Aiuto, ho cliccato su un link phishing. E adesso cosa posso fare?

Un breve excursus sul fenomeno del phishing che, purtroppo, vede tra le vittime quasi un italiano su dieci. Cosa fare se si fossero condivisi dati personali, informazioni riservate e credenziali di accesso con i criminali informatici.

Un recente sondaggio condotto da NordVPN ha messo in evidenza come circa il 50% degli italiani abbia ricevuto un messaggio di phishing. Una persona su 10 ha ammesso di essere caduta nel tranello e di aver dato credito alla truffa, subendone le conseguenze.

Gli attacchi phishing si presentano sotto diverse forme, ma tutti hanno un obiettivo comune: indurre gli utenti a divulgare informazioni personali o riservate come credenziali di accesso, dati sui propri account, estremi dei conti correnti online, dettagli anagrafici e così via.

Cosa sono e come possono presentarsi gli attacchi phishing

Come abbiamo anticipato nell’introduzione, gli attacchi phishing sono tentativi fraudolenti che mirano a ottenere informazioni da altre persone: nomi utente, password e dettagli finanziari. Gli aggressori simulano una comunicazione legittima da parte di entità affidabili. L’obiettivo è quello di carpire la fiducia della vittima, evitando che possano presentarsi dubbi circa la pericolosità e la non legittimità del messaggio ricevuto.

Di solito, i criminali che sviluppano campagne phishing cercano di congegnarle in maniera tale che i messaggi ricordino da vicino lo stile e le “personalizzazioni” delle comunicazioni provenienti dalle realtà più conosciute.

Il quiz per riconoscere le truffe online, sviluppato da Jigsaw-Google, è un’ottima palestra con la quale vi suggeriamo di cimentarvi. Aiuta a mettere alla prova le vostre abilità nello scoprire con successo i messaggi phishing, anche quelli meglio costruiti, distinguendoli dalle comunicazioni legittime.

I bersagli più ghiotti per i criminali informatici

Alcune delle realtà più bersagliate dai phishers sono le banche e le istituzioni finanziarie: i criminali cercano di ottenere informazioni finanziarie e l’accesso ai conti degli utenti. Molto “gettonate” sono anche le aziende tecnologiche e i fornitori di servizi online, dato che possono conservare un gran numero di informazioni sugli utenti, compresi i loro dati personali.

Ci sono poi le piattaforme di e-commerce, con i siti di pagamento online tra gli obiettivi comuni: gestiscono informazioni finanziarie e dettagli delle carte di credito. Non sono escluse dall’azione dei criminali informatici, le istituzioni governative, le organizzazioni sanitarie e i fornitori di servizi medici, i social media e un ampio ventaglio di piattaforme online, le università e altre istituzioni didattiche.

Alcuni esempi di phishing: email e siti contraffatti

L’esempio più comune sono le email di phishing, messaggi di posta elettronica fasulli che i truffatori inviano cercando di “scimmiottare” le modalità di comunicazione di aziende e istituzioni. L’obiettivo è quello di persuadere la vittima a visitare una pagina Web creata “ad hoc” e indurla all’inserimento dei propri dati e delle proprie credenziali. Gli attaccanti possono anche allegare file dannosi, che una volta aperti infettano il dispositivo dell’utente.

Gli aggressori creano siti Web contraffatti, che imitano le pagine legittime e cercano di spillare dati personali e informazioni riservate. Per difendersi, è fondamentale avere ben chiara la struttura degli URL ovvero qual è l’architettura degli indirizzi che appaiono nella barra del browser.

Facciamo un esempio molto semplice. Indipendentemente dal fatto che sia presente un riferimento al protocollo HTTPS, securelogin.poste.it è evidentemente un URL legittimo che fa riferimento a Poste Italiane; poste.italiane.loginsicuro.xyz è invece un sito phishing. Il nome di dominio reale è il primo che si legge procedendo da destra verso sinistra, a partire dal TLD (ad esempio .it, .com, .xyz,…). Nel nostro esempio di fantasia, loginsicuro.xyz non ha evidentemente alcuna correlazione con Poste Italiane e dovrebbe essere evitato come la peste.

