Gli elementi di un attacco di phishing convincente
Pubblicato su: 14 Gen 2022
Ultima modifica il: 23 Set 2025
Cassie Chadwick è stata una truffatrice all’inizio del XX secolo. La Chadwick commise una prima versione di furto d’identità per realizzare frodi telematiche, convincendo le banche di essere la figlia illegittima di Andrew Carnegie per ottenere prestiti a fronte di questa dichiarazione. Nel 1905, Cassie fu condannata a dieci anni di carcere per aver frodato una banca.
Le truffe di successo, come quella di Chadwick, diventano leggenda. Nel corso dei secoli, i truffatori hanno utilizzato l ‘ingegneria sociale e truffe simili per accumulare grandi somme di denaro ingannando i loro obiettivi.
Oggi i truffatori utilizzano comunicazioni moderne come l’e-mail per portare a termine le truffe. Tuttavia, devono ancora utilizzare gli elementi di una storia convincente per assicurarsi che un’e-maildi phishing riesca a ingannare il destinatario.
Ecco gli elementi di un attaccodi phishing convincente.
Perché concentrarsi sugli attacchi di phishing?
Gli attacchi di phishing esistono fin dagli albori della posta elettronica. Questo ha senso in quanto l’e-mail può essere utilizzata come punto di collegamento tra un hacker e la rete aziendale, ovvero un gateway di comunicazione che può aprire la rete aiutando a rubare password, nomi utente e indirizzi e-mail o a distribuire malware.
Il phishing rimane il “vettore di attacco più comune” secondo l’ultima ricerca del governo britannico presentata nel rapporto “Cyber Security Breaches Survey 2021“. Il motivo per cui il phishing continua a essere utilizzato è che continua a riscuotere un grande successo: il 32% dei dipendenti clicca sul link di un’e-maildi phishing e l’8% non sa nemmeno cosa sia un’e-maildi phishing.
Un singolo dipendente che clicca su un link di un’e-maildi phishing e inserisce le credenziali di accesso mette l’intera azienda a rischio di violazione dei dati o di infezione da malware. Anche i dipendenti con privilegi di accesso inferiori possono comunque portare all’escalation dei privilegi e alla violazione dei dati.
Il phishing è uno dei principali punti di attacco e per questo i criminali informatici si impegnano a rendere convincente questo vettore di attacco per garantirne il successo.
Elementi di successo per i dipendenti che praticano il phishing
Per riuscire a colpire un dipendente, un truffatore deve assicurarsi che l’intera campagna di phishing sia convincente, a partire dall’aspetto dell’e-mail, fino a qualsiasi sito fasullo a cui i link di phishing portano il dipendente. Gli elementi di una campagna di phishing convincente sono sempre più sofisticati e comprendono:
Impersonificazione del marchio
Il brand spoofing è stato utilizzato fin dall’avvento del phishing via e-mail. Alcuni marchi sono popolari tra le aziende e vengono costantemente utilizzati per ingannare i destinatari e far loro credere che l’email sia legittima e consegnare i propri dati personali.
Check Point effettua regolarmente ricerche sui marchi più popolari che vengono utilizzati come base per le campagne di phishing. Uno dei marchi più utilizzati nel 2021 è stato Microsoft, utilizzato in circa il 45% delle campagne di phishing nel secondo trimestre del 2021.
URL erronei, lunghi e reindirizzati
Passare il mouse su un link in un’e-mail non è sempre un modo sicuro per individuare un link dannoso. Di recente, i truffatori hanno iniziato a utilizzare ” URLcanaglia” per mascherare la natura malevola di un link di phishing.
In genere si tratta di nascondere il vero indirizzo di un link utilizzando dei caratteri speciali. Un URL Encoder viene utilizzato per modificare un URL aggiungendo segni di percentuale, ovvero iniziando una stringa di URL con un carattere % per nascondere la vera natura di un indirizzo web. Questi URL sono accettati da Google e quindi è difficile impedirli utilizzando filtri per contenuti statici.
Gli URL molto lunghi vengono utilizzati anche per mascherare un indirizzo web dannoso. I link delle e-mail sui dispositivi mobili sono notoriamente difficili da vedere e gli URL molto lunghi rendono ancora più difficile individuare i link sospetti.
