Aggiornamento: 17 maggio 2024
Collaboratore: Matteo Kosinski
Gli attacchi di phishing utilizzano e-mail fraudolente, SMS, telefonate o siti Web per indurre le persone a condividere dati sensibili, scaricare malware o esporsi in altro modo al crimine informatico.
Le truffe di phishing sono una forma di ingegneria social. A differenza di altri attacchi informatici che mirano direttamente a reti e risorse, gli attacchi di ingegneria social utilizzano l'errore umano, false storie e le tattiche di pressione per manipolare le vittime in modo che causino danni involontari a se stesse o alle loro organizzazioni.
In un tipico tentativo di phishing, un hacker finge di essere qualcuno di cui la vittima si fida, ad esempio un collega, un capo, una figura autorevole o un rappresentante di un noto marchio. L'hacker invia un messaggio che invita la vittima a pagare una fattura, aprire un allegato, fare clic su un collegamento o eseguire un'altra azione.
Poiché si fida della presunta fonte del messaggio, l'utente segue le istruzioni e cade nella trappola del truffatore. Quella "fattura" potrebbe portare direttamente all'account di un hacker. L'allegato potrebbe installare un ransomware sul dispositivo dell'utente. Il link potrebbe indirizzare l'utente a un sito web che ruba numeri di carte di credito, numeri di conto bancario, credenziali di accesso o altri dati personali.
Il phishing è popolare tra i criminali informatici ed è molto efficace. Secondo il report Cost of a Data Breach di IBM, il phishing è il vettore di violazione dei dati più comune, e rappresenta il 16% di tutte le violazioni. Le violazioni causate dal phishing costano alle organizzazioni in media 4,76 milioni di dollari, una cifra superiore al costo medio complessivo delle violazioni, pari a 4,45 milioni di dollari.
Il phishing è una minaccia significativa perché utilizza le persone piuttosto che le vulnerabilità tecnologiche. Gli aggressori non devono violare i sistemi direttamente o strumenti di cybersecurity. Possono ingannare le persone che hanno accesso autorizzato al loro obiettivo (che si tratti di denaro, informazioni sensibili o altro) inducendole a svolgere il lavoro sporco.
I phisher possono essere truffatori solitari o sofisticate bande di criminali. Possono utilizzare il phishing per molti scopi, tra cui furto di identità, frode con carta di credito, furto di denaro, estorsione, acquisizione di account, spionaggio e altro ancora.
Gli obiettivi del phishing vanno dalle persone comuni alle grandi aziende, fino alle agenzie governative. In uno dei più noti attacchi di phishing, gli hacker russi hanno utilizzato una falsa e-mail di reimpostazione della password per rubare migliaia di e-mail dalla campagna presidenziale statunitense di Hillary Clinton del 2016.1
Poiché le truffe di phishing manipolano gli esseri umani, gli strumenti e le tecniche standard di monitoraggio della rete non sempre riescono a rilevare questi attacchi in corso. In effetti, nell'attacco alla campagna per Clinton, persino l'help desk informatico della campagna pensava che le e-mail fraudolente di ripristino della password fossero autentiche.
Per combattere il phishing, le organizzazioni devono combinare strumenti avanzati di rilevamento delle minacce con una solida formazione dei dipendenti per garantire che gli utenti possano identificare con precisione e rispondere in modo sicuro ai tentativi di truffa.
Il nostro team X-Force di hacker, responder, ricercatori e analisti di intelligence è disponibile per discutere delle specifiche sfide di sicurezza della tua organizzazione e di come possiamo aiutarti.
Registrati per l'X-Force Threat Intelligence Index
La parola "phishing" allude al fatto che i truffatori utilizzano "esche" invitanti per ingannare le vittime, più o meno allo stesso modo in cui i pescatori usano le esche per catturare i pesci veri. Nel phishing, le esche sono messaggi fraudolenti che sembrano credibili ed evocano emozioni forti come paura, avidità e curiosità.
Il tipo di esche utilizzate dai truffatori di phishing dipende da chi e cosa stanno cercando. Alcuni esempi comuni di attacchi di phishing includono:
Nel phishing via e-mail in massa, i truffatori inviano indiscriminatamente e-mail di spam a quante più persone possibile, sperando che una frazione degli obiettivi cada vittima dell'attacco.
