Il phishing esiste da molto tempo e si è sempre dimostrato un modo efficace per truffare le persone e rubare informazioni personali. Tuttavia, poiché il nostro panorama tecnologico si è evoluto, le truffe di phishing che vediamo sono sempre più avanzate e ingannevoli.
Gli aggressori hanno affinato le loro abilità e adattato le loro truffe per truffare il maggior numero di persone possibile su una serie di piattaforme diverse. Kaspersky Lab ha notato un aumento del 59% degli attacchi di phishing nel 2017, e questa cifra è destinata ad aumentare. La semplice ragione è che il phishing funziona.
Il suo basso costo e l'alto ritorno sull'investimento lo hanno reso un modo molto redditizio per frodare le persone. Nonostante una maggiore conoscenza generale del phishing, milioni di persone cadono ancora nelle truffe di phishing ogni giorno.
Il modo migliore per evitare di cadere in una truffa di phishing è sapere che aspetto hanno e quali metodi vengono utilizzati per colpire le vittime. Di seguito sono riportate alcune delle truffe di phishing più comunemente usate per colpire gli utenti di tutto il mondo:
Le migliori truffe di phishing
1. Phishing ingannevole
Il phishing ingannevole è il tipo di truffa di phishing più utilizzato. Lo scopo di ogni attacco di phishing è quello di indurre la vittima a rivelare informazioni riservate ed è tipicamente effettuato impersonando una società legittima o una fonte rispettabile. Queste email di phishing spesso creano un senso di urgenza, così l'utente si sente costretto a rispondere all'email il prima possibile.
Negli ultimi anni, le truffe di phishing sono diventate sempre più sofisticate e difficili da individuare. Gli errori ortografici e grammaticali spesso avvisano gli utenti della presenza di una truffa di phishing, ma le email di phishing di oggi sono ben realizzate e spesso difficili da distinguere dal vero affare.
Le email di phishing ingannevoli assumono molte forme diverse, ma la maggior parte cercherà di ingannare un utente a risolvere un problema di account, come l'aggiornamento delle informazioni di pagamento o la prevenzione della chiusura di un account, cliccando su un link. Non appena una vittima clicca su un link, viene spesso indirizzata a un sito falso quasi identico che ruberà le sue informazioni personali e finanziarie.
Gli attacchi di phishing ingannevoli spesso imitano le grandi aziende di marca come PayPal, Netflix, Apple e Amazon, poiché c'è una maggiore possibilità che più persone cadano nella truffa. Gli utenti dovrebbero sempre diffidare delle e-mail con un saluto generico, un linguaggio urgente e minaccioso, errori di ortografia, un URL non corrispondente o richieste di informazioni personali.
2. Spear Phishing
Alcuni dei più grandi attacchi informatici degli ultimi anni sono tutti iniziati con una singola e-mail di spear phishing. Lo spear phishing è un tentativo più mirato di rubare informazioni sensibili e in genere si concentra su una specifica persona o organizzazione. La creazione di un attacco di spear phishing richiede molto più pensiero e tempo e i truffatori cercano di scoprire quante più informazioni possibili sulla loro vittima per far apparire le email il più possibile legittime e convincenti.
Spesso si rivolgono ai siti web aziendali e ai social media per ricercare le loro vittime, e una volta che hanno una migliore comprensione del loro obiettivo, iniziano a inviare e-mail personalizzate progettate per ingannare la loro vittima a divulgare informazioni sensibili.
Gli attacchi di Spear Phishing possono assumere molte forme diverse. Alcuni tentano di indurre la vittima a cliccare su un link che scarica malware, altri possono richiedere i dettagli di login, o possono essere indirizzati a un sito che contiene pubblicità o software di keylogging.
Le misure di sicurezza tradizionali possono rivelarsi totalmente inefficaci nel rilevare le e-mail di spear phishing, quindi è fondamentale che gli utenti rimangano vigili su questo metodo di attacco e ricontrollino la validità di tutte le e-mail che credono essere sospette.
