Che cos'è lo spear phishing?
Lo spear phishing è un tipo di attacco di phishing mirato che presuppone l'invio di un'email o di un altro messaggio elettronico a una vittima specifica (un individuo, un'organizzazione o un'azienda) per indurla a rivelare informazioni private. Il messaggio viene appositamente creato in modo da apparire autentico e inviato da una fonte attendibile, il che rende gli attacchi di spear phishing particolarmente pericolosi.
Come funziona lo spear phishing?
Un attacco di spear phishing ha inizio con un utente malintenzionato che identifica una determinata vittima e ricerca i suoi dettagli personali, ad esempio il datore di lavoro, gli amici, la città natale, i recenti acquisti online e così via. Le informazioni personali raccolte consentono all'aggressore di camuffarsi e creare un messaggio apparentemente autentico che sembra provenire da una fonte attendibile, come un datore di lavoro, un amico o un'azienda nota.
Perché lo spear phishing è efficace?
Lo spear phishing è un tipo di attacco di phishing particolarmente efficace perché le vittime sono specificamente prese di mira e i messaggi per farle abboccare sono progettati in modo da apparire autentici senza ombra di dubbio. Nemmeno i migliori protocolli di sicurezza informatica sono in grado di tenere sotto controllo le email provenienti da contatti noti. Forse pensi che un attacco di spear phishing sia facile da individuare, ma rimarrai sorpreso di quanto possano essere convincenti i messaggi di questo tipo.
Le tattiche di social engineering svolgono un ruolo enorme nel rendere efficace lo spear phishing. Gli attacchi di spear phishing di maggiore successo si basano su messaggi che appaiono così autentici da far cadere facilmente nel tranello una vittima. Gli elementi grafici nel messaggio possono sembrare veramente autentici e l'indirizzo email utilizzato dall'autore dell'attacco può effettivamente essere un indirizzo reale: per sferrare un attacco di spear phishing, l'aggressore potrebbe aver commesso un furto di identità e utilizzato l'indirizzo email di un'altra vittima.
Un esempio comune di spear phishing è dato da un messaggio apparentemente normale che sembra provenire dall'account email di un impiegato (o addirittura del direttore generale) di un'azienda nota. A volte il messaggio dall'aspetto innocuo può essere mascherato come notifica inviata da un'app nota, ad esempio Microsoft Teams o Google. In ogni caso, il messaggio si rivolge direttamente a una potenziale vittima e contiene informazioni personali.
Da questo punto in poi, l'attacco di spear phishing agisce come un normale attacco di phishing. Nel messaggio è incluso un collegamento o un allegato dannoso e il mittente utilizza spesso espressioni che sollecitano una reazione immediata, come "rivedi immediatamente" o "se non intervieni subito, il tuo account verrà eliminato". Questo tono di urgenza porta le vittime a concentrarsi sulla richiesta o sulla notifica stessa piuttosto che interrogarsi sulla sua legittimità.
Non è chiaro quanti siano gli individui o le aziende che attacchi di spear phishing prendono di mira ogni giorno. Secondo un rapporto, l'88% delle aziende ha dovuto far fronte ad attacchi di spear phishing nel 2019 e la maggior parte degli intervistati ha segnalato più di 10 attacchi quello stesso anno.
Esempi di spear phishing
Lo spear phishing prende di mira aziende grandi e piccole, senza distinzione, ma ha mietuto vittime anche tra personalità note. Nessuno è al sicuro da un attacco di spear phishing, nemmeno i dipendenti di Twitter o Jeff Bezos.
Facebook e Google
Uno dei più pesanti attacchi di spear phishing mai registrati ha preso di mira due delle più grandi aziende tecnologiche del mondo: Facebook e Google. L'autore dell'attacco ha impersonato un dipendente di Quanta, una società tecnologica di Taiwan che entrambe le società utilizzano come fornitore, e ha indirizzato fatture false ai loro reparti amministrativi, che Facebook e Google hanno poi pagato.
Prima che la truffa fosse scoperta, l'aggressore è riuscito a rubare 100 milioni di dollari. Grazie alle vaste risorse di cui dispongono le due aziende tecnologiche, è stato possibile identificare e perseguire l'aggressore, recuperando quasi la metà delle somme sottratte.