I truffatori spesso creano e-mail che sembrano provenire da grandi aziende legittime, come banche, rivenditori online o creatori di app popolari. Impersonando marchi noti, i truffatori aumentano le possibilità che i loro obiettivi siano clienti di tali marchi. Se un target interagisce regolarmente con un marchio, è più probabile che apra un'e-mail di phishing che pretende di provenire da tale marchio.
I criminali informatici fanno di tutto per far sembrare autentiche le e-mail di phishing. Potrebbero utilizzare il logo e il marchio del mittente impersonato. Potrebbero falsificare gli indirizzi e-mail per far sembrare che il messaggio provenga dal nome di dominio del mittente impersonato. Potrebbero persino copiare un'e-mail autentica dal mittente impersonato e modificarla a scopo di truffa.
I truffatori scrivono l'oggetto delle e-mail in modo da suscitare emozioni forti o creare un senso di urgenza. I truffatori più esperti utilizzano argomenti che potrebbero riguardare effettivamente il mittente impersonato, come "Problema con il tuo ordine" o "Invio fattura in allegato".
Il corpo dell'e-mail indica al destinatario di eseguire un'azione apparentemente ragionevole che si traduce nella divulgazione di informazioni sensibili o nel download di malware. Ad esempio, un link di phishing potrebbe essere: "Fai clic qui per aggiornare il tuo profilo". Quando la vittima fa clic su quel link dannoso, viene indirizzata a un sito web fasullo che ruba le credenziali di accesso.
Alcuni truffatori programmano le campagne di phishing in modo che siano in linea con le festività e altri eventi in cui le persone sono più suscettibili alle pressioni. Ad esempio, gli attacchi di phishing sui clienti Amazon spesso si verificano durante il Prime Day, l'evento annuale di vendita del rivenditore online.2 I truffatori inviano e-mail su offerte false e problemi di pagamento per approfittare del fatto che le persone hanno abbassato al guardia.
Lo spear phishing è un attacco di phishing mirato a una persona specifica. L'obiettivo è solitamente qualcuno con accesso privilegiato a dati sensibili o autorità speciali che il truffatore può sfruttare, ad esempio un responsabile finanziario che può trasferire denaro dai conti aziendali.
Uno spear phisher studia il bersaglio per raccogliere le informazioni necessarie per spacciarsi per qualcuno di cui si fida, ad esempio un amico, un capo, un collega, un venditore o un istituto finanziario. I social media e i siti di networking professionali, in cui le persone si congratulano pubblicamente con i colleghi, approvano i fornitori e tendono a condividere eccessivamente, sono ricche fonti di informazioni per la ricerca sullo spear phishing.
Gli spear phisher utilizzano le loro ricerche per creare messaggi che contengono dettagli personali specifici, che li rendono altamente credibili alle potenziali vittime. Ad esempio, uno spear phisher potrebbe spacciarsi per il capo della vittima e inviare un'email con scritto: "So che parti stasera per le vacanze, ma puoi pagare questa fattura prima della chiusura dell'attività di oggi?"
Un attacco di spear phishing rivolto a un dirigente di alto livello, a un individuo ricco o a qualche altro obiettivo di spessore è spesso chiamato whale phishing o whaling attack.
BEC è una classe di attacchi di spear phishing che tentano di rubare denaro o informazioni preziose, ad esempio segreti commerciali, dati dei clienti o informazioni finanziarie, da un'azienda o un'altra organizzazione.
Gli attacchi BEC possono assumere diverse forme. Due delle più comuni tipologie di questi attacchi sono:
- Truffa del CEO: il truffatore si spaccia per un dirigente, spesso violando il suo account di posta elettronica, per poi inviare un messaggio a un dipendente di livello inferiore, istruendolo a trasferire fondi su un conto fraudolento, a effettuare un acquisto da un venditore fraudolento o a inviare file a una parte non autorizzata.
- Compromissione dell'account e-mail (EAC): il truffatore compromette l'account di posta elettronica di un dipendente di livello inferiore, ad esempio l'account di un manager del reparto finanza, vendite o ricerca e sviluppo, e lo utilizza per inviare fatture fraudolente ai fornitori, istruire altri dipendenti a effettuare pagamenti fraudolenti o richiedere l'accesso a dati riservati.
