Che il phishing sia uno dei tentativi di attacco informatico più comune non è di certo una novità. Di messaggi di posta “fuorvianti” e truffaldini ne riceviamo ogni giorno a bizzeffe: nella gran parte dei casi restano confinati nella cartella spam, ma potrebbe accadere che i filtri antispam falliscano nell’analisi.
Proprio per questo motivo è di vitale importanza riuscire a riconoscere attacchi phishing al primo colpo. Anche la più piccola delle esitazioni, infatti, potrebbe consentire ai criminali informatici di intrufolarsi nel nostro PC (o nella nostra casella di posta elettronica) e impadronirsi dei nostri dati personali. Il report di Wombat Security sullo stato dell’arte del phishing assume, dunque, ancora maggiore rilevanza: grazie al lavoro degli analisti dell’azienda statunitense specializzata in sicurezza informatica è possibile avere un quadro d’insieme su quali sono gli attacchi phishing più comuni e organizzare una difesa efficacie.
Tipologie di attacchi phishing più comuni
Dal report Wombat relativo al 2017 emerge come i tentativi di attacco tra 2016 e 2017 siano rimasti costanti, mentre è cresciuta la consapevolezza degli utenti. “Solo” il 9% dei tentativi phishing va a buon fine: un dato quasi dimezzato rispetto al 15% registrato nel corso del 2016. Dalle pagine del report, inoltre, è possibile ricavare anche quali siano le categorie di attacco phishing utilizzate più frequentemente dagli hacker. Gli esperti statunitensi, in particolare, individuano quattro macrocategorie:
-
Utente: rientrano in questa categoria gli attacchi phishing indirizzati “all’utente medio” e riguardano l’utilizzo quotidiano del web (revoca credenziali dell’account email o dell’home banking, false notifiche social, programma frequent flyer, lotterie nigeriane o statunitensi e così via).
-
Corporate: si tratta degli attacchi indirizzati principalmente alle aziende (e ai loro dipendenti). Il focus dei cybercriminali si sposta verso comunicazioni più “professionali”, che possano trarre in inganno anche il più esperto dei dipendenti (messaggi dall’ufficio risorse umane, comunicazioni del capo ufficio o del presidente, aumenti di stipendio, ecc.).
-
Commerciale: simili agli attacchi phishing “corporate”, quelli commerciali hanno ugualmente un tono ufficiale ma non sono indirizzati a una specifica organizzazione o società. Troviamo in questa categoria i falsi avvisi di spedizione di pacchi, richieste di assegni e così via).
-
Cloud: si tratta della categoria più recente e, per questo, meno conosciuta e potenzialmente più pericolosa. Ne fanno parte tutte quei messaggi di posta elettronica truffaldini che invitano a scaricare file da un servizio di cloud storage, spacciandoli come fatture inevase o lettere di presentazione. In realtà si tratta di malware, trojan e ransomware in primis, che mettono a rischio non solo il computer dell’utente che li scarica ma l’intera rete aziendale.
Come difendersi dagli attacchi phishing
Indipendentemente dalla tipologia di attacco, i consigli per proteggersi dal phishing ed evitare che i propri dati possano finire nelle mani sbagliate sono più o meno universali. Prima di tutto, non aprire mai messaggi di posta elettronica se non conosciamo il mittente o non siamo sicuri della sua reale identità. Allo stesso modo, evitiamo di scaricare allegati non sicuri, in special modo se ci viene “consigliato” di farlo attraverso dei link a servizi di cloud storage. Ricordiamo, poi, che né la nostra banca né i servizi di posta elettronica o i social network ci chiederanno informazioni personali (come le credenziali di accesso ai nostri account) via posta elettronica. Se vogliamo cambiare password, facciamolo utilizzando gli strumenti ufficiali che troveremo nel pannello di gestione del nostro profilo.