Nel 2014, una violazione dei dati ha esposto le informazioni di tre miliardi di utenti di Yahoo. Nel 2016, i dipendenti di Sony Pictures hanno visto trapelare informazioni private sensibili insieme a migliaia di documenti aziendali. Cosa hanno in comune questi due attacchi? Entrambi sono iniziati con un'e-mail di phishing.
Le minacce via e-mail sono ancora uno dei modi più comuni che gli aggressori hanno per accedere a informazioni sensibili o installare malware. Sebbene la maggior parte dei casi noti di phishing siano rivolti a utenti anonimi, gli aggressori possono anche utilizzare e-mail contenenti link o file falsi per colpire individui specifici in possesso di informazioni sensibili. E, come sottolineano i ricercatori di ESET, nel 2022 questo tipo di minaccia ha registrato un aumento di quasi il 30% rispetto all'anno precedente. E dato che i modelli linguistici di intelligenza artificiale rendono più facile la composizione delle e-mail, è probabile che questi numeri stiano per aumentare ancora di più!
Gli attacchi di phishing sono una forma di ingegneria sociale che ci fa reagire con un senso di urgenza e curiosità. Sebbene tutti noi possiamo essere vittime di questo tipo di attacco, possiamo anche imparare a evitarlo. Vediamo alcuni esempi reali dei phishing più comuni utilizzati per ingannarci.
1. "La sessione è scaduta. Clicca qui per accedere di nuovo".
Alcune delle linee e tattiche di phishing più comuni si limitano a informarvi brevemente che siete stati disconnessi da un account e vi spingono a inserire le vostre credenziali. Cliccando sul link si accede a un sito web molto simile a quello reale. La differenza, tuttavia, è che l'inserimento delle credenziali le invierà immediatamente agli aggressori, che le utilizzeranno per accedere alle vostre informazioni. In alcuni casi, potrebbero persino accedere al posto vostro e cambiare la password per evitare di darvi accesso.
Questa tecnica si basa sull'abitudine degli utenti di rispondere automaticamente a tali messaggi senza pensare al contenuto o senza controllare i segnali tipici di un'e-mail/messaggio di phishing. (Per saperne di più su questi segnali, cliccate qui). Ad esempio, l'anno scorso GitHub Security ha lanciato un allarme sulle e-mail che impersonavano la popolare piattaforma di sviluppo software CI/CD CircleCI. Gli imitatori inviavano un avviso con scritto "sessione scaduta" e richiedevano un nuovo login utilizzando le credenziali di GitHub. "Abbiamo notato un'attività insolita sul tuo account. Si prega di verificare".
Con questo trucco, i truffatori cercano di suscitare un senso di urgenza. Chi non vorrebbe evitare l'improvvisa perdita di un account, giusto? Di solito, queste e-mail si spacciano per messaggi provenienti da servizi legittimi come Amazon, PayPal, ecc.
Ad esempio, alla fine del 2018, la Federal Trade Commission (FTC) degli Stati Uniti ha lanciato un allarme sulle e-mail di phishing che impersonano il gigante dello streaming Netflix.
Queste e-mail sostenevano che un account era stato messo in attesa a causa di un errore nei dettagli di pagamento, chiedendo alle persone di aggiornare le informazioni di fatturazione utilizzando un link incorporato, che ovviamente era malevolo e veniva utilizzato per ottenere le credenziali di accesso.
Allo stesso modo, nel 2016 i clienti Apple sono stati presi di mira quando i truffatori hanno cercato di rubare le loro informazioni personali con e-mail di phishing in cui si affermava che gli utenti dovevano riconfermare i dati del loro account perché era stato trovato "un virus" nel database di iTunes di Apple.
2. "Ho bisogno che tu effettui un pagamento urgente".
L'impersonificazione di account di posta elettronica aziendali è da sempre un campione tra le campagne di spearphishing che non prendono di mira persone anonime, ma si rivolgono a una persona specifica o a un gruppo di dipendenti di un'azienda selezionata.
Prima di inviare queste e-mail fraudolente, i truffatori imparano a conoscere il più possibile le strutture aziendali, le immagini, il linguaggio, ecc. di un'impresa, per rendere l'e-mail di phishing quasi indistinguibile da quella autentica.
Alcune di queste e-mail si rivolgono specificamente ai dipendenti responsabili della gestione dei contanti e delle questioni finanziarie. Fingono di essere l'amministratore delegato o un altro superiore autorizzato a ordinare un trasferimento monetario e chiedono alla vittima di inviare fondi a un conto specifico, presumibilmente quello dell'amministratore delegato o forse dell'azienda.
Nel 2018, l'impersonificazione di un amministratore delegato è stata utilizzata per rubare oltre 100.000 dollari canadesi alla città di Ottawa. Fingendo una richiesta del city manager, il tesoriere comunale ha ricevuto una falsa e-mail per trasferire l'importo che è finito nelle tasche dei truffatori.
Gli avidi truffatori hanno tentato di ingannare il tesoriere anche una seconda volta, ma quando hanno ricevuto un'altra e-mail, il direttore della città era lì ad assistere personalmente. Dopo aver chiesto se la richiesta fosse legittima, la truffa è stata svelata e i truffatori sono stati colti in flagrante.
3. Caro utente..."
Queste e-mail o messaggi di phishing si basano su false offerte di lavoro come esca. Possono indurre le potenziali vittime a cliccare su un link di phishing o ad aprire file dannosi inviati insieme a un messaggio e-mail, chiedendo alla vittima, ad esempio, di creare un account e di inserire i propri dati personali come mezzo per candidarsi al lavoro.
Il gruppo di minacce Lazarus, ad esempio, ha condotto numerose campagne di questo tipo, come l'operazione DreamJob, scoperta dai ricercatori di ESET proprio di recente, che ha attirato le vittime con false offerte di lavoro.
Queste truffe esistono anche sulle più diffuse bacheche di annunci di lavoro, quindi cercate sempre di verificare se il cacciatore di teste che vi ha contattato o l'offerta di lavoro che vedete è legittima.L'ultima campagna ha preso di mira gli utenti di Linux con un file ZIP che fornisce una falsa offerta di lavoro HSBC come esca.
4. "A causa della situazione attuale...".
Il phishing è in aumento anche in occasione di grandi eventi, siano essi sportivi o di crisi umanitarie.
Ad esempio, all'inizio del 2023, il gruppo di minacce Fancy Bear ha condotto una campagna e-mail relativa alla guerra in Ucraina. Le e-mail contenevano un file RTF dannoso chiamato "Nuclear Terrorism A Very Real Threat". Una volta aperto, il file non solo comprometteva il computer, ma era anche un blog dell'autorevole think tank Atlantic Council che affermava che la probabilità che Putin usasse armi nucleari nella guerra in Ucraina è molto bassa - l'esatto contrario di quanto affermato nel nome del documento e che ha spinto le vittime ad aprirlo.
5. "Buon Natale!"
Le truffe durante le festività abusano spesso della corsa agli acquisti con e-mail che si spacciano per messaggi di venditori legittimi. Le e-mail contengono offerte "troppo belle per essere vere" o creano un falso senso di urgenza per cogliere l'affare dell'ultimo minuto!
Un altro approccio dei truffatori è l'invio di e-mail con file dannosi legati alle festività, tra cui biglietti di Natale, buoni regalo, ecc.
6. "Non siamo in grado di elaborare la sua dichiarazione dei redditi".
Solo poche cose al mondo sono certe: la morte, le tasse e le e-mail di phishing durante la stagione fiscale. Poiché le persone stanno compilando le tasse, non è sorprendente che ricevano qualche e-mail da un'agenzia fiscale.
I truffatori abusano di questa situazione inviando e-mail di phishing con falsi messaggi dell'agenzia delle entrate. Di solito, sostengono che mancano alcune informazioni e chiedono ulteriori dettagli personali o finanziari.
Altre e-mail offrono un rimborso e chiedono i dati della carta di credito.
7. Nessuna risposta richiesta
Alcune e-mail di phishing hanno un contenuto minimo o nullo, inducendo l'utente ad aprire un file allegato per saperne di più.
Ad esempio, ESET Research ha scoperto una campagna malevola che ha preso di mira le reti aziendali nei Paesi di lingua spagnola utilizzando brevi e-mail con allegati PDF nel 2021.
L'oggetto dell'e-mail può essere semplice come in questo caso: "Services Statement Dublin"; non c'è nessun messaggio a parte una firma e un contatto di cellulare in Venezuela. Nel frattempo, l'allegato è un semplice file PDF senza alcun valore informativo aggiuntivo, ma conteneva un link che reindirizzava le vittime a servizi di cloud storage, da cui era possibile scaricare il malware.
Come proteggersi dalle e-mail di phishing
Leggete attentamente l'e-mail. Non cliccate su nulla di automatico.
- Controllate se l'indirizzo e-mail corrisponde al dominio reale.
- Siate cauti con le e-mail improvvise e inaspettate provenienti da una banca, da un fornitore o da qualsiasi altra organizzazione.
- Controllate le bandiere rosse, come le e-mail urgenti o minacciose che richiedono una risposta immediata o le richieste di credenziali, informazioni personali e finanziarie. Anche i numerosi errori grammaticali, di ortografia e di battitura sono un segnale di allarme.
- Confrontate l'URL allegato con il rispettivo dominio di un'azienda o organizzazione legittima. Se notate qualcosa di sospetto, non cliccateci sopra.
- Fate attenzione alle offerte troppo belle per essere vere e ai regali inaspettati.
- Non inviate denaro frettolosamente se il vostro superiore vi chiede improvvisamente un trasferimento di questo tipo, rivolgetevi direttamente a lui.
- Installate un prodotto di cybersecurity con strumenti anti-phishing incorporati.
Le e-mail di phishing sono una minaccia molto diffusa e anche i professionisti IT possono cadere in questa truffa. Fortunatamente, la maggior parte di queste e-mail è abbastanza facile da individuare, se si controlla l'impulso a fare clic sui link o ad aprire gli allegati prima di confermare chi è il mittente.