Gli attacchi BEC possono essere tra gli attacchi informatici più costosi, poiché i truffatori spesso rubano milioni di dollari alla volta. In un esempio straordinario, un gruppo di truffatori ha rubato più di 100 milioni di dollari a Facebook e Google spacciandosi per un fornitore di software legittimo.3
Alcuni truffatori BEC stanno abbandonando queste tattiche di alto profilo per lanciare piccoli attacchi contro obiettivi multipli. Secondo l'Anti-Phishing Working Group (APWG), gli attacchi BEC sono diventati più frequenti nel 2023, ma i truffatori hanno chiesto in media meno soldi per ogni attacco.4
SMS phishing o smishing, utilizza falsi messaggi di testo per ingannare gli obiettivi. I truffatori di solito si spacciano per il provider wireless della vittima, inviando un messaggio che offre un "regalo gratuito" o chiede all'utente di aggiornare i dati della propria carta di credito.
Alcuni smisher si spacciano per il servizio postale degli Stati Uniti o per un'altra compagnia di spedizioni e comunicano alle vittime che devono pagare una tassa per sdoganare un pacco.
Il phishing vocale, o vishing, è il phishing tramite chiamata telefonica. I casi di vishing sono esplosi negli ultimi anni, con un aumento del 260% tra il 2022 e il 2023 secondo l'APWG.5 L'aumento del vishing è in parte dovuto alla disponibilità della tecnologia VoIP (Voice over IP), che i truffatori possono utilizzare per effettuare milioni di chiamate di vishing automatizzate al giorno.
I truffatori spesso utilizzano la tecnica del caller ID spoofing per far sembrare che le loro chiamate provengano da organizzazioni legittime o numeri di telefono locali. Le chiamate di vishing di solito spaventano i destinatari con avvisi di problemi di elaborazione delle carte di credito, pagamenti in ritardo o problemi con il fisco. I destinatari finiscono per fornire dati sensibili o denaro ai criminali informatici per "risolvere" i loro problemi.
Il social media phishing utilizza piattaforme social per ingannare le persone. I truffatori utilizzano le funzionalità di messaggistica integrate nelle piattaforme, ad esempio Facebook Messenger, LinkedIn InMail e messaggi diretti di X (ex Twitter) proprio come utilizzano le e-mail e i messaggi di testo.
I truffatori spesso si fingono utenti che hanno bisogno dell'aiuto della vittima per accedere al proprio account o vincere un concorso. Usano questo stratagemma per rubare le credenziali di accesso della vittima e impossessarsi del suo account sulla piattaforma. Questi attacchi possono essere particolarmente onerosi per le vittime che utilizzano le stesse password su più account, una pratica fin troppo comune.
I truffatori escogitano costantemente nuove tecniche di phishing per evitare il rilevamento. Alcuni sviluppi recenti includono:
Il phishing basato sull'AI utilizza gli strumenti di intelligenza artificiale generativa (AI) per creare messaggi di phishing. Questi strumenti possono generare e-mail e SMS personalizzati privi di errori di ortografia, incoerenze grammaticali e altri comuni segnali di tentativi di phishing.
L'AI generativa può anche aiutare i truffatori a scalare le loro operazioni. Secondo l'X-Force Threat Intelligence Indexdi IBM, un truffatore impiega 16 ore per creare manualmente un'e-mail di phishing. Con l'AI, i truffatori possono creare messaggi ancora più convincenti in soli cinque minuti.
I truffatori utilizzano anche generatori di immagini e sintetizzatori vocali per aggiungere ulteriore credibilità ai loro schemi. Ad esempio, nel 2019, gli aggressori hanno utilizzato l'AI per clonare la voce del CEO di una società energetica e truffare un direttore di banca per 243.000 USD7.
Il quishing utilizza codici QR falsi incorporati in e-mail e messaggi di testo o pubblicati nel mondo reale. Il quishing consente agli hacker di nascondere siti Web e software dannosi in bella vista.
