IIl phishing è una minaccia alla Cybersecurity e rappresenta una delle tecniche più diffuse pericolose di attacco informatico. Il suo obiettivo è quello di ottenere informazioni personali della vittima, sfruttando la sua curiosità o facendo leva sull’aspetto psicologico.
Con l’aiuto dell’Osservatorio Cybersecurity della POLIMI School of Management, in questo articolo andremo ad analizzare il significato di phishing e le sue principali caratteristiche. Scopriremo altresì come imparare a riconoscere e-mail sospette e cosa fare se si riceve una comunicazione di questo tipo.
Il phishing è una tipologia di attacco di social engineering (o ingegneria sociale) finalizzata a sottrarre informazioni sensibili (come password, indirizzi, dati finanziari, documenti d’identità, PIN, ecc).
Generalmente in un attacco di phishing è la vittima a essere invitata a fornire informazioni riservate (ad esempio password, codici di accesso o dati della carta di credito) con messaggi più o meno verosimili. Gli aggressori (hacker) si spacciano per entità affidabili con cui intrattiene relazioni nella vita quotidiana o sfera professionale. Si tratta, per esempio, di banche, poste, assicurazioni o, nel caso della sfera lavorativa, di colleghi o fornitori dell’organizzazione. L’obiettivo è quello di indurre le vittime a compiere azioni dannose, come cliccare su link fraudolenti e fornire dati riservati.
Il termine phishing deriva da “fishing” (“pescare” in italiano), con il cambiamento di “f” in “ph” per creare una somiglianza con termini legati all’informatica e all’hacking. La metafora è quella di “pescare” informazioni sensibili dagli utenti, utilizzando diverse tipologie di “esche” ingannevoli.
Un attacco di phishing si sviluppa attraverso un processo strutturato che sfrutta l’inganno e l’ingegneria sociale per compromettere la sicurezza delle vittime.
I cybercriminali fanno dunque leva sulla curiosità degli utenti, infondendo in loro un senso di urgenza. Ad esempio, invitano a confermare immediatamente le proprie credenziali per evitare la sospensione di un servizio, la chiusura di un account o sanzioni finanziarie. Questa pressione psicologica induce le vittime a cliccare su link dannosi o a fornire informazioni sensibili in fretta, riducendo la probabilità che si accorgano dell’inganno.
Dopo aver compreso come avviene un attacco, approfondiremo ora le tipologie di attacco phishing esistenti. Di seguito riportiamo i modi in cui i cybercriminali progettano e studiano questi attacchi informatici.
Il Bulk phishing rappresenta la forma più comune e basilare di attacco phishing, caratterizzata dall’invio massivo di messaggi generici a migliaia o milioni di destinatari contemporaneamente. Questa tecnica, nota anche come “phishing a strascico”, non prevede personalizzazione e si basa sul principio dei grandi numeri: anche se la percentuale di successo è relativamente bassa (spesso inferiore all’1%), l’ampio volume di invii garantisce comunque un numero significativo di vittime. I messaggi tipici imitano servizi molto utilizzati come PayPal, Amazon, banche popolari, o servizi email, utilizzando template standardizzati che richiedono azioni urgenti come “verifica il tuo account” o “conferma i dati di pagamento”. Nonostante la mancanza di personalizzazione renda questi attacchi più facilmente riconoscibili, la loro semplicità di esecuzione e i costi contenuti li rendono ancora molto diffusi tra i cybercriminali.
Questa tecnica sfrutta la fiducia già stabilita duplicando comunicazioni legittime che la vittima ha effettivamente ricevuto in precedenza. Gli aggressori intercettano o accedono a email reali, le duplicano mantenendo identici mittente, oggetto e contenuto, ma sostituiscono strategicamente link o allegati con versioni malevole. La vittima, riconoscendo il messaggio come familiare e apparentemente legittimo, è più propensa a cliccare sui link modificati.
Nel Clone phishing spesso viene utilizzata la scusa di “reinviare” il messaggio per problemi tecnici o aggiornamenti, aumentando ulteriormente la credibilità dell’attacco.
