Internet hack: spiegazione di phishing e spearphishing

[ware_item id=33][/ware_item]

phishing


Il phishing, la pesca pronunciata, è una tecnica di ingegneria sociale progettata per rubare password, dettagli della carta di credito e altre informazioni sensibili. L'obiettivo finale è quello di utilizzare queste credenziali per accedere a ulteriori informazioni, come i social media e i conti bancari.

Un attacco di phishing può essere effettuato tramite e-mail, telefono o SMS e di solito contiene un collegamento a un sito controllato dagli aggressori che ti chiederà di inserire i tuoi dati di accesso. L'email potrebbe essere progettata per apparire come una normale casella di posta Dropbox o Facebook, ad esempio, e collegarsi a un sito falso che assomiglia esattamente a Dropbox o Facebook. Puoi trovare molti esempi qui.

Phishing di Facebook e altri attacchi

Le e-mail di phishing spesso contengono contenuti dal suono innocente, come "qualcuno ti ha menzionato su Facebook" o "Ho condiviso un documento con te su Dropbox". L'attaccante si aspetta che tu faccia clic su questi collegamenti senza verificarne l'autenticità e quindi inserire le tue credenziali. Spesso il sito Web di phishing ti reindirizzerà alla pagina di accesso del sito reale, dove ti verrà chiesto di inserire nuovamente le credenziali, questa volta legittimamente. Dato che ora sei connesso al sito Web effettivo, la speranza è che tutti i sospetti scompaiano.

Nel frattempo, l'attaccante ha raccolto e memorizzato il nome utente e la password e può usarli a piacimento. Se hanno ottenuto l'accesso al tuo account e-mail, possono reimpostare la password di ogni account collegato al tuo indirizzo e-mail, quindi controllare anche questi.

Peggio ancora, le informazioni trovate nella tua casella di posta elettronica potrebbero consentire a un utente malintenzionato di pianificare il momento perfetto per venire dopo i tuoi conti finanziari, ad esempio durante una malattia o un lungo volo.

Indirizzi di spoofing ed e-mail di phishing

Gli aggressori usano principalmente due trucchi tecnologici per phishing di successo delle persone: spoofing di e-mail o telefonate; tutto il resto ruota attorno all'uso di un buon tempismo, un linguaggio credibile e un design eccellente.

Gli indirizzi e-mail e i numeri di telefono sono molto facili da falsificare, quindi non puoi fare affidamento su un indirizzo e-mail che afferma di provenire da [email protected] per essere stato realmente inviato da Facebook. Molti servizi di posta elettronica controllano la presenza di firme crittografiche che dimostrano che è stata inviata un'e-mail da un determinato dominio, ma queste firme non sono ancora standard in tutto il Web, quindi la loro assenza non è la prova di un messaggio falso.

Allo stesso modo, una chiamata da un numero noto, ad esempio dalla tua banca, potrebbe arrivare sul tuo telefono. Ma non ci sono prove che questa chiamata provenga davvero da questo numero. In caso di dubbi su un numero o indirizzo e-mail contraffatto, scrivere o richiamare e attendere una risposta.

URL falsi e siti Web di phishing

Oltre a falsificare gli indirizzi e-mail, gli aggressori registreranno URL che imitano quelli di siti legittimi. Spesso lo fanno sostituendo leggermente l'ordine delle lettere, come goolge.com. Un'altra tattica è quella di registrare domini dall'aspetto innocente e utilizzare domini dal suono legittimo come sottodomini, come facebook.com.importantsecurityreview.co.

Poiché l'autore dell'attacco è davvero il proprietario di questi sottodomini, possono ottenere un certificato di sicurezza HTTPS per questo, facendo apparire il sito legittimo.

phishing-esempiGli aggressori pesceranno per i tuoi dati.

La differenza tra phishing e spearphishing

Lo spearphishing è un attacco di phishing rivolto in particolare a te, piuttosto che essere diffuso come spam a qualunque indirizzo email riescano a trovare. Questi attacchi di phishing si sono dimostrati particolarmente fruttuosi, in quanto le e-mail potrebbero essere indirizzate personalmente e adattate a un contesto specifico o spesso adattarsi a un attacco più ampio e sofisticato.

Per usare l'analogia della pesca: invece di far cadere la tua esca nell'oceano e aspettare che i pesci mordano, lo spearphishing segue esattamente un singolo pesce e lo attacca individualmente.

Ad esempio, se sei un libero professionista potresti trovare una richiesta per i tuoi servizi nella posta in arrivo. Potrebbe quindi chiederti di caricare le tue lettere di riferimento in una cartella Dropbox e invece di collegarti direttamente a questa cartella, verrai indirizzato a un sito di phishing. Dopo aver digitato la password sul sito di phishing, potresti essere reindirizzato a una vera cartella Dropbox e non sospettare mai alcun gioco illecito.

Gli attacchi di spearphishing sono molto comuni nelle grandi organizzazioni, dove le imprese criminali, i concorrenti e i governi potrebbero prendere di mira i dipendenti, spesso trovati su LinkedIn, per raccogliere informazioni sull'organizzazione e trovare eventuali punti deboli nella rete.

Individuare una protezione da attacchi e phishing

L'autenticazione a due fattori può offrire protezione contro alcuni attacchi di phishing, poiché rende difficile per l'utente malintenzionato accedere ripetutamente al tuo account. Ma sofisticati attacchi di phishing non memorizzeranno semplicemente le tue credenziali, ma accederanno contemporaneamente al tuo account. In questo modo l'attaccante può immediatamente scoprire se le credenziali raccolte funzionano e, in caso contrario, chiedere nuovamente la password.

Se gli aggressori incontrano un captcha o un'autenticazione a due fattori, ti chiederanno di inserire il codice in una finestra sul loro sito falso e quindi utilizzarlo per accedere al tuo account reale.

Facebook e alcune altre società ti consentono di caricare la chiave PGP sui loro server. Dopo averlo fatto, tutte le e-mail che riceverai da Facebook verranno crittografate e firmate, rendendo molto più semplice la verifica della loro autenticità. Inoltre, se qualcuno fosse in grado di accedere al tuo account e-mail, non sarebbe in grado di leggere le tue notifiche o reimpostare la password di Facebook.

Sfortunatamente, l'unica protezione duratura contro gli attacchi di phishing è il sano scetticismo, la dovuta diligenza e una forte consapevolezza. Molte organizzazioni testano regolarmente i propri dipendenti sulla loro capacità di rilevare ed evitare truffe di phishing. Nelle aziende in cui la sicurezza informatica è della massima importanza, cadere ripetutamente per tali test di phishing è motivo di cessazione del rapporto di lavoro.

Foto di presentazione: Kluva / Foto di deposito
Phishing: alexandragl / Deposit Foto

Internet hack: spiegazione di phishing e spearphishing
admin Author
Sorry! The Author has not filled his profile.