Per anni gli attacchi phishing sono stati creati in maniera abbastanza superficiale, ma ora non è più così e ci sono campagne mirate e difficili da individuare
Per anni gli attacchi informatici di tipo phishing sono stati creati in maniera abbastanza superficiale. Con testi uguali per tutti, con diversi errori grammaticali e facilmente identificabili come truffe. Ora non è più così. Esistono campagne phishing altamente mirate e personalizzate che possono trarre in inganno anche utenti esperti.
Stando a recenti ricerche delle società di sicurezza sta diventando sempre più complicato per le persone non cadere nella trappola di un attacco phishing. Questo perché oltre a una cura del testo e all’uso delle cosiddette tecniche di ingegneria sociale gli hacker stanno realizzando attacchi personalizzati. In pratica inviano testi molto veritieri che spingono gli utenti a cliccare sui link maligni. E anche i siti dove veniamo reindirizzati sembrano davvero quelli della nostra banca o delle poste. I cyber criminali realizzazione tutti nei minimi dettagli per creare fiducia nell’utente e convincerlo a inserire i propri dati personali.
Attacchi phishing sofisticati
Questi falsi siti sono inoltre progettati per evitare il rilevamento degli strumenti anti-phishing. Spesso i portali web non ufficiali servono agli hacker solo per monitorare l’utente, spiarlo e poi creare un’email che possa trarlo in inganno in base ai suoi movimenti o ai suoi gusti. Stando a Hal Lonas, CTO di Webroot, durante la fase di ricerca di questi nuovi virus anche molti ricercatori sulla sicurezza informaticasono stati ingannati da questi attacchi di phishing sofisticati. Lonas ha proposto alle varie aziende impegnate nella realizzazione di programmi antivirus di pensare a un cambio di mentalità. Invece che cercare di proteggere e istruire gli utenti nel riconoscere un’email maligna ora bisognerebbe creare dei sistemi innovativi che rintraccino immediatamente il sito o il link pericoloso e impediscano alle persone di cliccarci sopra.
Siti fasulli
Ogni giorno vengono creati nuovi siti fasulli pensati per alimentare campagne di tipo phishing. Tanto che ogni mese compaiono 1,4 milioni di nuovi siti-esca. Quasi tutti questi portali comunque imitano compagnie d’assicurazione, siti di banche o fondi finanziari. Queste sono le prime dieci aziende maggiormente sfruttate dai cyber criminali nei primi sei mesi del 2017 per creare dei siti fasulli: Google (35%), Chase (15%), Dropbox (13%), PayPal (10%), Facebook (7%), Apple (6%), Yahoo (4%), Wells Fargo (4%), Citi (3%) e Adobe (3%).