Il Spear phishing rappresenta un’evoluzione altamente sofisticata degli attacchi tradizionali, caratterizzato da un approccio mirato e personalizzato. Gli aggressori investono tempo considerevole nella raccolta di informazioni specifiche sulla vittima attraverso Social Media, siti web aziendali e database pubblici. Queste informazioni vengono utilizzate per creare messaggi estremamente credibili che fanno riferimento a colleghi reali, progetti in corso, eventi aziendali o abitudini personali della vittima.
Il Whaling rappresenta la forma più sofisticata di Spear phishing, specificamente progettata per colpire figure di alto profilo aziendale come CEO, CFO, dirigenti e decision maker. Questi attacchi richiedono una preparazione estremamente accurata e spesso coinvolgono ricerche approfondite sui target, inclusi i loro contatti professionali, abitudini comunicative e responsabilità aziendali. Gli aggressori possono impersonare board member, partner commerciali, autorità di regolamentazione o clienti VIP per richiedere trasferimenti di fondi urgenti, modifiche ai dati bancari, o accesso a informazioni riservate.
Oltre alle e-mail, un attacco informatico di phishing può sfruttare anche altri canali di comunicazione. Risultano infatti in aumento i tentativi di smishing, ossia di frode tramite SMS. Gli aggressori inviano SMS che imitano comunicazioni da banche, servizi di delivery, provider telefonici o servizi governativi, utilizzando tecniche di urgenza come “il suo conto verrà sospeso” o “confermi la consegna cliccando qui”. I link presenti nei messaggi reindirizzano a siti web fraudolenti ottimizzati per dispositivi mobili, dove vengono richieste credenziali, informazioni di pagamento o dati personali. Il phishing via SMS sfrutta soprattutto la natura immediata e personale dei messaggi di testo, spesso percepiti come più sicuri rispetto alle email.
Gli attacchi di questo genere, in aggiunta, possono riguardare anche canali di instant messaging, in particolare Telegram e WhatsApp.
Il phishing vocale, o vishing, utilizza chiamate telefoniche per ingannare le vittime, spesso combinando tecnologie VoIP (Voice over Internet Protocol) che sfruttano una connessione a Internet anziché le tradizionali linee telefoniche analogiche per mascherare l’identità dell’aggressore. Gli attaccanti possono impersonare rappresentanti di banche, società di carte di credito, enti governativi o supporto tecnico di aziende note. Durante la chiamata, creano un senso di urgenza e utilizzano informazioni parzialmente corrette (ottenute da precedenti violazioni di dati) per aumentare la credibilità. Le vittime vengono indotte a fornire informazioni sensibili come PIN, password, numeri di previdenza sociale o codici di verifica ricevuti via SMS.
Questa evoluzione degli attacchi combina multiple modalità di comunicazione per creare campagne più convincenti e persistenti. Un attacco tipico potrebbe iniziare con un’email che informa la vittima di un “problema di sicurezza”, seguita da una chiamata telefonica da un presunto operatore che conferma il problema e richiede azioni immediate, supportata da SMS di “conferma” con codici fraudolenti. Questa orchestrazione multi-canale aumenta significativamente la credibilità percepita e la pressione psicologica sulla vittima, rendendo più probabile il successo dell’attacco.
Nel Social Media phishing gli aggressori sfruttano la natura sociale e di fiducia delle piattaforme social per distribuire contenuti malevoli. Gli aggressori creano profili falsi convincenti, spesso utilizzando foto rubate e informazioni realistiche, per stabilire connessioni con le vittime. Possono condividere link apparentemente innocui che reindirizzano a siti di phishing o utilizzare messaggi diretti per richiedere informazioni personali. L’ambiente informale dei Social Media riduce le difese psicologiche degli utenti, che tendono a essere meno sospettosi rispetto a comunicazioni ricevute via email.
