Spear phishing: attacchi mirati ai tuoi dati

Lo spear phishing è una forma mirata di phishing, in cui gli ag­gres­so­ri inviano e-mail o messaggi per­so­na­liz­za­ti a individui o or­ga­niz­za­zio­ni spe­ci­fi­che per rubare in­for­ma­zio­ni riservate o in­tro­dur­re malware. Di­ver­sa­men­te dal phishing generico, lo spear phishing si basa su in­for­ma­zio­ni personali della vittima per apparire par­ti­co­lar­men­te credibile.

Cos’è lo spear phishing?

Il principio del phishing è semplice: i truf­fa­to­ri e le truf­fa­tri­ci con­fe­zio­na­no e-mail di phishing, siti web e talvolta persino SMS fal­si­fi­ca­ti che sembrano autentici e ri­chie­do­no all’utente di fornire in­for­ma­zio­ni di accesso personali. In questo modo, i criminali entrano in possesso dei dati di accesso degli utenti che possono uti­liz­za­re per acquisti online, social media, archivi cloud o simili.

Lo spear phishing è una variante par­ti­co­la­re del phishing. Anziché ri­vol­ger­si a un pubblico quanto più vasto possibile con, per esempio, e-mail di spam, i truf­fa­to­ri se­le­zio­na­no il loro target con la massima cura. Rac­co­glien­do in­for­ma­zio­ni concrete sul gruppo di de­sti­na­ta­ri, i cy­ber­cri­mi­na­li riescono a creare messaggi e siti web estre­ma­men­te credibili. Il dispendio di risorse è più elevato, ma lo è anche la per­cen­tua­le di successi.

Come funziona lo spear phishing?

Lo spear phishing seleziona con grande at­ten­zio­ne le sue vittime e mette a punto il tentativo di truffa ca­li­bran­do­lo esat­ta­men­te sulle persone scelte. Pertanto, il bersaglio degli attacchi sono so­prat­tut­to aziende e or­ga­niz­za­zio­ni. Anche i soggetti che uti­liz­za­no questa variante di phishing sono spesso distinti rispetto ai truf­fa­to­ri comuni. Anziché limitarsi a rac­co­glie­re qualunque tipo di in­for­ma­zio­ne per ri­ven­der­la nella darknet al miglior offerente, agiscono in modo mirato contro una vittima ben iden­ti­fi­ca­ta per dan­neg­gia­re l’azienda o l’or­ga­niz­za­zio­ne d’interesse. Oltre al furto di dati bancari, anche lo spio­nag­gio in­du­stria­le e i cy­be­rat­tac­chi contro obiettivi militari o l’in­fra­strut­tu­ra di una regione sono possibili scenari di attacco.

In una prima fase i truf­fa­to­ri spiano i target e rac­col­go­no in­for­ma­zio­ni che, in seguito, per­met­te­ran­no loro di agire con cre­di­bi­li­tà. In seguito, mettono a punto un’e-mail che risulti quanto più possibile destinata spe­ci­fi­ca­men­te all’or­ga­niz­za­zio­ne prescelta. Come mittente viene spesso scelta una persona pre­su­mi­bil­men­te au­to­re­vo­le o un partner d’affari fittizio. Proprio per questo, lo spear phishing può essere par­ti­co­lar­men­te efficace nei grandi gruppi in­ter­na­zio­na­li, dove non tutti i di­pen­den­ti conoscono l’intera struttura. Si induce così la vittima a divulgare dati sensibili o a scaricare malware.

Lo spear phishing spiegato con un esempio

Sup­po­nia­mo che un hacker abbia scelto come vittima un’azienda in­ter­na­zio­na­le. Per prima cosa cercherà di rac­co­glie­re la maggior quantità di in­for­ma­zio­ne possibile: com’è strut­tu­ra­ta l’azienda? Come avviene la co­mu­ni­ca­zio­ne tra i col­la­bo­ra­to­ri e le col­la­bo­ra­tri­ci? In quali settori opera l’azienda? Anche una lista di di­stri­bu­zio­ne è im­por­tan­te per entrare in possesso degli indirizzi necessari. L’hacker, tuttavia, non invia l’e-mail a tutta l’azienda poiché sarebbe troppo elevato il rischio che il tentativo di truffa possa essere subito scoperto e che l’intera azienda venga allertata.

Invece, solo persone se­le­zio­na­te ricevono l’e-mail e vengono anche spe­ci­fi­ca­men­te in­ter­pel­la­te. In pre­ce­den­za, sono state raccolte in­for­ma­zio­ni det­ta­glia­te sui di­pen­den­ti at­tra­ver­so i social network. Per la vittima, il messaggio risulta quindi par­ti­co­lar­men­te credibile. Un di­pen­den­te di alto grado nella gerarchia di un’altra filiale si presenta come autore o autrice dell’e-mail. Il nome e l’indirizzo del mittente possono essere fal­si­fi­ca­ti con facilità; per questo, a un primo sguardo non è possibile ac­cor­ger­si che l’autore o l’autrice del messaggio è in realtà un’altra persona.

Il truf­fa­to­re o la truf­fa­tri­ce inserisce in basso nell’e-mail un pulsante che, se cliccato, indirizza la vittima a un sito web, anch’esso fal­si­fi­ca­to. L’obiettivo vero e proprio viene così camuffato. Non appena l’utente accede al sito web, in back­ground viene caricato un malware. Se il software dannoso riesce a dif­fon­der­si nel PC della vittima, il truf­fa­to­re o la truf­fa­tri­ce può spiare l’intera rete aziendale.

A questo punto, la vittima è ancora convinta di aver visitato un normale sito web e, magari, di avere par­te­ci­pa­to a un sondaggio. In questo modo, il virus può dif­fon­der­si in modo in­di­stur­ba­to nella rete aziendale, per­met­ten­do al truf­fa­to­re o alla truf­fa­tri­ce di prendere il pieno controllo o di­stur­ba­re processi critici per l’azienda.

Come pro­teg­ger­si dallo spear phishing?

Consiglio 1: rimanere scettici

Il modo migliore per gli utenti di pro­teg­ger­si dallo spear phishing consiste nell’usare un pizzico di sano scet­ti­ci­smo. Chi, infatti, non clicca su link sco­no­sciu­ti e non apre file inattesi, non può cadere vittima di queste truffe. Tuttavia, il problema è che questi attacchi (con­tra­ria­men­te alle normali e-mail di phishing) sono rea­liz­za­ti molto bene. Mentre nelle normali e-mail di spam il carattere dubbio del messaggio è im­me­dia­ta­men­te ri­co­no­sci­bi­le dall’or­to­gra­fia e da contenuti talvolta im­pro­ba­bi­li, i messaggi di spear phishing sono studiati molto meglio, tanto da risultare per­fet­ta­men­te seri e autentici.

Consiglio 2: mantenere la calma

Gli attacchi di spear phishing fanno inoltre leva sui punti deboli delle persone, in primo luogo sulla curiosità e sulla paura. Chi teme di perdere o lasciarsi sfuggire qualcosa di im­por­tan­te corre mag­gior­men­te il rischio di non dare ascolto al proprio scet­ti­ci­smo e cadere nella trappola. Spesso i messaggi di spear phishing pro­met­to­no in­for­ma­zio­ni che po­treb­be­ro rendere possibile un avan­za­men­to di carriera oppure adottano un tono talmente au­to­ri­ta­rio da far temere gravi con­se­guen­ze qualora l’utente non dovesse eseguire quanto richiesto.

Consiglio 3: pro­teg­ge­re i dati sensibili

Lo spear phishing può avere successo solo se l’hacker riesce a rac­co­glie­re in­for­ma­zio­ni suf­fi­cien­ti sulla vittima. Il primo canale per rac­co­glie­re in­for­ma­zio­ni è co­sti­tui­to dagli account sui social media. È quindi buona norma non rivelare troppi dettagli personali su questi account, men che meno in­for­ma­zio­ni ri­guar­dan­ti il lavoro. Tramite il social en­gi­nee­ring, i truf­fa­to­ri e le truf­fa­tri­ci cercano di carpire ulteriori in­for­ma­zio­ni. Anche in questo caso è bene agire con cautela: mai tra­smet­te­re dati sensibili a sco­no­sciu­ti, per quanto af­fi­da­bi­le possa apparire il contatto.

