Lo spear phishing è una forma sofisticata di attacco informatico in cui gli aggressori prendono di mira persone o organizzazioni specifiche, spesso utilizzando informazioni personalizzate per aumentare le loro possibilità di successo. A differenza dei tentativi di phishing generici, che gettano un’ampia rete, lo spear phishing è altamente mirato e personalizzato, il che lo rende più pericoloso. Gli aggressori possono impersonare contatti fidati o utilizzare un linguaggio familiare per ingannare le vittime e indurle a rivelare informazioni sensibili, come password o dati finanziari. Comprendere le tattiche impiegate nello spear phishing e implementare misure preventive è fondamentale per salvaguardare la sicurezza personale e organizzativa.

Cos’è lo Spear Phishing? Proprio come il phishing, ma un po’ più diretto

Tutti abbiamo sentito parlare del termine phishing e del suo funzionamento: viene inviata un’e-mail generica con un URL o un allegato crittografato e quando viene cliccato “BOOM”… sei stato scoperto. Ma ora stiamo assistendo a un aumento dello spear phishing.

Lo spear phishing è tecnicamente la stessa cosa, ma con un approccio più diretto e mirato. Gli hacker passano il tempo a esaminare la vita, gli interessi e il ruolo lavorativo di un individuo o di un piccolo gruppo di persone e creano un’e-mail che sembra legittima e interessante, abbastanza da indurre a cliccare. E se quella persona clicca e attiva il malware, questo può diffondersi e causare effetti dannosi all’interno dell’azienda
.

Il Federal Bureau of Investigation ha condotto una ricerca dettagliata sullo spear phishing e ha riferito che la maggior parte dello spear phishing è diretto alle aziende che utilizzano “i bonifici bancari come metodo comune di trasferimento di fondi per scopi commerciali”. Questo fenomeno è noto anche come truffa BEC, definita come una “… truffa sofisticata che prende di mira le aziende che lavorano con fornitori stranieri e/o le aziende che effettuano regolarmente pagamenti tramite bonifico bancario. La truffa viene realizzata compromettendo gli account e-mail aziendali legittimi attraverso tecniche di social engineering o di intrusione informatica per effettuare trasferimenti di fondi non autorizzati”.

Ecco un rapido sguardo su come i “pescatori con la lancia” catturano e si avvicinano a loro.

Spear Phishing su Facebook

I tuoi aggiornamenti possono rivelare molto di te come persona. Le tue abitudini di spesa, il nome del tuo cane, una foto della tua recente vacanza in Grecia o dell’acquisto della tua bella auto nuova. I phisher possono creare un’email credibile che ti chiede di rivedere la tua recente vacanza o di acquistare del cibo per cani scontato con il nome del tuo cane, includendo un link pieno di malware. Non ti stiamo dicendo di non aggiornare mai più nulla, ma di stare attento e di pensare prima di postare o cliccare!

Spear Phishing su Twitter

Il tuo Twitter è pieno di hashtag, #sister #bestfriend #family… e di solito a questi sono collegati tag di nomi di persone, luoghi e persino immagini. In questo modo è facile per i phisher creare un personaggio “dietro cui nascondersi”. Se ricevessi un’email con il nome di tua sorella, penseresti automaticamente che è tutto a posto e non penseresti mai che si tratta di un’email di phishing, ma purtroppo a volte è così.

Spear Phishing su LinkedIn

Hai la tua immagine, il titolo della tua attività, il nome dell’azienda, tutti i dipendenti collegati e tutto ciò che ti interessa è visibile. I phisher possono usare tutto questo contro di te e manipolare il tuo sito
. Non è un pensiero spaventoso? Tutto ciò che fai online e con cui interagisci è in pratica la base per il tuo attacco di spear phishing.
Se metti insieme questi elementi, diventi il bersaglio principale di uno scandalo di spear phishing che, se cliccato, potrebbe essere inviato anche ai tuoi colleghi, generando un effetto a palla di neve. Fai attenzione e non iniziare la palla di neve di
.

Cos'è lo Spear Phishing? Proprio come il phishing, ma un po' più diretto

Spear Phishing: come evitare e ridurre le probabilità di esserne vittima

1) Come evitare lo Spear Phishing? Sii prudente

Con tutti i tuoi dati online, le tue informazioni possono essere reperite e utilizzate molto facilmente. Non svelare troppo e non pubblicare mai dati personali come indirizzo, numero di telefono o coordinate bancarie. Divertiti comunque, pubblica foto divertenti, racconta ai tuoi amici che hai trascorso la giornata più bella in spiaggia con la tua famiglia, racconta a tutti che hai mangiato un burrito per pranzo… ma fai attenzione. Se ricevi un’e-mail con scritto “burrito gratis” dal tuo takeaway preferito in riva al mare, probabilmente non è una coincidenza! Sii consapevole e rimani vigile.

2) Come evitare lo Spear Phishing? Controlla i link

Le e-mail di phishing diretto contengono solitamente dei link che ti chiedono di cliccare per cambiare una password, verificare i dati o iscriverti a qualcosa di nuovo ed esclusivo. Ma prima di cliccare, la cosa migliore da fare è controllare l’URL passando il mouse sul link. Se si tratta di una truffa di phishing, puoi scommettere che l’URL sarà qualcosa di completamente irrilevante per l’email e a volte sarà seguito da una riga di numeri e cifre casuali.

3) Come evitare lo Spear Phishing? Usa la logica

Perché il tuo collega di lavoro dovrebbe voler conoscere i tuoi dati bancari? Perché il tuo capo dovrebbe inviarti un link per visualizzare la tua bolletta telefonica? Molto probabilmente non lo farebbero, quindi se hai dei dubbi, contatta direttamente la persona in questione e verifica se ha inviato l’e-mail. E se ricevi un’e-mail di phishing, cancellala immediatamente! Meglio prevenire che curare.

Come evitare lo Spear Phishing? MetaCompliance

Scopri di più su come proteggere i tuoi dipendenti dallo Spear Phishing

Migliora la tua consapevolezza in materia di sicurezza informatica attraverso i programmi di formazione di MetaCompliance, in particolare MetaPhish, la nostra piattaforma avanzata di simulazione del phishing.