Educazione Civica DigitaleEnciclopedia dell'ECD

Phishing, spear phishing e whaling: cosa sono e come difendersi

A quasi tutti noi è capitato di ricevere messaggi indesiderati, spesso contenenti link o rimandi non affidabili e sospetti. Quello che non tutti sanno è che la truffa online si è negli anni evoluta per colpire diverse tipologie di persone.

Phishing: definizione

Il termine tecnico per definire una truffa online è phishing (lett. “andare a pesca”), ossia gettare una vera e propria esca per attirare l’attenzione dell’utente e trascinarlo in un dominio pericoloso. Non va tuttavia confuso con il clickbaiting, altro sistema molto diffuso.

La tecnica del phishing è una delle più diffuse tra gli hacker, nonché una delle più semplici da utilizzare. Alla sua base sta il cosiddetto social engineering (ingegneria sociale), ossia lo studio di uno o più individui al fine di carpire informazioni utili da sfruttare. L’obiettivo è conquistare la fiducia della vittima attraverso messaggi amichevoli o persino veri e propri cloni di un sito web conosciuto per nascondere le proprie intenzioni.
Questo sistema può anche essere usato per introdurre, tramite l’apertura di link, file malevoli o malware con diverse funzioni: dalla cattura di dati sensibili, al mining, fino al noto ransomware. In tutti questi casi è bene proteggere il proprio sistema operativo con antivirus certificati e scansionare il computer con cadenza settimanale, se non giornaliera.

I casi più comuni di phishing

Un caso classico e tutt’ora molto diffuso, sono le email di phishing che mandano a siti quali Facebook, Twitter e Google+, chiedendo di reinserire le proprie credenziali. Se la vittima cade nella trappola, l’hacker ottiene in tempo reale email e password del malcapitato, potendo quindi accedere ai suoi profili per rubare dati, informazioni personali o semplicemente tagliarlo fuori.

Il phishing si può presentare anche sotto forma di link alterati o modificati (come i domini in http anziché https, ossia sito sicuro), spesso accorciati per nascondere alla vittima il sotto-dominio originale.
Recentemente si è visto anche un aumento dei casi di phishing via SMS, numeri schermati che mandano messaggi informativi con offerte imperdibili o vincite. Anche in questo caso, l’uso di link modificati sembra essere il sistema predefinito.

Evoluzioni del phishing: lo spear phishing e il whaling

Col passare degli anni, il phishing si è evoluto per colpire persone comuni così come VIP o multinazionali su più livelli. Si è passati da semplici email malevole inviate a dozzine di utenti scelti a caso, fino a veri e propri attacchi informatici atti a demolire le fondamenta di aziende importanti.

Con l’elevazione della posta in gioco è nato anche lo spear phishing (o phishing mirato). L’attacco coinvolge quasi sempre un singolo individuo scelto con accuratezza o una compagnia, al fine di ottenere informazioni importanti da sfruttare.
Il whaling invece è l’ultima frontiera delle truffe online, rivolta prevalentemente a manager aziendali o dirigenti, al fine di prendere il controllo del loro terminale o di installare software pericolosi nella rete. Ci sono stati casi di email dell’FBI copiate perfettamente per infondere fiducia nel ricevente.

Come difendersi

Fortunatamente, difendersi da phishing è abbastanza semplice. Innanzitutto occorre sapere che non molto tempo fa sono state varate delle leggi anti-phishing a difesa degli utenti, trasformando questa forma di truffa in un vero e proprio crimine perseguibile.
Per proteggere le persone, numerosi browser hanno iniziato a flaggare i siti truffaldini, segnalandoli non appena si tenta di accedervi. Qualora questo sistema non dovesse funzionare, vista anche l’enorme quantità di siti malevoli in circolazione, è bene conoscere alcune regole per identificarli in solitaria:

  • Controllare sempre il link di rimando prima di accedere a un sito sconosciuto;
  • Assicurarsi che l’URL del sito contenga almeno il protocollo di sicurezza https;
  • Cancellare le email di phishing (o sospette tali) senza aprirle. In aggiunta si possono segnalare come spam;
  • Applicare le verifiche in due passaggi ove possibile. In questo modo l’utente viene allertato in caso di manipolazione dei dati.

La lotta contro le truffe online è ancora lunga, ma per affrontare i criminali nel modo più efficace serve che tutti gli utenti siano consapevoli dei rischi che corrono ogni volta che accedono alla rete.
La prima sicurezza degli operatori sono gli operatori stessi.

A cura di

Francesco Antoniozzi


FONTI:

CREDITS: