Spear phishing: attacchi mirati ai vostri dati

Mediante l’invio di migliaia di mail di phishing, i criminali informatici sottraggono continuamente dati di accesso e password. La probabilità che molti utenti cadano nella trappola dei messaggi falsificati è tuttavia relativamente bassa. Una variante più recente di questa forma di frode lavora in modo molto più mirato e, proprio per questo, è anche molto più efficace: si tratta dello spear phishing. Ma cos’è e come ci si può proteggere da questo tipo di attacco?

Il principio del phishing è relativamente semplice: i truffatori confezionano e-mail, siti web e talvolta persino SMS falsificati che sembrano autentici e richiedono all’utente di fornire informazioni di accesso personali. In questo modo, i criminali entrano in possesso dei dati di accesso degli utenti che possono utilizzare per acquisti online, social media o archivi cloud. Nella peggiore delle ipotesi riescono persino a sottrarre informazioni bancarie e relative alle carte di credito.

Uno degli aspetti subdoli del phishing è la consapevolezza dei truffatori che molti utenti non prendono molto sul serio la sicurezza delle password e ne utilizza una per più account. Questo permette loro di rubare una grande quantità di dati sensibili. Sul mercato nero digitale queste informazioni sono vendute a caro prezzo.

Inoltre, con questa tecnica i truffatori possono copiare sul computer della vittima virus e altri malware, acquisendo così il controllo dei dispositivi. Spesso la vittima è completamente all’oscuro di tutto questo e pensa di avere aperto un’e-mail innocua o di avere visitato un sito web sicuro.

Chi, invece, presta attenzione e controlla con cura gli URL e i mittenti, non cade nella trappola: i siti web dannosi, infatti, non si trovano sul server che l’utente si aspetta – e di questo è possibile accorgersi usando un po’ di cautela. Ciononostante, continuano a esserci persone che non prestano l’attenzione necessaria. I criminali guadagnano sulla massa, inviando innumerevoli e-mail di spam, le quali non costano praticamente nulla al mittente.

Al contrario, lo spear phishing funziona in modo molto più mirato, selezionando con grande attenzione le sue vittime e mettendo a punto il tentativo di truffa calibrandolo esattamente sulle persone scelte. Pertanto, il bersaglio degli attacchi sono soprattutto aziende e organizzazioni. Anche i soggetti che utilizzano questa variante di phishing sono spesso distinti rispetto ai truffatori comuni. Anziché limitarsi a raccogliere qualunque tipo di informazione per rivenderla nella darknet al miglior offerente, agiscono in modo mirato contro una vittima ben identificata per danneggiare l’azienda o l’organizzazione d’interesse. Oltre alla sottrazione di dati bancari, questi attacchi si configurano anche come tentativi di spionaggio industriale e attacchi informatici a obiettivi militari o all’infrastruttura di una regione.

In una prima fase i truffatori spiano i target e raccolgono informazioni che, in seguito, permetteranno loro di agire con credibilità. In seguito mettono a punto un’e-mail che risulti quanto più possibile destinata specificamente all’organizzazione prescelta. Come mittente viene spesso scelta una persona presumibilmente autorevole o un partner d’affari fittizio. Lo spear phishing risulta pertanto particolarmente efficace anche nelle grandi multinazionali, dove non tutti i collaboratori conoscono l’intera struttura gerarchica della società. In questo modo la vittima viene portata a rivelare dati sensibili o scaricare software dannosi.

Supponiamo che un truffatore abbia scelto come vittima un’azienda internazionale. Per prima cosa cercherà di raccogliere la maggior quantità di informazione possibile: com’è strutturata l’azienda? Come avviene la comunicazione tra i collaboratori? In quali settori opera l’azienda? Anche una lista di distribuzione e-mail è importante per entrare in possesso degli indirizzi necessari. L’hacker, tuttavia, non invia l’e-mail a tutta l’azienda poiché sarebbe troppo elevato il rischio che il tentativo di truffa possa essere subito scoperto e che l’intera azienda venga allertata.

Il truffatore invia invece l’e-mail solo a persone selezionate e si rivolge specificamente a loro. L’hacker ha infatti raccolto informazioni dettagliate sui dipendenti sui social network. Di conseguenza, agli occhi della vittima il messaggio risulta particolarmente credibile. Come autore dell’e-mail, l’hacker sceglie un dipendente presumibilmente di alto grado gerarchico di un’altra filiale. Il nome e l’indirizzo del mittente possono essere falsificati con facilità; per questo, a un primo sguardo non è possibile accorgersi che l’autore del messaggio è in realtà un’altra persona.

