Non cadere nella trappola del phishing. Ecco come riconoscerlo e difendersi dai tentativi di frode.
13' di lettura
Nonostante il significato di phishing sia ormai abbastanza conosciuto dalla maggior parte degli utenti, ci sono ancora degli aspetti che possono sfuggire a qualcuno. Prima cosa: non tutti gli hacker agiscono allo stesso modo e, soprattutto, non basta sapere riconoscere una mail fraudolenta per stare al sicuro. Se sei qui, molto probabilmente ti stai chiedendo cos’è esattamente il phishing, come funziona e come difenderti da un attacco di questo tipo, che talvolta può risultare quasi innocuo.D’altronde, il phishing è uno strumento semplice ed efficace che gli hacker utilizzano per indurti a fornire dati sensibili o a scaricare un software dannoso.
Per aiutarti a continuare a navigare in sicurezza, in questo articolo ti spieghiamo non solo cos'è il phishing, ma anche come evitarlo. Cominciamo!
Cos’è il phishing: significato e funzionamento
Il significato di phishing si può intuire già dalla parola stessa, composta dai due termini inglesi “fishing” (pescare) e “phreak” (un metodo per hackerare i sistemi di telecomunicazione, in particolare per ottenere chiamate gratuite).
Si pronuncia allo stesso modo di “fishing”, e in un certo senso rappresenta un’attività molto simile alla pesca: anche in questo caso, infatti, si cerca di catturare la preda attraverso una serie di email, SMS o telefonate apparentemente innocue.
In poche parole, un attacco phishing non è altro che una truffa online utilizzata dagli hacker sin dalla seconda metà degli anni novanta, truffa che si distingue per essere deliberatamente ingannevole e mascherata da comunicazione proveniente da fonti affidabili.In particolare, il messaggio o la mail spingono la persona che legge a compiere un'azione immediata. Ad esempio, potresti ricevere una comunicazione che sembra provenire dalla tua banca, nella quale ti viene richiesto di aggiornare i tuoi dettagli accedendo a un link.
Se “abbocchi” e segui il link, verrai reindirizzato a una copia del sito web originale (inclusi banner e marchi ufficiali) per trarti in inganno e farti inserire i tuoi dati. Gli hacker possono in questo modo rubare i tuoi dati sensibili, tra cui password, numeri di conto o dati del passaporto. La buona notizia è che, se sai cos’è il phishing e non abbocchi, la tattica non avrà successo.
La sicurezza in N26
La tua sicurezza è la nostra priorità. Segui i nostri consigli per proteggerti online.
Grazie alla sua capacità di trarre potenzialmente in inganno milioni di persone in poco tempo, l’attacco phishing rappresenta una delle truffe più utilizzate dagli hacker di tutto il mondo. A tal proposito, l’ultimo rapporto Clusit, l’Associazione Italiana per la Sicurezza Informatica, mostra come le segnalazioni di attacchi di Phishing e Social Engineering siano cresciuti del +63,8% solamente nel primo semestre del 2022.
Ciò significa che, nonostante tantissimi utenti sappiano cos’è il phishing e come funziona, gli hacker riescono ad essere sempre un passo avanti, aggiornandosi nel proprio approccio e diventando sempre più credibili.D’altronde, al giorno d’oggi è difficile vedere email di phishing in cui vengono promessi milioni di euro gratuitamente, o inviti a cliccare un pop-up palesemente truffaldino.
Difatti, i testi moderni sono spesso scritti con intelligenze artificiali particolarmente avanzate, o addirittura manualmente dall’hacker stesso, risultando quasi “affidabili” rispetto al passato, soprattutto a causa dell’utilizzo di loghi, marchi e indirizzi email ufficiali.
Phishing: cos’è e come evitarlo | N26
Altri esempi di attacco phishing
Le e-mail restano sicuramente la forma più diffusa per eseguire un attacco phishing, ma esistono tanti altri approcci che risultano altrettanto credibili.
Tra questi troviamo il cosiddetto “smishing”, ovvero un attacco che avviene sotto forma di messaggi SMS, efficace principalmente perché i siti web falsi e fraudolenti sono più difficili da riconoscere sugli schermi dei dispositivi mobili.
Dall’altro lato troviamo attacchi che usano la crittografia, ovvero un metodo per rendere incomprensibile un messaggio a chi non è autorizzato a leggerlo. Anche se l'online banking moderno è sicuro, capita di imbattersi in episodi di phishing in cui i criminali riescono ad accedere ai dati senza dover infrangere le barriere di sicurezza. Ad esempio, nel 2020 una campagna SMS di phishing ha preso di mira alcune app bancarie per dispositivi mobili nel Nord America. Seguendo il link allegato al messaggio, le vittime erano reindirizzate verso una falsa pagina di login del proprio conto bancario online.In qualche modo, conoscere il significato di phishing e il suo funzionamento potrebbe risultare quasi inutile, in quanto i messaggi risultano talmente credibili che anche un esperto farebbe fatica ad accorgersene.
Quali sono i tipi di attacchi di phishing più comuni?
Più l'email di phishing sembra originale, più probabilità ci sono che la vittima abbocchi alla trappola. Proprio per tale motivo, gli hacker cercano quasi sempre di imitare marchi famosi in tutto il mondo, con l’obiettivo di raggiungere il maggior numero di utenti possibili e raccogliere un gran quantitativo di dati sensibili. Un'inchiesta del 2019 di Vade Secure ha infatti rivelato come tra i marchi più famosi impiegati dagli hacker vi siano Paypal, Facebook, Microsoft, Netflix e Whatsapp. Questa interessante inchiesta mostra gli approcci più comuni che le email di phishing utilizzano per far “abboccare” le vittime.
Di solito si segnala “un'attività sospetta” dell'account della persona colpita, per il quale è necessaria una verifica immediata, ma ci sono approcci più creativi tra i quali l'offerta di affari fasulli, contenuti pornografici gratuiti, o fatture che richiedono un pagamento (ad esempio da parte di Amazon). Anche i fatti di attualità possono essere comuni in un attacco di phishing massivo: recentemente, infatti, anche l'Organizzazione Mondiale della Sanità (OMS) è stata vittima di un attacco. Le email sembravano promemoria utili da parte dell'OMS con istruzioni su come prevenire il diffondersi del coronavirus. Spinti dalla paura nei confronti della pandemia, gli utenti hanno seguito un link per accedere a un documento, per poi finire su una pagina di login falsa di Microsoft Office nella quale ogni dato inserito veniva automaticamente trasmesso agli hacker.In questi casi, conoscere il significato di phishing e il suo funzionamento potrebbe prevenire l’inserimento di informazioni sensibili, in quanto l’utente farebbe molta più attenzione al sito in cui sta navigando, cercando di scovare elementi sospetti all’interno della pagina.
Attacco phishing: le tipologie di truffe più diffuse
Come già anticipato, il significato di phishing racchiude in generale qualsiasi tentativo fraudolento di adescare vittime attraverso email o link fasulli.
Alcuni attacchi sono noti come “campagne” in quanto hanno un unico stile, ovvero utilizzano uno stesso modello di email che viene spedito ad un gran numero di persone, come ad esempio la campagna sull'epidemia del coronavirus. Tuttavia, esistono forme più sofisticate decisamente più difficili da scovare. Ciascuna di queste tipologie di attacchi prende il nome da un tipo di pesca realmente esistente.
Di seguito, quindi, cercheremo di capire come il significato di phishing può assumere diverse sfumature a seconda della tipologia di attacco utilizzata dall’hacker.