Il phishing tramite codici QR rappresenta una minaccia emergente che sfrutta la crescente familiarità con questa tecnologia, accelerata dalla pandemia COVID-19. Gli aggressori possono piazzare fisicamente codici QR fraudolenti su poster, volantini, o sostituire codici legittimi in luoghi pubblici, oppure includerli in email e messaggi digitali. Quando scansionati, questi codici possono reindirizzare a siti di phishing o aprire applicazioni malevole. La difficoltà nel verificare la destinazione del QR code prima della scansione rende questa tecnica particolarmente insidiosa.
Il phishing, fortunatamente, presenta spesso segnali di allarme riconoscibili se si sa cosa cercare. Imparare a identificare questi tentativi di inganno è la prima linea di difesa contro questa minaccia sempre più diffusa.
Nelle comunicazioni email, i principali elementi che possono indicare un tentativo di phishing includono:
Negli SMS e nelle chiamate telefoniche, bisogna prestare attenzione a:
Nei Social Media, i segnali includono:
A volte possiamo ricevere e-mail più sofisticate e verosimili, ma che possono essere riconosciute attraverso un’analisi più attenta. I fattori che possono generare il dubbio che si tratti di un tentativo di phishing sono ad esempio:
In caso si riceva un’e-mail di phishing, o comunque una comunicazione sospetta, è fondamentale:
Se, invece, si è sicuri di aver ricevuto una comunicazione di phishing, si può procedere a segnalare il tentativo di phishing al team di sicurezza aziendale, etichetta l’email come spam e bloccare il mittente. Queste ultime azioni sono utili per allenare il proprio software di posta elettronica a riconoscere e filtrare futuri messaggi simili, così da reindirizzarli automaticamente alla cartella spam.
La difesa preventiva rappresenta l’approccio più efficace per proteggersi dal phishing, poiché consente di bloccare gli attacchi prima che possano causare danni. Mentre il riconoscimento dei tentativi di phishing è importante, è molto più vantaggioso costruire delle barriere che impediscano a questi attacchi di raggiungere le potenziali vittime o che riducano significativamente le probabilità di successo.
L’investimento in prevenzione risulta sempre più conveniente rispetto alla gestione delle conseguenze di un attacco andato a buon fine. I costi per ripristinare sistemi compromessi, gestire violazioni di dati, affrontare sanzioni normative e riparare danni reputazionali superano di gran lunga quelli necessari per implementare adeguate misure preventive.
Per una protezione preventiva dal phishing è essenziale:
Dalla Ricerca 2024 dell’Osservatorio Cybersecurity e Data Protection emerge che il social engineering rimane una delle principali modalità di attacco Cyber, facendo leva sul fattore umano.
In risposta a questo cambiamento, piattaforme di e-mail security, come soluzioni antiphishing e antispam, sono ormai presenti nella quasi totalità delle organizzazioni.
L’Intelligenza Artificiale (IA), o Artificial Intelligence (AI) consente di potenziare le campagne di phishing, in quanto permette l’automazione dell’invio massivo. Inoltre, l’Intelligenza Artificiale Generativa – capace di generare contenuti testuali, grafici, video, ecc. – permette di realizzare comunicazioni molto precise e professionali in poco tempo. Sempre più spesso, infatti, l’AI Generativa trova applicazione nella creazione di campagne di deepfake phishing, manipolando immagini, contenuti audio o video.
Allo stesso tempo, però, l’AI sta assumendo un ruolo fondamentale anche all’interno della Cybersecurity di aziende e PA. L’Intelligenza Artificiale contribuisce infatti a identificare sia le vulnerabilità nel perimetro cibernetico delle organizzazioni sia possibili minacce Cyber. Tra i tanti benefici, vi è la capacità di rilevazione di tentativi di phishing.
Secondo la Ricerca dell’Osservatorio Cybersecurity & Data Protection sull’anno 2023, le organizzazioni che adottano soluzioni di Artificial Intelligence mirano a rilevare possibili tentativi di phishing nel 48% dei casi, attraverso applicazioni di antispam e antiphishing.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