Ubiquiti Networks
Nel 2015, la società di reti di computer Ubiquiti Networks è stata truffata per 46,7 milioni di dollari con un attacco di spear phishing. Gli aggressori hanno preso di mira il reparto amministrativo dell'azienda, fingendosi dipendenti e inviando richieste fraudolente. La società è riuscita a recuperare parte del denaro sottratto, ma una notevole somma è andata persa per sempre.
Twitter
Nel 2020, gli account Twitter di diverse personalità, come Jeff Bezos, Elon Musk e Kanye West, sono stati violati a seguito di una truffa di spear phishing. Gli hacker si sono finti operatori IT per indurre i dipendenti di Twitter a fornire credenziali di sicurezza per uno strumento interno della società, il che ha permesso loro di reimpostare le password e l'autenticazione a due fattori per oltre 45 account.
Gli hacker hanno quindi utilizzato gli account compromessi per twittare messaggi che promuovevano una truffa con l'obiettivo di sottrarre bitcoin. Ai follower veniva promesso di ricevere il doppio della quantità di bitcoin che avrebbero inviato a un determinato account. Poiché i tweet provenivano da account Twitter verificati e da nomi di personalità famose, diverse persone sono state defraudate di bitcoin con successo.
Epsilon
Nel 2011, il provider di servizi email australiano Epsilon ha subito un attacco di spear phishing. Le email contraffatte hanno preso di mira gli operatori del servizio email, consentendo agli aggressori di accedere a centinaia di indirizzi email dei clienti e compromettere i sistemi di sicurezza della società. A questo hanno fatto seguito diversi altri attacchi di spear phishing, con l'obiettivo di colpire decine di clienti di Epsilon.
Truffa di collaborazione su Google Drive
Nel 2020, Google ha subito una nuova truffa di spear phishing, che questa volta ha preso di mira singoli utenti anziché la società stessa. La truffa ha sfruttato la funzionalità di collaborazione di Google Drive, con la quale Google invia agli utenti un'email comunicando loro che qualcuno desidera invitarli a collaborare a un progetto. Persino la rivista Wired è stata presa di mira mediante una notifica di collaborazione di Google collegata a un account email russo fraudolento.
Qual è la differenza tra phishing e spear phishing?
La differenza tra un attacco di phishing e uno di spear phishing consiste nel fatto che il phishing getta una vasta rete, tentando di attirare contemporaneamente molte vittime, mentre lo spear phishing prende di mira aziende o individui specifici. Entrambi i tipi di attacco utilizzano messaggi che sembrano provenire da fonti legittime, convincendo così le vittime della loro autenticità e attendibilità.
Le email di un attacco di phishing includono messaggi di portata più ampia: si rivolgono a molte persone e quindi devono essere create con un tono di carattere più generale. È sufficiente che solo una piccola percentuale delle vittime prese di mira risponda perché l'attacco di phishing abbia successo.
Gli attacchi di spear phishing applicano lo stesso principio, ma prendono di mira una persona o un gruppo specifico. Gli aggressori fanno ricerche sulle loro vittime in modo da ottenere informazioni utili per comporre con precisione email e messaggi. Come gli attacchi di phishing, anche quelli di spear phishing hanno spesso origine da indirizzi email apparentemente autentici, ma le informazioni incluse nei messaggi di spear phishing sono in genere molto più personali, focalizzati su un obiettivo specifico.
Altri tipi di phishing
Altri tipi di attacchi di phishing sono in agguato là fuori, ognuno con un approccio leggermente diverso rispetto alla classica truffa di phishing.
-
L'angler phishing fa uso di post sui social media, messaggi diretti e notifiche per attirare le vittime.
-
Il whaling si verifica quando il truffatore si fa passare per il direttore generale di un'azienda, in modo da aumentare la legittimità e l'urgenza dell'attacco.
-
Il barrel phishing, noto anche come double-barrel phishing, prende di mira individui specifici in un attacco articolato in due fasi. Per prima cosa viene inviato un messaggio innocuo per ottenere la fiducia della vittima. Successivamente viene sferrato l'attacco vero e proprio, con un messaggio che include un collegamento o un allegato dannoso.
