Che il phishing sia uno dei tentativi di attacco informatico più comune non è di certo una novità. Di messaggi di posta “fuorvianti” e truffaldini ne riceviamo a decine ogni giorno: nella gran parte dei casi restano confinati nella cartella spam, ma potrebbe accadere che i filtri antispam falliscano nell’analisi.
Proprio per questo motivo è di vitale importanza riuscire a riconoscere attacchi phishing al primo colpo. Anche la più piccola delle esitazioni, infatti, potrebbe consentire ai criminali informatici di intrufolarsi nel nostro PC (o nella nostra casella di posta elettronica) e impadronirsi dei nostri dati personali. Il report di Wombat Security sullo stato dell’arte del phishing assume, dunque, ancora maggiore rilevanza: grazie al lavoro degli analisti dell’azienda statunitense specializzata in sicurezza informatica è possibile avere un quadro d’insieme su quali sono gli attacchi phishing più comuni e organizzare una difesa efficacie.
Tipologie di attacchi phishing più comuni
Dal report Wombat relativo al 2017 emerge come i tentativi di attacco tra 2016 e 2017 siano rimasti costanti, mentre è cresciuta la consapevolezza degli utenti. “Solo” il 9% dei tentativi phishing va a buon fine: un dato quasi dimezzato rispetto al 15% registrato nel corso del 2016. Dalle pagine del report, inoltre, è possibile ricavare anche quali siano le categorie di attacco phishing utilizzate più frequentemente dagli hacker. Gli esperti statunitensi, in particolare, individuano quattro macrocategorie.
- Utente. Rientrano in questa categoria gli attacchi phishing indirizzati “all’utente medio” e riguardano l’utilizzo quotidiano del web (revoca credenziali dell’account email o dell’home banking, false notifiche social, programma frequent flyer, lotterie nigeriane o statunitensi e così via)
- Corporate. Si tratta degli attacchi indirizzati principalmente alle aziende (e ai loro dipendenti). Il focus dei cybercriminali si sposta verso comunicazioni più “professionali”, che possano trarre in inganno anche il più esperto dei dipendenti (messaggi dall’ufficio risorse umane, comunicazioni del capo ufficio o del presidente, aumenti di stipendio, ecc)
- Commerciale. Simili agli attacchi phishing “corporate”, quelli commerciali hanno ugualmente un tono ufficiale ma non sono indirizzati a una specifica organizzazione o società. Troviamo in questa categoria i falsi avvisi di spedizione di pacchi, richieste di assegni e così via)
- Cloud. Si tratta della categoria più recente e, per questo, meno conosciuta e potenzialmente più pericolosa. Ne fanno parte tutte quelle e-mail truffaldine che invitano a scaricare file da un servizio di cloud storage, spacciandoli come fatture inevase o lettere di presentazione. In realtà si tratta di malware – trojane ransomware in primis – che mettono a rischio non solo il computer dell’utente che li scarica ma l’intera rete aziendale
Come difendersi dagli attacchi phishing
Indipendentemente dalla tipologia di attacco, i consigli per proteggersi dal phishing ed evitare che i propri dati possano finire nelle mani sbagliate sono (più o meno) universali. Prima di tutto, non aprite mai messaggi di posta elettronica se non conoscete il mittente o non siete sicuri della sua reale identità. Allo stesso modo, evitate di scaricare allegati non sicuri, in special modo se vi viene “consigliato” di farlo attraverso dei link a servizi di cloud storage. Ricordate, poi, che né la vostra banca né i servizi di posta elettronica o i social network vi chiederanno informazioni personali (come le credenziali di accesso ai vostri account) via email. Se volete cambiare password, fatelo utilizzando gli strumenti ufficiali che troverete nel pannello di gestione del vostro profilo.