L’uso di TLD meno comuni, spesso aiuta gli attaccanti a ricalcare nomi e marchi di aziende famose: ne parliamo anche nell’articolo in cui vediamo come i nuovi domini .zip e .mov siano utilizzati anche per le truffe online.

Smishing, vishing e ingegneria sociale

I tentativi di phishing sono sempre più diffusi anche sulle piattaforme di messaggistica istantanea ma, molto di più, si concretizzano sotto forma di SMS. Lo smishing, ovvero la ricezione di SMS truffaldini che invitano a fornire informazioni personali o a cliccare su link dannosi, è sempre più all’ordine del giorno.

Anche il phishing tramite telefono (vishing) ha fatto registrare una vera esplosione: in questo caso, gli attaccanti possono fingersi incaricati di banche e istituzioni finanziarie, utilizzando tecniche di ingegneria sociale per ottenere dalle vittime informazioni strettamente personali.

La manipolazione psicologica, che fa leva su approcci persuasivi o vere e proprie minacce (come una fantasiosa imminente chiusura di un conto), è una delle leve preferite dai criminali informatici.

Spear phishing e Whaling

Anziché inviare campagne email o messaggi truffaldini su larga scala, alcuni phisher preferiscono colpire direttamente “i pesci più grossi”. Si chiama Spear phishing la forma di attacco più mirata. In questo caso, il criminale cerca informazioni specifiche sulla potenziale vittima, ne studia gli interessi, la vita lavorativa e privata per poi creare e inviare un messaggio ancora più convincente (perché personalizzato). Lo spear phishing è generalmente sfruttato per colpire dirigenti o persone di alto profilo.

Il Whaling, infine, prende di mira dirigenti di alto livello o individui in posizioni di potere all’interno di un’azienda. Queste metodologie di attacco spesso sfruttano un senso di urgenza o di paura per spingere la vittima a compiere un’azione nell’immediato, compreso il trasferimento di denaro o la condivisione di dati che andrebbero invece mantenuti segreti.

Cosa fare se si è caduti nella trappola del phishing

I “numeri” condivisi da NordVPN sono disarmanti: il 7% degli italiani riceve almeno un messaggio di phishing al giorno; il 72% ha subìto phishing via email, il 59% ha ricevuto un SMS di phishing sul proprio telefono e circa un terzo ha ricevuto un messaggio di phishing su una piattaforma di messaggistica (come WhatsApp, Messenger,…).

Quasi un decimo (7%) degli italiani colpiti da un attacco phishing ha perso del denaro o le proprie credenziali di accesso (nome utente, password).

Se si fossero malauguratamente fornite delle informazioni personali a un attaccante, ad esempio compilando un form presente su un sito Web fasullo, la prima cosa da fare è agire con calma ma, allo stesso tempo, con la massima risolutezza. Di seguito forniamo alcuni spunti efficaci per togliersi rapidamente dai pasticci ed evitare qualunque rischio.

Cambiare la password di accesso

Se si fossero colpevolmente forniti dati estremamente importanti come le credenziali di accesso a un qualunque servizio online, la prima cosa da fare è cambiare password. A questo proposito, vale la pena ricordare che è sempre importante scegliere e impostare una password sicura, accertandosi di non utilizzare la stessa per l’accesso ad altre piattaforme.

I criminali informatici sono infatti soliti provare le stesse credenziali su più piattaforme, facendo leva proprio sul fatto che tanti utenti continuano a non differenziare le loro credenziali di accesso. In generale, le password devono essere complesse, uniche e difficili da indovinare.

