Lo spear phishing è una forma mirata di phishing, in cui gli aggressori inviano e-mail o messaggi personalizzati a individui o organizzazioni specifiche per rubare informazioni riservate o introdurre malware. Diversamente dal phishing generico, lo spear phishing si basa su informazioni personali della vittima per apparire particolarmente credibile.

Cos’è lo spear phishing?

Il principio del phishing è semplice: i truffatori e le truffatrici confezionano e-mail di phishing, siti web e talvolta persino SMS falsificati che sembrano autentici e richiedono all’utente di fornire informazioni di accesso personali. In questo modo, i criminali entrano in possesso dei dati di accesso degli utenti che possono utilizzare per acquisti online, social media, archivi cloud o simili.

Lo spear phishing è una variante particolare del phishing. Anziché rivolgersi a un pubblico quanto più vasto possibile con, per esempio, e-mail di spam, i truffatori selezionano il loro target con la massima cura. Raccogliendo informazioni concrete sul gruppo di destinatari, i cybercriminali riescono a creare messaggi e siti web estremamente credibili. Il dispendio di risorse è più elevato, ma lo è anche la percentuale di successi.

Come funziona lo spear phishing?

Lo spear phishing seleziona con grande attenzione le sue vittime e mette a punto il tentativo di truffa calibrandolo esattamente sulle persone scelte. Pertanto, il bersaglio degli attacchi sono soprattutto aziende e organizzazioni. Anche i soggetti che utilizzano questa variante di phishing sono spesso distinti rispetto ai truffatori comuni. Anziché limitarsi a raccogliere qualunque tipo di informazione per rivenderla nella darknet al miglior offerente, agiscono in modo mirato contro una vittima ben identificata per danneggiare l’azienda o l’organizzazione d’interesse. Oltre al furto di dati bancari, anche lo spionaggio industriale e i cyberattacchi contro obiettivi militari o l’infrastruttura di una regione sono possibili scenari di attacco.

In una prima fase i truffatori spiano i target e raccolgono informazioni che, in seguito, permetteranno loro di agire con credibilità. In seguito, mettono a punto un’e-mail che risulti quanto più possibile destinata specificamente all’organizzazione prescelta. Come mittente viene spesso scelta una persona presumibilmente autorevole o un partner d’affari fittizio. Proprio per questo, lo spear phishing può essere particolarmente efficace nei grandi gruppi internazionali, dove non tutti i dipendenti conoscono l’intera struttura. Si induce così la vittima a divulgare dati sensibili o a scaricare malware.

Posta elettronica sicura per la tua privacy digitale
  • Protezione professionale dei dati e della sicurezza
  • E-mail crittografata con certificato SSL/TLS
  • Massima protezione dai virus grazie a firewall e filtri antispam
  • Backup giornalieri

Lo spear phishing spiegato con un esempio

Supponiamo che un hacker abbia scelto come vittima un’azienda internazionale. Per prima cosa cercherà di raccogliere la maggior quantità di informazione possibile: com’è strutturata l’azienda? Come avviene la comunicazione tra i collaboratori e le collaboratrici? In quali settori opera l’azienda? Anche una lista di distribuzione è importante per entrare in possesso degli indirizzi necessari. L’hacker, tuttavia, non invia l’e-mail a tutta l’azienda poiché sarebbe troppo elevato il rischio che il tentativo di truffa possa essere subito scoperto e che l’intera azienda venga allertata.

Invece, solo persone selezionate ricevono l’e-mail e vengono anche specificamente interpellate. In precedenza, sono state raccolte informazioni dettagliate sui dipendenti attraverso i social network. Per la vittima, il messaggio risulta quindi particolarmente credibile. Un dipendente di alto grado nella gerarchia di un’altra filiale si presenta come autore o autrice dell’e-mail. Il nome e l’indirizzo del mittente possono essere falsificati con facilità; per questo, a un primo sguardo non è possibile accorgersi che l’autore o l’autrice del messaggio è in realtà un’altra persona.

Il truffatore o la truffatrice inserisce in basso nell’e-mail un pulsante che, se cliccato, indirizza la vittima a un sito web, anch’esso falsificato. L’obiettivo vero e proprio viene così camuffato. Non appena l’utente accede al sito web, in background viene caricato un malware. Se il software dannoso riesce a diffondersi nel PC della vittima, il truffatore o la truffatrice può spiare l’intera rete aziendale.

A questo punto, la vittima è ancora convinta di aver visitato un normale sito web e, magari, di avere partecipato a un sondaggio. In questo modo, il virus può diffondersi in modo indisturbato nella rete aziendale, permettendo al truffatore o alla truffatrice di prendere il pieno controllo o disturbare processi critici per l’azienda.

Immagine: IT_PEC_960x320_v5.png
Immagine: IT_PEC_1200x1200_v5.png

Come proteggersi dallo spear phishing?