Ad esempio, la Federal Trade Commission (FTC) statunitense ha avvertito lo scorso anno di una truffa in cui i criminali sostituiscono i codici QR sui parchimetri pubblici con i propri codici che rubano i dati di pagamento.6
Gli attacchi di vishing ibridi combinano il phishing vocale con altri metodi per eludere i filtri antispam e guadagnare la fiducia delle vittime.
Ad esempio, un truffatore potrebbe inviare un'e-mail che pretende di provenire dall'IRS. Questa e-mail comunica al destinatario che c'è un problema con la dichiarazione dei redditi. Per risolvere il problema, la vittima deve chiamare un numero di telefono fornito nell'e-mail, che lo collega direttamente al truffatore.
I dettagli possono variare da truffa a truffa, ma ci sono alcuni segnali comuni che indicano che un messaggio potrebbe essere un tentativo di phishing. Questi segnali includono:
Le truffe di phishing cercano di far sentire alle vittime un senso di urgenza in modo che agiscano rapidamente senza pensare. Spesso i truffatori lo fanno invocando emozioni forti come paura, avidità e curiosità. Potrebbero imporre limiti di tempo e minacciare conseguenze irrealistiche, come il carcere.
I più comuni stratagemmi di phishing includono:
- "C'è un problema con il conto o con le informazioni finanziarie. È necessario aggiornarlo immediatamente per evitare di perdere l'accesso."
- "Abbiamo rilevato attività illegali. Paga subito questa multa, altrimenti sarai arrestato."
- "Hai vinto un regalo, richiedilo subito."
- "Questa fattura è scaduta. Il pagamento deve essere effettuato immediatamente, altrimenti il servizio verrà interrotto."
- "Abbiamo un'entusiasmante opportunità di investimento. Deposita del denaro adesso e ti garantiamo rendite incredibili."
Le truffe di phishing in genere richiedono una delle due cose: denaro o dati. Richieste di pagamento o informazioni personali non richieste o inaspettate possono essere segnali di attacchi di phishing.
I truffatori mascherano le loro richieste di denaro sotto forma di fatture scadute, multe o compensi per servizi. Mascherano le richieste di informazioni come avvisi per aggiornare le informazioni di pagamento o sull'account o reimpostare una password.
Molte bande di phishing operano a livello internazionale, e ciò significa che spesso scrivono messaggi di phishing in lingue che non parlano correntemente. Pertanto, molti tentativi di phishing contengono errori grammaticali e incongruenze.
I messaggi dei marchi legittimi spesso contengono dettagli specifici. Potrebbero rivolgersi ai clienti per nome, fare riferimento a numeri di ordine specifici o spiegare esattamente qual è il problema. Un messaggio vago come "C'è un problema con il tuo account" senza ulteriori dettagli è un campanello d'allarme.
I truffatori utilizzano spesso URL e indirizzi e-mail che a prima vista sembrano legittimi. Ad esempio, un'e-mail di "admin@rnicrosoft.com" potrebbe sembrare sicura ma, guardando meglio, ci si accorge che la "m" di "Microsoft" è sostituita da una "r" e una "n".
Un'altra tattica comune è usare un URL come "bankingapp.scamsite.com." Un utente potrebbe pensare che questo sia collegato a bankingapp.com, ma in realtà punta a un sottodominio di scamsite.com. Gli hacker potrebbero anche utilizzare servizi di abbreviazione dei link per mascherare gli URL dannosi.
I truffatori potrebbero inviare file e allegati che la vittima non ha richiesto e non si aspetta. Potrebbero utilizzare immagini di testo anziché testo effettivo nei messaggi e nelle pagine web per evitare filtri anti-spam.
Alcuni truffatori fanno riferimento a problemi scottanti per far arrabbiare le vittime. Ad esempio, IBM® X-Force ha scoperto che i truffatori di solito usano il conflitto in Ucraina per suscitare emozioni nelle potenziali vittime.
Poiché le truffe di phishing prendono di mira le persone, i dipendenti sono spesso la prima e l'ultima linea di difesa di un'organizzazione contro questi attacchi. Le organizzazioni possono ciascun utente come riconoscere i segnali dei tentativi di phishing e rispondere a e-mail e messaggi di testo sospetti. Ciò può includere fornire ai dipendenti modi semplici per segnalare tentativi di phishing al team IT o di sicurezza.