Consiglio 4: ve­ri­fi­ca­re il mittente nel pro­to­col­lo di invio

Il carattere il­le­git­ti­mo del messaggio può essere ri­co­no­sciu­to anche sulla base del messaggio stesso. So­prat­tut­to se si tratta di e-mail, vale la pena con­si­de­ra­re con più at­ten­zio­ne l’indirizzo del mittente. Sebbene il nome e il presunto indirizzo siano stati fal­si­fi­ca­ti, nel pro­to­col­lo di invio dell’e-mail è comunque indicato l’indirizzo vero e proprio. Molti moderni client di posta elet­tro­ni­ca come Outlook na­scon­do­no l’origine del messaggio e al suo posto vi­sua­liz­za­no un nome; tuttavia, è possibile vi­sua­liz­za­re l’header di un’e-mail, anche se a volte può essere più o meno semplice. Se, vi­sua­liz­zan­do l’header, ti rendi conto che l’origine non coincide con le in­for­ma­zio­ni del presunto mittente, il rischio di truffa è elevato.

Consiglio 5: evitare l’HTML e il download di immagini

Un’altra pre­cau­zio­ne relativa al traffico e-mail consiste nel ri­nun­cia­re all’HTML e nell’impedire il download au­to­ma­ti­co delle immagini. In questo modo eviti che programmi dannosi possano arrivare sul tuo computer già solo aprendo il messaggio.

Consiglio 6: non aprire allegati sco­no­sciu­ti

Gli allegati di mittenti sco­no­sciu­ti non do­vreb­be­ro mai essere aperti. In questo caso è in­nan­zi­tut­to ne­ces­sa­rio ve­ri­fi­ca­re l’identità del mittente. Anche se sembra af­fi­da­bi­le, non dovresti mai aprire gli allegati di mittenti con cui non hai mai co­mu­ni­ca­to. Anche se il mittente sembra essere noto, non aprire nessun allegato che non ti aspetti di ricevere. Il computer di questa persona potrebbe già essere stato infettato da un malware. In caso di dubbio, chiedi di persona.

Consiglio 7: ve­ri­fi­ca­re con at­ten­zio­ne URL e link

È ne­ces­sa­rio prestare at­ten­zio­ne anche agli indirizzi internet che si celano dietro ai link. Questi possono essere vi­sua­liz­za­ti prima di cliccare sul col­le­ga­men­to iper­te­stua­le. Mediante l’URL spoofing, gli hacker cercano di far apparire il loro dominio come un normale indirizzo. Con un pizzico di at­ten­zio­ne è tuttavia possibile sma­sche­ra­re questo trucco. Gli indirizzi ab­bre­via­ti e, in questo modo, camuffati do­vreb­be­ro pertanto essere sempre dapprima riportati nella forma ori­gi­na­ria oppure com­ple­ta­men­te ignorati.

Consiglio 8: fare in modo che l’e-mail del mittente sia a prova di con­traf­fa­zio­ne

Oltre alle misure di pro­te­zio­ne in­di­vi­dua­li, la con­fi­gu­ra­zio­ne tecnica del server di posta gioca un ruolo im­por­tan­te nella lotta contro lo spear phishing. Con i record SPF, DKIM e so­prat­tut­to DMARC, è possibile pro­teg­ge­re gli indirizzi dei mittenti, in modo che e-mail ap­pa­ren­te­men­te pro­ve­nien­ti da un dominio possano essere ve­ri­fi­ca­te tec­ni­ca­men­te. In questo modo, un’azienda può impedire che i cy­ber­cri­mi­na­li inviino messaggi falsi con il proprio dominio.