Che cos’è il phishing?

Se avete pazienza, ve lo spiego subito ma prima vi faccio fare un salto indietro nella storia.

Prima di tutto una domanda: sapete che cos’è il Phreaking?
Il phreaking  nasce dalla fusione delle parole phone (telefono) e freak (fenomeno/entusiasta). Indicava l’attività di studiare, esplorare o manipolare i sistemi di telecomunicazione per comprenderne il funzionamento o, storicamente, per effettuare chiamate gratuite.
Negli anni ’60 e ’70, le reti telefoniche erano analogiche e utilizzavano segnali acustici (toni) per gestire i comandi interni, come l’apertura di una linea o il reindirizzamento di una chiamata. I phreaker scoprirono che riproducendo frequenze specifiche potevano “ingannare” la centrale telefonica. Possiamo probabilmente definirle come le prime truffe della storia.

Tutto questo cosa c’entra con il Phishing? C’entra, c’entra.

La parola phishing deriva proprio dal termine Phreaking (le prime truffe tecnologiche appunto) e Fishing (pescare). Proprio come un pescatore usa un’esca per attirare il pesce, i cyber criminali usano l’e-mail per spingerci a compiere un’azione che ci danneggia.

Possiamo dire che esistono principalmente due tipi di esche: lo spray phishing e lo spear phishing.

Che cos’è lo Spray Phishing

Lo Spray Phishing è un attacco massivo e poco sofisticato. Se vogliamo rimanere nell’ambito della similitudine con i pescatori e le esche, possiamo dire è una rete a strascico lanciata nel mezzo dell’oceano.
L’obiettivo è colpire nel mucchio, sperando che qualcuno abbocchi.
Solitamente vengono inviate migliaia di e-mail identiche sperando che qualcuno, per probabilità, ignoranza o semplicemente distrazione, la trovi credibile (come una finta conferma di una prenotazione viaggi).

L’urgenza psicologica è il “motore” che rende efficace il phishing, anche quando l’email è scritta male o proviene da un mittente sospetto. Gli hacker non colpiscono il solo il nostro computer, ma il nostro sistema cognitivo, sfruttando quelli che in psicologia vengono chiamati bias o scorciatoie mentali.
Facciamo un esempio: quando leggiamo una frase come “Il tuo conto corrente è stato bloccato per attività sospette”, il nostro cervello percepisce una minaccia immediata e a volte ci si ritrova a cliccare su un link per “risolvere il problema” prima ancora di aver analizzato se l’email sia autentica.

Che cos’è lo Spear Phishing

Lo Spear Phishing è, invece,  un attacco mirato e “puntuale”. E’ come se il criminale facesse i compiti a casa; non si limita a sparare nel mucchio ma individua una vittima e la studia.
È una forma di phishing estremamente mirata, studiata nei minimi dettagli per colpire una persona specifica, un gruppo ristretto o un’azienda particolare. In questo caso, i truffatori raccolgono dati sulle vittime tramite i social (Facebook, LinkedIn, Instagram, ecc.), tramite il suo sito web o prendendo dati pubblici e li utilizzano per inviare messaggi personalizzati che contengono dati reali.

Ma perché questa tecnica funziona così bene? Il segreto della sua efficacia risiede tutto nella credibilità. A differenza delle mail di massa, qui il messaggio non è mai vago o generico.

Tutto inizia dal saluto: non troveremo un freddo e generico ‘Gentile Cliente’, ma il nostro nome di battesimo, il che abbatte immediatamente la nostra naturale diffidenza. A questo si aggiunge un contesto estremamente reale: colui che ha inviato il messaggio, potrebbe citare un progetto che stiamo seguendo proprio in quel periodo, un evento a cui abbiamo appena partecipato o persino un amico o collega con cui interagiamo spesso.

L’inganno finale è spesso nel mittente: l’email sembra arrivare da una persona di cui ci fidiamo, come il tuo capo, il responsabile delle risorse umane o un fornitore storico dell’azienda. Quando vediamo un nome familiare associato a dettagli così precisi, il nostro cervello smette di analizzare il pericolo e si convince che la richiesta sia legittima.

Obiettivi del phishing

Se pensiamo che siano degli scherzi informatici, ci stiamo sbagliando di grosso.
Gli obiettivi sono seri, pericolosi e procurano danni seri.

Ecco alcuni obiettivi:
– Sottrazione di informazioni: lo scopo è rubare le credenziali di accesso, come password bancarie o PIN.

– Prendere il controllo dei dispositivi: infettare il computer con un malware (spesso tramite un allegato infetto) che può poi propagarsi velocemente in tutta la rete aziendale.

– Truffa diretta: l’obiettivo è chiedere piccole somme di denaro (es. ricariche telefoniche in “super promo” o aiuti urgenti ad amici in difficoltà) per non destare troppa diffidenza.

Esistono dei segnali, dei campanelli d’allarme che non dobbiamo ignorare. Ricordatevi sempre che il segreto dei truffatori è farci agire d’impulso.

Ecco a cosa dovremmo fare attenzione:
Urgenza e Pressione. Se il messaggio ci mette ansia e ci impone delle scadenze perentorie (es. “Hai solo 24 ore!”), fermiamoci a riflettere. Ricordiamoci che, per esempio,  la nostra banca non ci manderebbe mai una mail o un messaggio per una questione urgente ma preferirebbe parlarci di persona.

Errori e Incoerenze. Solitamente queste e-mail contengono testi tradotti male, errori ortografici o formule generiche. Facciamoci caso.
E’ doveroso anche segnalare che questo campanello d’allarme sarà presto solo un ricordo perché i truffatori si avvarranno dell’intelligenza artificiale per scrivere o tradurre i testi, che saranno proposti alla perfezione.

Il Mittente “Farlocco”: Controllate sempre cosa c’è dopo la chiocciola (@). Una banca non vi scriverà mai da un indirizzo generico come Gmail o Yahoo o da domini strani come @miabanca-supporto.com ma da una mail contenente il dominio ufficiale.

Link Ingannevoli. Passa il mouse sopra un link (senza cliccare!) per vedere l’indirizzo reale. Se l’anteprima mostra qualcosa di diverso da quello che leggi nel testo, è una trappola.

Cosa dobbiamo fare per proteggerci?

Provate a seguire questi consigli:

Nel dubbio, non cliccare: se l’origine è incerta, non aprite né link né allegati.

Usate i canali ufficiali: andate direttamente sul sito o sull’app della banca o del servizio invece di usare il link nell’e-mail.

Fate una verifica diretta: Se un amico o collega vi chiede soldi o dati sensibili, chiamatelo al telefono per conferma.

Non condividete mai le password: nessuna entità legittima vi chiederà mai la password via e-mail.

Ricordiamoci sempre che un antivirus e la tecnologia possono aiutarci, ma la nostra attenzione rimane l’arma di difesa più potente contro il phishing!

E voi cosa volete aggiungere qualche altro consiglio?
Siete mai stati vittime di phishing?