Le truffe informatiche sono sempre più sofisticate e difficili da individuare: un nuovo ‘avviso di pagamento’, però, desta preoccupazione.
La parola “phishing” è sempre più tristemente nota tra gli utenti del web: si tratta di una delle tecniche più comuni utilizzate dai criminali informatici per truffare le persone nell’ambiente digitale. Negli ultimi anni, questo tipo di attacco informatico è diventato sempre più sofisticato e più difficile da individuare.
Sempre più utenti stanno ricevendo messaggi di testo e email che contengono avvertimenti di vario tipo: da “il vostro conto è stato prosciugato” a “non è possibile elaborare il pagamento” a “è necessario aggiornare le vostre credenziali“. Questi messaggi vengono spesso mandati da recapiti o account email che sembrano affidabili ma che in realtà non lo sono affatto. Spesso hanno un nome simile a quello della banca o di qualche tipo di servizio a cui l’utente è effettivamente iscritto.
Questi messaggi invitano poi l’utente a cliccare sul link fornito e ad inserire le credenziali sulla pagina che si aprirà. La pagina in questione sembrerà in tutto e per tutto simile a quella dalla banca o del servizio in questione. Quelle che si aprono sono in realtà pagine finte, progettate per ingannare l’utente e fargli inserire le proprie credenziali, che a quel punto verranno rubate.
Purtroppo, quasi tutti gli utenti possono essere vittima di questo tipo di truffe. Di seguito vedremo meglio le caratteristiche e i modi per difendersi da questa minaccia.
Quali tipi di attacchi di phishing esistono?
Questi attacchi possono essere eseguiti in modi diversi a seconda delle intenzioni dei malintenzionati e delle informazioni che desiderano ottenere. La tecnica più comune è il phishing di massa tramite e-mail. I criminali informatici fingono di essere un’istituzione rilevante e includono collegamenti ipertestuali falsi per indurre l’utente a condividere dati sensibili.
I criminali informatici creano software dannosi o malware, mascherandoli come allegati affidabili in e-mail o messaggi SMS. Se l’utente apre il file, potrebbe subire il blocco del dispositivo da cui è stato eseguito o il furto di informazioni private.
Questi attacchi vengono in genere utilizzati per colpire contemporaneamente un ampio gruppo di utenti. C’è poi lo spear-phishing, che invece mira a utenti specifici. In questo modo, raccoglie dati rilevanti e indaga sulla loro vita lavorativa, sociale e familiare. Solitamente si presenta come una e-mail personalizzata e mirata, aumentando l’impressione che provenga da una fonte affidabile.
Usa falsi messaggi di testo (SMS) fingendosi aziende note, al fine di indurre gli utenti a scaricare software dannosi sui loro telefoni, condividere dati privati o inviare denaro ai criminali informatici.
Infine c’è il vishing, che avviene attraverso telefonate o messaggi vocali. Con questa strategia fraudolenta, i criminali digitali cercano di ingannare gli utenti oralmente per rubare dati personali o bancari. Questo tipo di truffe è sempre più diffuso, soprattutto ai danni degli anziani: una voce li chiama e li mette in allerta su un fantomatico pericolo, spingendoli a cedere i loro soldi.
Strategie sempre più raffinate
Gli hacker sanno come manipolare le vittime per raggiungere i loro obiettivi utilizzando una tecnica chiamata “ingegneria sociale“. Si concentrano quindi sulla progettazione di una comunicazione ingannevole e cercano di replicare lo stile dell’identità che stanno fingendo di essere.
Inoltre, non si fingono una qualsiasi istituzione, ma si concentrano su società che generano molta tensione per gli utenti o che hanno una forte connessione con il pubblico. In genere, si mascherano come messaggi proveniente da banche, Poste Italiane, forze dell’ordine o compagnie assicurative.
Tutti i messaggi di phishing che le vittime ricevono mirano a creare un senso di urgenza, falsa fiducia o addirittura paura. Così mettono gli utenti nella posizione di essere facilmente ingannati o di prendere decisioni affrettate.
Quali danni può causare?
Secondo il “Rapporto Globale sulla Sicurezza 2023” di Infoblox, circa il 32% degli attacchi informatici oggi coinvolge il phishing. Inoltre, questo tipo di crimine informatico ha raggiunto un record nel 2021, come rivelato dal “Rapporto sulle Tendenze dell’Attività di Phishing” dell’APWG, quando sono stati registrati oltre 300.000 attacchi di questo tipo.
Come mostra il “Rapporto sul Costo di una Violazione dei Dati 2021” di IBM, un’istituzione può impiegare fino a 213 giorni per identificare di essere stata vittima di un attacco di phishing. Uno di phishing riuscito, quindi, può causare danni molto gravi per le vittime. Gli utenti spesso subiscono il furto di denaro, addebiti fraudolenti su carte di credito, perdita di foto o video preziosi, furto di file confidenziali e persino furto di identità.
A livello aziendale, i rischi per le organizzazioni includono la perdita di clienti, una brusca diminuzione del fatturato, la perdita di credibilità, danni alla reputazione, violazione di file confidenziali, tra gli altri.
Come evitare di diventare vittima di phishing?
È importante che gli utenti siano abituati a riconoscere questo tipo di truffa informatica. Per evitare di diventare vittime di phishing, una delle prime tracce è controllare l’indirizzo e-mail del mittente prima di aprire qualsiasi collegamento ipertestuale o allegato. Riguardo al testo, è molto comune che contenga errori di battitura, ortografia e grammatica, cosa che in genere non accade nelle e-mail genuine.
Inoltre, è consigliabile verificare se i link sono sicuri o meno. Allo stesso modo, la firma o l’intestazione nel piè di pagina dovrebbe essere esaminata per controllare se è inclusa dai mittenti legittimi. Se l’e-mail contiene frasi che provocano paura, manipolazione o ansia, è di solito un chiaro esempio di phishing.
I messaggi che richiedono informazioni personali o chiedono denaro per risolvere un incidente dovrebbero sempre mettere in allerta l’utente, così come ricevere file non richiesti.
L’intelligenza artificiale renderà sempre più difficile difendersi dalle truffe di phishing
Secondo molti osservatori, i chatbot di intelligenza artificiale come ChatGPT renderanno sempre più difficile capire la differenza tra email di phishing e email reali, causando non pochi problemi agli utenti.
Con questi strumenti, infatti, è possibile creare testi quasi perfetti, eliminando evidenti errori grammaticali e di ortografia che invece prima caratterizzavano le email di truffa, secondo gli esperti.
“Ogni hacker può ora utilizzare l’IA e scrivere messaggi per truffare gli utenti sempre più realistici e credibili“, dice Corey Thomas, amministratore delegato della società statunitense di sicurezza informatica Rapid7. “Prima dicevamo che potevi identificare gli attacchi di phishing perché le email avevano determinate caratteristiche, come errori grammaticali e sintassi scorretta. Oggi questo trucco non funziona più“.
Max Heinemeyer, il chief product officer dell’azienda di sicurezza informatica britannica Darktrace, ha recentemente confermato che i chatbot sono strumenti sempre più utilizzati dai truffatori. Questo consente ai criminali di superare l’inglese scadente e inviare messaggi più lunghi e più difficili da intercettare per i filtri antispam.
