Il phishing è una forma di ingegneria sociale che prevede che gli aggressori inducano gli utenti a fornire l’accesso a dati e sistemi. Ciò avviene per diversi motivi: far scaricare malware agli utenti, come ransomware, per furto delle credenziali di accesso degli utenti, per ingannare gli utenti affinché condividano le proprie informazioni sensibili. Ma quali sono i metodi di phishing più comuni?
•Il phishing via e-mail, quando i truffatori inviano e-mail con link o allegati dannosi per infettare i dispositivi delle proprie vittime
• Lo spear phishing, quando gli hacker inviano e-mail a un bersaglio specifico
• Il whaling, che prende di mira un dipendente con un alto profilo, come un amministratore delegato o un direttore finanziario
• Il phishing VoIP. Si tratta di una truffa effettuata utilizzando la tecnologia vocale, come ad esempio tramite il telefono
• Il pharming, ovvero un attacco che induce un server DNS a sostituire un indirizzo IP legittimo memorizzato nella cache con uno dannoso, reindirizzando così gli utenti al sito web dannoso quando digitano quello legittimo nel browser
• Il phishing tramite SMS, una truffa di phishing eseguita tramite messaggio di testo
• Il phishing sui social media consiste nell’invio di messaggi di phishing tramite le piattaforme dei social media
• Il phishing sui motori di ricerca, consiste nell’ottimizzazione dei motori di ricerca per aiutare i loro siti Web falsificati a ottenere un posizionamento elevato nelle ricerche online. Gli utenti, infatti, cliccheranno sul collegamento al sito falsificato vedendo una pagina dall’aspetto legittimo che in realtà è dannosa
• Il clone phishing, quando gli hacker replicano un’e-mail precedentemente recapitata, sostituendo però i link o gli allegati legittimi con quelli dannosi
• L’Angler phishing, un fenomeno che si verifica quando un aggressore si spaccia per un rappresentante del servizio clienti su un falso account social aziendale, cercando di indurre il cliente a scaricare malware o condividere informazioni personali
• Il phishing QR, quando gli utenti scansionano un codice QR con il proprio telefono, inducendoli a scaricare malware o a condividere dati sensibili
Quali sono le best practice consigliate dagli esperti per essere pronti a rilevare ed evitare le truffe di phishing? Ecco qualche esempio:
- Verificare sempre l’email del mittente, cliccando sul nome. Lo stesso vale per le PEC, delle quali è sempre meglio non fidarsi
- Non aprire link che, in apparenza, compaiono strani, in particolare, gli short link
- Non fare affidamento sui messaggi SMS che richiedono password o altri dati sensibili
- Non fidarsi delle chiamate, anche se vediamo che il mittente è proprio la nostra banca
- Attivare sempre la doppia autenticazione per le transazioni online
- Usare password forti, ovvero di almeno otto lettere/numeri con caratteri speciali e maiuscole
- Usare password diverse per i siti più importanti
Pur essendo questi attacchi molto comuni e sempre più sofisticati, secondo alcuni sondaggi, solo il 58% degli utenti è a conoscenza di cosa sia il fenomeno del phishing, particolarmente danno sia per i dipendenti che per le aziende.