Anche l’uso di link multipli e di reindirizzamenti viene ora utilizzato per confondere gli utenti. Una recente campagna di phishing a più reindirizzamenti ha portato gli utenti a una serie di reindirizzamenti, che terminavano con una pagina di Google reCaptcha che alla fine reindirizzava a una pagina di Office 365 fasulla dove venivano rubate le credenziali di accesso.
Falsi segnali di sicurezza
Le persone non possono più fare affidamento sull’uso di segnali di sicurezza per indicare che un sito web è affidabile. Ad esempio, il simbolo del lucchetto che si vede su alcuni siti web ed è associato alla S alla fine di HTTP, cioè HTTPS. Questo indica che un sito web utilizza un certificato digitale (certificato SSL) per segnalare che si tratta di un sito sicuro. Tuttavia, l’Anti-Phishing Working Group (APWG) ha rilevato che nel secondo trimestre del 2021 l’82% dei siti di phishing utilizzava un certificato SSL.
Trucchi di ingegneria sociale
Tutte le tattiche di cui sopra sono supportate da diversi trucchi di ingegneria sociale ben collaudati che catturano i dipendenti, facendoli passare al livello successivo della campagna di phishing. È l’aspetto di ingegneria sociale del phishing che permette ai criminali informatici dietro la campagna di avviare il processo che porta a ransomware, violazioni di dati e altri tipi di attacchi informatici.
L’ingegneria sociale è un termine generico che utilizza una serie di tecniche per manipolare il comportamento dei dipendenti; i metodi tipici includono:
- Urgenza: un’e-mail o un messaggio di testo di phishing potrebbe utilizzare una richiesta urgente per eseguire un compito. La Business Email Compromise (BEC) che applica componenti di phishing nell’attacco utilizza spesso questo trucco. Un esempio è rappresentato da un’e-mail contraffatta che può sembrare proveniente da un dirigente di alto livello con la richiesta urgente di trasferire denaro a un nuovo cliente o di rischiare di perdere il cliente stesso.
- Altri inneschi emotivi: i truffatori giocano con le emozioni delle persone per indurle a compiere operazioni come cliccare su un link malevolo in un’e-mail o fornire informazioni sensibili. La curiosità, la preoccupazione per la sicurezza, il desiderio di essere accontentati e la voglia di fare bene un lavoro sono tutti elementi utilizzati come esca per il phishing.
- Spear phishing e ricognizione: per perfezionare i loro attacchidi phishing, i truffatori possono utilizzare lo spear phishing. Questa forma di phishing mirato è alla base di molti attacchi, ma richiede uno sforzo maggiore da parte dei truffatori che creano email che riflettono fedelmente il ruolo dell’individuo preso di mira. Per far sì che le email di spear phishing abbiano successo, i truffatori in genere effettuano una ricognizione dell’obiettivo prima di creare la campagna di phishing.
I criminali informatici sono maestri nel creare campagne di phishing di successo e le statistiche lo dimostrano. Un rapporto dell’APWG afferma che “dopo essere raddoppiato nel 2020, il numero di phishing è rimasto a un livello costante ma elevato”. Gli elementi di un attaccodi phishing convincente sono collaudati e affidabili per i truffatori. Comprendendo questi elementi, un’organizzazione può mitigarli in modo più efficace.
Come difendere la tua organizzazione da un attaccodi phishing
Sempre più spesso gli elementi di un attacco di phishing di successo si basano sull’applicazione di tecniche per eludere le tecnologie anti-phishing tradizionali, come i filtri di contenuto. Questo non significa che i filtri dei contenuti non abbiano un ruolo nella protezione di un’azienda da campagne di phishing sofisticate.
Tuttavia, non si può fare affidamento su di loro. Le campagne di phishing continuano a utilizzare l’uomo nella macchina per entrare nella rete aziendale. Dobbiamo aspettarci che questa situazione continui e che gli sviluppatori di campagne di phishing trovino sempre il modo di aggirare la tecnologia.
Un approccio stratificato al controllo del phishing consiste nel dotare la tua forza lavoro degli strumenti necessari a prevenire il phishing. Utilizzando un mix di formazione di sensibilizzazione alla sicurezza e di esercizi di simulazione di phishing, la forza lavoro è in grado di individuare un’e-maildi phishing prima che diventi un punto di accesso.