Attivare l’autenticazione a due fattori (2FA)

L’abilitazione dell’autenticazione a due fattori è uno strumento essenziale per proteggersi efficacemente dagli attacchi phishing. Si tratta di un meccanismo di sicurezza che aggiunge un ulteriore livello di protezione. Con 2FA, infatti, è richiesta una seconda forma di autenticazione, come un’impronta digitale o una password unica.

Anche se il criminale informatico avesse tra le sue mani la password corretta per accedere a un certo servizio online, egli non potrà concludere il login proprio perché ogni accesso deve essere espressamente approvato dall’utente (ad esempio mediante autenticazione tramite smartphone, inserimento di un codice OTP, utilizzo di un token fisico e così via).

Non dare credito alle comunicazioni che richiedono l’avvio di app specifiche

Soprattutto se l’utente utilizzasse l’autenticazione a due fattori, in alcuni casi gli aggressori proveranno a convincerlo a eseguire un’applicazione malevola (con un’email, un SMS, una chiamata,…). L’obiettivo è sottrarre il cookie di autenticazione che il browser conserva in locale e che è utilizzato per evitare la ripresentazione di frequenti richieste di login.

Il meccanismo noto come cookie o session hijacking permette all’aggressore, una volta impossessatosi del cookie di autenticazione altrui, di porre in essere operazioni così come se fosse l’utente-vittima. Superando così il meccanismo di login.

Attenzione ai reverse proxy usati per il phishing

Sempre con l’obiettivo di superare l’autenticazione a due fattori, tanti criminali informatici usano reverse proxy per il phishing. Creano cioè delle pagine che simulano i meccanismi di autenticazione a due fattori, inoltrando le richieste al server di autenticazione legittimo e gestendo le risposte ricevute.

Segnalare l’incidente e monitorare gli account

Se si fosse risposto a un messaggio phishing inserendo le informazioni richieste dall’attaccante, è essenziale informare prima possibile il reparto IT dell’azienda e/o il fornitore del servizio che gli aggressori hanno preso di mira (ad esempio l’istituto di credito). Le segnalazioni tempestive aiutano gli amministratori a prendere provvedimenti per evitare che altri soggetti possano cadere nel medesimo tranello.

La maggior parte dei servizi online fornisce un registro che tiene traccia dei tentativi di accesso, dell’orario in cui il login è effettuato e degli indirizzi IP utilizzati dai dispositivi client.

Stare in guardia per evitare i successivi tentativi di truffa

Una password può essere di solito agevolmente cambiata e l’autenticazione a due fattori è ormai un pilastro fondamentale per buona parte dei servizi online. Se, tuttavia, si fossero condivisi con il phisher dati anagrafici e altre informazioni personali (ad esempio numeri di telefono), state all’erta. Quei dati sono ormai acquisiti da soggetti senza scrupoli (che spesso li rivendono in blocco a terzi…).

Con ogni probabilità i criminali informatici riutilizzeranno a stretto giro quelle informazioni, ormai nei loro archivi, per bersagliarvi con SMS truffaldini (smishing) o, addirittura, con chiamate personali (vishing). D’altra parte, sanno che siete potenziali “prede”, che già una volta siete caduti nel tranello e che potreste ricascarci di nuovo.

Le informazioni conferite rappresentano la conferma che siete clienti di una banca o fate uso di specifici servizi. A partire da queste informazioni, precedentemente raccolte, i phishers possono quindi “cucire” dei messaggi truffa altamente personalizzati, in modo da trarvi in inganno. Quando siete stressati, avete una scadenza da rispettare o non avete la mente sufficientemente “libera”, potreste non essere così lucidi da fiutare l’odore di bruciato.

Eppure, basterebbe ricordare che nessun istituto di credito e nessuna piattaforma online, chiede mai di confermare i propri dati visitando una semplice pagina Web a partire da un link ricevuto per email o tramite messaggio.

Credit immagine in apertura: iStock.com – Sadi Maria

Ti consigliamo anche

Link copiato negli appunti