Consiglio 1: rimanere scettici

Il modo migliore per gli utenti di proteggersi dallo spear phishing consiste nell’usare un pizzico di sano scetticismo. Chi, infatti, non clicca su link sconosciuti e non apre file inattesi, non può cadere vittima di queste truffe. Tuttavia, il problema è che questi attacchi (contrariamente alle normali e-mail di phishing) sono realizzati molto bene. Mentre nelle normali e-mail di spam il carattere dubbio del messaggio è immediatamente riconoscibile dall’ortografia e da contenuti talvolta improbabili, i messaggi di spear phishing sono studiati molto meglio, tanto da risultare perfettamente seri e autentici.

Consiglio 2: mantenere la calma

Gli attacchi di spear phishing fanno inoltre leva sui punti deboli delle persone, in primo luogo sulla curiosità e sulla paura. Chi teme di perdere o lasciarsi sfuggire qualcosa di importante corre maggiormente il rischio di non dare ascolto al proprio scetticismo e cadere nella trappola. Spesso i messaggi di spear phishing promettono informazioni che potrebbero rendere possibile un avanzamento di carriera oppure adottano un tono talmente autoritario da far temere gravi conseguenze qualora l’utente non dovesse eseguire quanto richiesto.

Consiglio 3: proteggere i dati sensibili

Lo spear phishing può avere successo solo se l’hacker riesce a raccogliere informazioni sufficienti sulla vittima. Il primo canale per raccogliere informazioni è costituito dagli account sui social media. È quindi buona norma non rivelare troppi dettagli personali su questi account, men che meno informazioni riguardanti il lavoro. Tramite il social engineering, i truffatori e le truffatrici cercano di carpire ulteriori informazioni. Anche in questo caso è bene agire con cautela: mai trasmettere dati sensibili a sconosciuti, per quanto affidabile possa apparire il contatto.

Consiglio 4: verificare il mittente nel protocollo di invio

Il carattere illegittimo del messaggio può essere riconosciuto anche sulla base del messaggio stesso. Soprattutto se si tratta di e-mail, vale la pena considerare con più attenzione l’indirizzo del mittente. Sebbene il nome e il presunto indirizzo siano stati falsificati, nel protocollo di invio dell’e-mail è comunque indicato l’indirizzo vero e proprio. Molti moderni client di posta elettronica come Outlook nascondono l’origine del messaggio e al suo posto visualizzano un nome; tuttavia, è possibile visualizzare l’header di un’e-mail, anche se a volte può essere più o meno semplice. Se, visualizzando l’header, ti rendi conto che l’origine non coincide con le informazioni del presunto mittente, il rischio di truffa è elevato.

Consiglio 5: evitare l’HTML e il download di immagini

Un’altra precauzione relativa al traffico e-mail consiste nel rinunciare all’HTML e nell’impedire il download automatico delle immagini. In questo modo eviti che programmi dannosi possano arrivare sul tuo computer già solo aprendo il messaggio.

Consiglio 6: non aprire allegati sconosciuti

Gli allegati di mittenti sconosciuti non dovrebbero mai essere aperti. In questo caso è innanzitutto necessario verificare l’identità del mittente. Anche se sembra affidabile, non dovresti mai aprire gli allegati di mittenti con cui non hai mai comunicato. Anche se il mittente sembra essere noto, non aprire nessun allegato che non ti aspetti di ricevere. Il computer di questa persona potrebbe già essere stato infettato da un malware. In caso di dubbio, chiedi di persona.

Consiglio 7: verificare con attenzione URL e link

È necessario prestare attenzione anche agli indirizzi internet che si celano dietro ai link. Questi possono essere visualizzati prima di cliccare sul collegamento ipertestuale. Mediante l’URL spoofing, gli hacker cercano di far apparire il loro dominio come un normale indirizzo. Con un pizzico di attenzione è tuttavia possibile smascherare questo trucco. Gli indirizzi abbreviati e, in questo modo, camuffati dovrebbero pertanto essere sempre dapprima riportati nella forma originaria oppure completamente ignorati.

Consiglio 8: fare in modo che l’e-mail del mittente sia a prova di contraffazione

Oltre alle misure di protezione individuali, la configurazione tecnica del server di posta gioca un ruolo importante nella lotta contro lo spear phishing. Con i record SPF, DKIM e soprattutto DMARC, è possibile proteggere gli indirizzi dei mittenti, in modo che e-mail apparentemente provenienti da un dominio possano essere verificate tecnicamente. In questo modo, un’azienda può impedire che i cybercriminali inviino messaggi falsi con il proprio dominio.

In sintesi

I due migliori meccanismi di difesa contro lo spear phishing sono un sano scetticismo e una comunicazione aperta con le colleghe e i colleghi. Confrontandosi con i colleghi e le colleghe su messaggi insoliti ricevuti da mittenti sconosciuti e cercando di identificare il presunto mittente, è possibile smascherare rapidamente i tentativi di truffa.

Vai al menu principale