-
Il vishing, o phishing vocale, avviene mediante un contatto telefonico anziché tramite l'email. L'aggressore assume l'identità di una persona autorevole e sollecita la vittima a rivelare dati sensibili, ad esempio il codice fiscale.
-
Lo smishing si riferisce agli attacchi di phishing che avvengono tramite SMS.
-
Il pharming si riferisce agli attacchi che reindirizzano gli utenti a siti Web dannosi configurati con un processo noto come dirottamento del DNS. Gli attacchi di pharming funzionano attirando le vittime su siti Web fasulli che altrimenti sembrano legittimi.
-
L'evil twin phishing si verifica quando gli hacker configurano reti Wi-Fi false che sembrano legittime e incoraggiano le vittime ad accedere con le loro credenziali reali.
-
Il catfishing consiste nella creazione di un'identità o di un personaggio fittizio sui social media per conquistare la fiducia di una vittima. Le tattiche di catfishing vengono solitamente sfruttate per ingannare le vittime a scopo di lucro.
Come prevenire gli attacchi di spear phishing
Il modo migliore per proteggersi dagli attacchi di spear phishing è quello di acquisire nozioni di base sulla sicurezza informatica, ad esempio imparare a individuare un'email sospetta e sapere cosa fare quando se ne riceve una.
Le email sospette possono contenere errori grammaticali, che i parlanti nativi non commetterebbero, errori di digitazione, che sono sintomo di negligenza, richieste di informazioni sensibili, che le aziende serie non fanno mai via email, o allegati non richiesti. I collegamenti o gli allegati nelle email di spear phishing risultano spesso credibili, perché sembrano provenire da una fonte nota e attendibile.
Ecco alcuni segni rivelatori di un'email di spear phishing: (a) tono di urgenza insolito o stile poco professionale nell'oggetto; (b) errori di digitazione; (c) formula di saluto generica o del tutto assente; (d) piccoli errori grammaticali; (e) mancanza di chiarezza sui collegamenti; (f) spaziatura strana o caratteri sfalsati.
Per essere ancora più sicuro di non subire attacchi di spear phishing, controlla attentamente l'indirizzo email. Se un nome non è stato scritto correttamente o è stato utilizzato un dominio insolito, potrebbe trattarsi di un'email fraudolenta. L'allegato potrebbe anche avere un nome insolito o senza senso. Se il messaggio sembra provenire da una persona che conosci o da una fonte ufficiale, ma include richieste strane o insolite, contatta direttamente il mittente per verificare che l'email sia legittima.
Dovresti inoltre seguire i protocolli di base per la sicurezza dell'email e di Internet, come evitare collegamenti sospetti, creare password complesse, utilizzare browser sicuri e privati e mantenere aggiornato il software. E assicurati di eseguire il backup dei tuoi dati per evitare di perderli nell'eventualità che il tuo account venga compromesso.
Inoltre, l'utilizzo di software di sicurezza rafforzerà le funzionalità anti-phishing del tuo client email preferito. Il miglior software antivirus può aiutarti a evitare di cadere vittima di un attacco di spear phishing.
Proteggiti dagli attacchi di spear phishing con AVG AntiVirus
AVG AntiVirus Free ha sei livelli di sicurezza che proteggono i dati e tengono alla larga i potenziali aggressori. Potrai contare su una protezione Web integrata che ti segnala siti Web sospetti e su una protezione email che blocca le email pericolose e i collegamenti sospetti.
Gli attacchi dannosi vanno ben oltre il phishing: gli hacker utilizzano vari tipi di malware, come lo spyware o il ransomware, per danneggiare il tuo dispositivo e sottrarre i tuoi dati. Con la crescente diffusione di minacce online, la prevenzione e la sicurezza sono più importanti che mai. AVG AntiVirus Free ti protegge tutti i giorni, 24 ore su 24, dalla grande varietà di minacce online che ti attendono in agguato al mondo d'oggi.
AVG AntiVirus Free protegge il tuo dispositivo per assicurarti di non cadere vittima di spear phishing o di altri attacchi online. Trasforma il tuo dispositivo in una botte di ferro e assicurati che i tuoi documenti e dati personali rimangano al sicuro. Ottieni subito la protezione di AVG leader del settore: è completamente gratuita.