongono di solito di molte informazioni di dominio pubblico, che gli aggressori possono utilizzare per realizzare attacchi molto efficaci.
In genere, questi attacchi non utilizzano trucchi come URL dannosi e link falsi. Invece, fanno leva su messaggi altamente personalizzati, utilizzando le informazioni che scoprono nella loro ricerca sulla vittima. Ad esempio, gli aggressori whaling utilizzano comunemente dichiarazioni dei redditi fasulle per scoprire dati sensibili sulla vittima e usarli per creare il loro attacco.
Si tratta di un attacco di phishing che utilizza il telefono invece della comunicazione scritta. Lo smishing prevede l'invio di messaggi SMS fraudolenti, mentre il vishing riguarda le conversazioni telefoniche.
In un tipico voice phishing scam, un aggressore finge di essere un investigatore di scam per una società di carte di credito o una banca, informando le vittime che il loro conto è stato violato. I criminali chiedono poi alla vittima di fornire i dati della carta di pagamento, presumibilmente per verificare la sua identità o trasferire denaro su un conto sicuro (che in realtà è dell'aggressore).
Il vishing scam può anche comportare telefonate automatiche che fingono di provenire da un'entità fidata, chiedendo alla vittima di digitare i dati personali con la tastiera del telefono.
Questi attacchi utilizzano falsi account di social media appartenenti a organizzazioni note. L'aggressore utilizza un account che imita un'organizzazione legittima (ad esempio, "@pizzahutcustomercare") e utilizza la stessa immagine del profilo dell'account aziendale reale.
Gli aggressori approfittano della tendenza dei consumatori a presentare reclami e a chiedere assistenza ai marchi utilizzando i canali dei social media. Tuttavia, invece di contattare il marchio reale, il consumatore contatta l'account social falso dell'aggressore.
Quando gli aggressori ricevono una richiesta di questo tipo, potrebbero chiedere al cliente di fornire informazioni personali, in modo da poter identificare il problema e rispondere in modo appropriato. In altri casi, l'aggressore fornisce un link a una falsa pagina di assistenza clienti, che in realtà è un sito web dannoso.
Le e-mail che minacciano conseguenze negative devono sempre essere trattate con scetticismo. Un'altra strategia consiste nell'utilizzare l'urgenza per incoraggiare o richiedere un'azione immediata. I phisher sperano che, leggendo l'e-mail in fretta, non si esamini a fondo il contenuto e non si scoprano le incongruenze.
Un'indicazione immediata di phishing è che un messaggio è scritto con un linguaggio o un tono inappropriato. Se, ad esempio, un collega di lavoro sembra eccessivamente disinvolto o un amico intimo usa un linguaggio formale, questo dovrebbe far nascere dei sospetti. I destinatari del messaggio devono verificare la presenza di qualsiasi altro elemento che possa indicare un messaggio di phishing.
Se un'e-mail richiede di eseguire azioni non standard, potrebbe indicare che l'e-mail è dannosa. Ad esempio, se un'e-mail dichiara di provenire da un team IT specifico e chiede l'installazione di un software, ma queste attività sono solitamente gestite a livello centrale dal reparto IT, l'e-mail è probabilmente dannosa.
I refusi e gli errori grammaticali sono un altro segno delle e-mail di phishing. La maggior parte delle aziende ha impostato il controllo ortografico nei client di posta elettronica per le e-mail in uscita. Pertanto, le e-mail con errori ortografici o grammaticali dovrebbero destare sospetti, in quanto potrebbero non provenire dalla fonte dichiarata.
Un altro modo semplice per identificare i potenziali attacchi di phishing è quello di cercare gli indirizzi e-mail, i link e i nomi di dominio non corrispondenti. Ad esempio, è una buona idea controllare una comunicazione precedente che corrisponde all'indirizzo e-mail del mittente.
I destinatari dovrebbero sempre passare il mouse su un link in un'e-mail prima di cliccarlo, per vedere la destinazione effettiva del link. Se si ritiene che l'e-mail sia stata inviata da Bank of America, ma il dominio dell'indirizzo e-mail non contiene "bankofamerica.com", questo è un segno di un'e-mail di phishing.
In molte e-mail di phishing, gli aggressori creano pagine di login false collegate a e-mail che sembrano ufficiali. La falsa pagina di login presenta in genere una casella di login o una richiesta di informazioni sul conto finanziario. Se l'e-mail è inaspettata, il destinatario non deve inserire le credenziali di accesso o cliccare sul link. Per precauzione, i destinatari dovrebbero visitare direttamente il sito web che ritengono essere la fonte dell'e-mail.
Ecco alcuni modi in cui la sua organizzazione può ridurre il rischio di attacchi di phishing.
È fondamentale formare i dipendenti a comprendere le strategie di phishing, a identificare i segnali di phishing e a segnalare gli incidenti sospetti al team di sicurezza.
Allo stesso modo, le organizzazioni dovrebbero incoraggiare i dipendenti a cercare i badge di fiducia o gli adesivi di aziende note Cyber Security o antivirus prima di interagire con un sito web. Questo dimostra che il sito web è serio in materia di sicurezza e probabilmente non è falso o dannoso.
Le moderne soluzioni di filtraggio delle e-mail possono proteggere dal malware e da altri payload dannosi nei messaggi e-mail. Le soluzioni possono rilevare le e-mail che contengono link dannosi, allegati, contenuti spam e un linguaggio che potrebbe suggerire un attacco di phishing.
Le soluzioni di sicurezza e-mail bloccano e mettono in quarantena automaticamente le e-mail sospette e utilizzano la tecnologia di sandboxing per "detonare" le e-mail e verificare se contengono codice dannoso.
Il crescente utilizzo di servizi cloud e di dispositivi personali sul posto di lavoro ha introdotto molti nuovi endpoint che potrebbero non essere completamente protetti. I team di sicurezza devono partire dal presupposto che alcuni endpoint saranno violati da attacchi endpoint. è essenziale monitorare gli endpoint per le minacce alla sicurezza e implementare una rapida riparazione e risposta sui dispositivi compromessi.
I test di simulazione degli attacchi di phishing possono aiutare i team di sicurezza a valutare l'efficacia dei programmi di formazione sulla sicurezza e aiutare gli utenti finali a comprendere meglio gli attacchi. Anche se i suoi dipendenti sono bravi a individuare i messaggi sospetti, devono essere testati regolarmente per simulare attacchi di phishing reali. Il panorama delle minacce continua ad evolversi e anche le simulazioni di attacchi informatici devono evolversi.
La maggior parte dei metodi di phishing sono progettati per ingannare gli operatori umani, e gli account utente privilegiati sono obiettivi interessanti per i criminali informatici. Limitare l'accesso ai sistemi e ai dati può aiutare a proteggere i dati sensibili dalla fuga di notizie. Utilizzi il principio del minimo privilegio e conceda l'accesso solo agli utenti che ne hanno assolutamente bisogno.
Check Point Harmony Email and Collaboration provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization. To learn more about how Harmony Email and Collaboration can safeguard your organization from the newest phishing threats, request a free demo today.