Le organizzazioni possono anche stabilire politiche e pratiche che rendono più difficile per i phisher avere successo.
Ad esempio, le organizzazioni possono vietare alle persone di avviare trasferimenti di denaro tramite posta elettronica. Possono richiedere ai dipendenti di verificare le richieste di denaro o le informazioni contattando il richiedente tramite mezzi diversi da quelli forniti nel messaggio. Ad esempio, i dipendenti possono digitare un URL direttamente nel browser invece di fare clic su un link o chiamare la linea dell'ufficio di un collega invece di rispondere a un messaggio da un numero sconosciuto.
Le organizzazioni possono integrare la formazione dei dipendenti e le politiche aziendali con strumenti di sicurezza che aiutano a rilevare i messaggi di phishing e contrastare gli hacker che utilizzano il phishing per intromettersi nelle reti.
- I filtri antispam e i software per la sicurezza delle e-mail utilizzano dati sulle truffe di phishing esistenti e algoritmi di machine learning per identificare le e-mail di phishing e altri messaggi di spam. Le truffe e lo spam vengono quindi spostati in una cartella separata, dove i link e i codici dannosi vengono eliminati.
- Software antivirus e antimalware rilevano e neutralizzano file o codice nocivi contenuti nelle e-mail di phishing.
- L'autenticazione a più fattori può impedire agli hacker di impossessarsi degli account degli utenti. Gli autori del phishing possono rubare le password, ma hanno molto più difficoltà a rubare un secondo fattore, ad esempio una scansione delle impronte digitali o un codice di accesso monouso.
- Gli strumenti per la sicurezza degli endpoint come le soluzioni di rilevamento e risposta degli endpoint (EDR) e gestione unificata degli endpoint (UEM) possono utilizzare l'intelligenza artificiale (AI) e analisi avanzate per intercettare i tentativi di phishing e bloccare il malware.
- I filtri web impediscono agli utenti di visitare siti web dannosi conosciuti e visualizzano avvisi quando gli utenti visitano pagine sospette. Questi strumenti possono aiutare a mitigare i danni se un utente fa clic su un link di phishing.
- Le soluzioni di cybersecurity aziendale, come le piattaforme SOAR (Security Orchestration, Automation and Response) e SIEM (Security Information and Event Management), utilizzano l'AI e l'automazione per rilevare le attività anomale e adottare le necessarie misure di reazione. Queste soluzioni possono aiutare a bloccare i phisher che tentano di installare malware o impossessarsi degli account.
Esegui valutazioni dei rischi quasi in tempo reale basate sull'AI e proteggi le applicazioni e i dati critici con le soluzioni di mobile security di IBM.
Offri ai clienti esperienze fluide e sviluppa l'attendibilità delle identità digitali con rilevazione delle frodi in tempo reale e basata sull'AI.
IBM® Security Trusteer Rapport aiuta le istituzioni finanziarie a rilevare e prevenire le infezioni da malware e gli attacchi di phishing proteggendo i clienti retail e business.
Mantieniti aggiornato sulle novità, le tendenze e le tecniche di prevenzione del phishing su Security Intelligence, il blog della thought leadership ospitato da IBM Security.
Scopri perché e come le organizzazioni utilizzano le simulazioni di phishing per rafforzare le difese contro gli attacchi di ingegneria sociale.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Basato sulle esperienze di oltre 550 organizzazioni che hanno affrontato violazioni dei dati nel mondo reale.
Note a piè di pagina
Tutti i link sono esterni a ibm.com
1 How Russian hackers pried into Clinton campaign emails. Associated Press. 4 novembre 2017.
2 How cybercriminals are targeting Amazon Prime Day shoppers. TechRepublic. 6 luglio 2022.
3 How this scammer used phishing emails to steal over USD 100 million from Google and Facebook. CNBC. 27 marzo 2019.
4, 5 Phishing Activity Trends Report (PDF, 3,6 MB). Anti-Phishing Working Group. 13 febbraio 2024.
6 Quishing is the new phishing. ZDNET. 11 dicembre 2023.
7 Quella chiamata di panico da parte di un parente? Potrebbe essere un ladro che utilizza un clone vocale, avverte la FTC. NPR. 22 marzo 2023.