3. Phishing dei social media
C'è stato un forte aumento del numero di truffe di phishing effettuate sui social media. Un recente rapporto di RiskIQ ha rilevato un aumento del 100% degli attacchi di phishing che avvengono sulle piattaforme di social media. Il Social Media Phishing è quando gli aggressori usano i siti di social media come Facebook, LinkedIn o Twitter, per indurre gli utenti a cliccare su link dannosi o a rivelare informazioni personali.
I siti di social media stanno dimostrando di essere un terreno di caccia redditizio per gli aggressori, in quanto possono trovare una ricchezza di informazioni sulle potenziali vittime prima di lanciare un attacco mirato. Gli utenti tendono anche ad essere più fiduciosi e meno sospettosi sui link all'interno dei messaggi sui social media, lasciandoli più vulnerabili agli attacchi.
Con i consumatori che interagiscono sempre di più con i marchi attraverso i loro canali di social media, i truffatori sono stati veloci ad approfittare di questa relazione online per lanciare account falsi che impersonano i grandi marchi. La ricerca indica che il 19% degli account dei social media che sembrano rappresentare i migliori marchi erano tutti falsi.
Per una maggiore protezione contro le truffe di phishing sui social media, gli utenti dovrebbero sempre utilizzare impostazioni di privacy avanzate, non cliccare su link sospetti, non accettare mai richieste di amicizia da qualcuno che non si conosce, e fare attenzione a condividere troppe informazioni personali.
Immagine: Link falso di Facebook
Fonte: TrendMicro
4. Phishing basato sul malware
I criminali informatici utilizzano una serie di attacchi di phishing per rubare informazioni personali e finanziarie, e il phishing basato su malware si è dimostrato un modo estremamente efficace per colpire le vittime e lanciare attacchi informatici su larga scala.
Il phishing basato sulmalware è quando un attaccante invia un allegato e-mail o un file scaricabile che una volta cliccato infetterà un computer con un virus, un ransomware o altri programmi dannosi. Questo è esattamente quello che è successo nel famigerato attacco WannaCry che ha colpito più di 200.000 vittime in 150 paesi dopo che i loro computer sono stati infettati con software dannoso.
5. Truffe di condivisione di file
I servizi di condivisione di file come Google Docs e Dropbox sono diventati un modo molto efficace per colpire gli utenti con truffe di phishing. I siti sono frequentemente utilizzati dalle aziende, quindi tendono a non essere bloccati e sono a loro volta utilizzati come esca negli attacchi di phishing.
Nel 2017, circa un milione di utenti di Google Docs sono stati colpiti da una truffa di phishing che ha rubato i loro dati personali dopo aver cliccato su un link di phishing. Le vittime hanno ricevuto una mail che diceva: "xxx ha condiviso con te un documento su Google Docs", questo, a sua volta, portava gli utenti ad una falsa pagina di login di Google. La truffa sembrava del tutto legittima, in quanto era ospitata sui server di Google, ma non appena gli utenti hanno inserito la loro password, sono stati reindirizzati ad un sito malevolo di terze parti.
Non si può sottolineare abbastanza che gli utenti dovrebbero sempre essere molto attenti a cliccare su link e scaricare allegati da fonti sconosciute. L'autenticazione a due fattori può anche essere utilizzata per fornire un ulteriore livello di difesa nella protezione della sicurezza degli account online.
Articoli correlati:
Come segnalare un phishing scam?
5 metodi efficaci per rilevare un sito di phishing
Cosa fare se si clicca su un link di phishing
Nonostante la crescente sofisticazione delle truffe di phishing, ci sono diversi modi per proteggersi online. MetaPhish è stato specificamente progettato per proteggere le aziende dagli attacchi di phishing e ransomware e fornisce la prima linea di difesa nel combattere il crimine informatico. Mettiti in contatto per ulteriori informazioni su come possiamo aiutare la tua azienda.