Il truffatore inserisce in basso nell’e-mail un pulsante che, se cliccato, indirizza la vittima a un sito web, anch’esso falsificato. L’obiettivo vero e proprio viene così camuffato. Non appena l’utente accede al sito web, in background viene caricato un malware. Se il software dannoso riesce a diffondersi nel PC della vittima, il truffatore può spiare l’intera rete aziendale.

A questo punto, la vittima è ancora convinta di aver visitato un normale sito web e, magari, di avere partecipato a un sondaggio. In questo modo, il virus può diffondersi in modo indisturbato nella rete dell’azienda, permettendo al truffatore di prendere il pieno controllo o disturbare processi critici per l’azienda.

Il modo migliore per gli utenti di proteggersi dallo spear phishing consiste nell’usare un pizzico di sano scetticismo. Chi, infatti, non clicca su link sconosciuti e non apre file inattesi, non può cadere vittima di queste truffe. Tuttavia, il problema è che questi attacchi (contrariamente alle normali e-mail di phishing) sono realizzati molto bene. Mentre nelle normali e-mail di spam il carattere dubbio del messaggio è immediatamente riconoscibile dall’ortografia e da contenuti talvolta improbabili, i messaggi di spear phishing sono studiati molto meglio, tanto da risultare perfettamente seri e autentici.

Questi attacchi fanno inoltre leva sui punti deboli delle persone, in primo luogo sulla curiosità e sulla paura. Chi teme di perdere o lasciarsi sfuggire qualcosa di importante corre maggiormente il rischio di non dare ascolto al proprio scetticismo e cadere nella trappola. Spesso i messaggi di spear phishing promettono informazioni che potrebbero rendere possibile un avanzamento di carriera oppure adottano un tono talmente autoritario da far temere gravi conseguenze qualora l’utente non dovesse eseguire quanto richiesto.

Lo spear phishing può avere successo solo se l’hacker riesce a raccogliere informazioni sufficienti sulla vittima. Il primo canale per raccogliere informazioni è costituito dagli account sui social media. È quindi buona norma non rivelare troppi dettagli personali su questi account, men che meno informazioni riguardanti il lavoro. Tramite il social engineering, i truffatori cercano di carpire ulteriori informazioni. Anche in questo caso è bene agire con cautela: mai trasmettere dati sensibili a sconosciuti, per quanto affidabile possa apparire il contatto.

Il carattere illegittimo del messaggio può essere riconosciuto anche sulla base del messaggio stesso. Soprattutto se si tratta di e-mail, vale la pena considerare con più attenzione il mittente. Sebbene il nome e il presunto indirizzo del mittente siano stati falsificati, nel protocollo di invio dell’e-mail è comunque indicato l’indirizzo vero e proprio. Molti moderni client di posta elettronicae-mail come Outlook nascondono l’origine del messaggio e al suo posto visualizzano un nome; tuttavia, è possibile visualizzare l’header di un’e-mail, anche se a volte può essere più o meno semplice. Se, visualizzando l’header, vi rendete conto che l’origine non coincide con le informazioni del presunto mittente, il rischio di truffa è elevato.

Un’altra precauzione relativa al traffico e-mail consiste nel rinunciare all’HTML e nell’impedire il download automatico delle immagini. In questo modo evitate che programmi dannosi possano arrivare sul vostro computer già solo aprendo il messaggio.

Gli allegati inviati da mittenti sconosciuti non dovrebbero in nessun caso essere aperti. In questo caso è innanzitutto necessario verificare l’identità del mittente. Anche se il mittente sembra affidabile, non dovreste mai aprire gli allegati di mittenti con cui non avete mai comunicato. Anche se il mittente sembra essere noto, non aprite nessun allegato che non vi aspettavate di ricevere da questo mittente. Il computer del mittente noto potrebbe già essere stato infettato da un malware. In caso di dubbio, chiedete personalmente al mittente.

È necessario prestare attenzione anche agli indirizzi Internet che si celano dietro ai link. Questi possono essere visualizzati prima di cliccare sull’hyperlink. Mediante l’URL spoofing, gli hacker cercano di far apparire il loro dominio come un normale indirizzo. Con un pizzico di attenzione è tuttavia possibile smascherare questo trucco. Gli indirizzi abbreviati e, in questo modo, camuffati dovrebbero pertanto essere sempre dapprima riportati nella forma originaria oppure completamente ignorati.