Per Fishing o Phishing s’intende un vero e proprio crimine, una truffa informatica, o meglio: uno strumento semplice ed efficace che gli hacker utilizzano per indurre la gente a fornire dati sensibili o a scaricare un software dannoso. Si pronuncia allo stesso modo di “fishing” (“pescare” in inglese) e in un certo senso è un’azione simile alla pesca: anche in questo caso si cerca di catturare la preda tramite un'esca, rappresentata da una serie di e-mail, SMS o telefonate apparentemente innocue. Il phishing è deliberatamente ingannevole e mascherato da comunicazione proveniente da fonti affidabili. Questo tipo di truffa consiste nell’invio di e-mail o sms, apparentemente provenienti da Istituti di credito o società di e-commerce, che invitano la vittima a collegarsi a pagine internet – del tutto simili a siti istituzionali o aziendali – dalle quali verranno carpiti i loro dati riservati: credenziali per l’accesso a conti on-line, carte di credito e sistemi di pagamento tramite piattaforme e-commerce. Solitamente nel messaggio esca è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega, utilizzando il suddetto link, è quasi identico a quello originale, tramite un malware specifico. Attraverso tale meccanismo, denominato “man in the browser”, che realizza l’interposizione fra il sistema centrale della banca e il software di navigazione del singolo utente (browser), viene propinata all’ignaro utente una pagina video esattamente identica a quella che il malcapitato è abituato a riconoscere in sede di accesso regolare al sito della propria banca o della propria area riservata della piattaforma e-commerce. L’utente, una volta introdotto in un’ambiente identico in tutto e per tutto al sito istituzionale del proprio home banking ove lo stesso è solito operare (stessa grafica e medesimi colori aziendali), digiterà le proprie credenziali di accesso così consentendo la sottrazione di denaro da parte dei criminali informatici.
Se ci si rende conto di essere stati vittima di
fishing bisogna fare subito due azioni:
- Disconoscere l'operazione, recandosi immediatamente presso la propria banca e chiedere il rimborso della somma sottratta.
Alcuni
attacchi sono noti come “campagne” con un unico stile, di solito con l'uso di
uno stesso modello di email che viene spedito a masse di persone. Tuttavia,
esistono forme più sofisticate che sono più difficili da scovare. Ciascuna di
queste tipologie di phishing prende il nome da un tipo di pesca:
- Lo
“spear phishing” mira ad individui specifici, come se si trattasse della
caccia a un tipo di pesce in particolare. Gli hacker studiano
accuratamente i propri bersagli e spediscono loro un messaggio fatto su
misura. In questi attacchi è comune mirare a dipendenti di singole
organizzazioni, confezionando messaggi che sembrano arrivare dai
colleghi. Un'inchiesta
del 2019 di Europol ha messo in evidenza come lo
spear phishing rappresenti una minaccia in crescita.
- Il
“whaling” è un tipo di phishing che mira alle “balene”: grandi bersagli,
come ad esempio amministratori delegati o politici. I guadagni derivanti
da questa tipologia di attacco sono potenzialmente enormi, per questo si
tende a pianificarlo nei minimi dettagli.
- Il
“clone phishing” è un attacco sofisticato che intercetta la corrispondenza
originale. L'hacker clona un’email legittima da parte di una fonte
affidabile: per la vittima l'email sembra essere la continuazione della
conversazione precedente, ma al suo interno può celarsi un link molto
pericoloso.
- Il “vishing” è un attacco di phishing che avviene telefonicamente. L'approccio è lo stesso: dare un'impressione di serietà allo scopo di ottenere dati sensibili da parte della vittima. Bisogna sempre procedere con cautela se si riceve una telefonata in attesa che richiede dati sensibili.
.jpg)
Nessun commento:
Posta un commento