Cyber attacchi: cosa sono phishing, vishing e smishing

L’interconnessione costante ha per molti versi semplificato la vita a persone e aziende, ma se da una parte oggi divulghiamo con disinvoltura informazioni riservate su social media, blog ed email, dall’altra dobbiamo conoscerne le insidie: parliamo delle tipologie più comuni di cyber attacchi.

I cyber attacchi nelle aziende sono l’incubo quotidiano dei Cybersecurity Manager, vere e proprie trappole in cui chiunque può cadere – sia chi ha poca dimestichezza con il web, ma anche profili preparati e consapevoli, se colti in specifici momenti e contingenze della loro attività – e che sono tese allo scopo di carpire dati, distruggerli o modificarli, spesso con l’intento ultimo di trarre un vantaggio economico ai danni della vittima.

Esistono diversi tipi di cyber attacchi; qui tratteremo i più diffusi, come il phishing e le sue varianti, ovvero il vishing e lo smishing.

Di cosa si tratta, come riconoscerli ed evitarli?

Phishing: la truffa online più insidiosa

Tutti abbiamo ricevuto email che parevano inviate da corrieri, banche, dal servizio postale tradizionale o comunque da destinatari a primo sguardo ritenuti affidabili. Talvolta addirittura sembravano provenire da amici, colleghi, o società clienti.

Ciascuna di queste email conteneva più o meno lo stesso messaggio: “abbiamo riscontrato un problema con il tuo conto corrente aziendale/la tua spedizione/un pagamento sospetto. Clicca sul link e segui le istruzioni per risolvere la questione”.

L’istinto, la solerzia, il senso del dovere, spesso unita all’entropia di una giornata di lavoro caotica, ci spinge a dar seguito alla richiesta, cliccare sull’indirizzo web indicato e seguire le istruzioni.

Purtroppo però così facendo attiviamo la trappola dell’attaccante, che può quindi tentare di estorcere i nostri dati di accesso a portali (tramite schermate di login fittizie o altri processi malevoli) o spingerci comunque a compromettere l’integrità dei sistemi aziendali: tali tipologie di attacco spesso prevedono un processo auto replicante. Dopo aver attaccato con successo, e quindi infettato, la nostra postazione di lavoro, si diventa a nostra volta agente di contagio verso colleghi e collaboratori. I danni, insomma, possono essere esponenziali.

Informare i dipendenti e fornire loro linee guida comportamentali può non essere risolutivo. Infatti molto spesso queste truffe riescono perché colgono i collaboratori affaccendati in altre questioni durante lo svolgimento delle proprie mansioni e può capitare che inavvertitamente venga a crearsi la situazione ideale per questo genere di intrusione e furto informatico, anche qualora colpisca dipendenti adeguatamente formati in materia di cyber sicurezza.

In ultimo, la frequenza di questi attacchi è notevole e in grande crescita: il primo quarter 2022 ha visto ad oggi il record per attacchi di phishing regolarmente denunciati. Oltre un milione di casi registrati nei primi tre mesi, secondo i dati diffusi dall’APWG’s Phishing Activity Trends Report. Oltre quindi diecimila al giorno, ovviamente senza tenere in considerazione un numero, realisticamente altrettanto vasto se non superiore, di attacchi avvenuti e forse portati a termine senza alcuna denuncia.

L’altra faccia del phishing: l’allegato sospetto

Accedere alle pagine web indicate in un’email circospetta potrebbe causare alla tua azienda ben più di un noioso grattacapo, ma quello del link su cui cliccare e inserire i nostri dati sensibili non è l’unico modo che i truffatori hanno per riuscire nel loro intento.

Il phishing avviene anche attraverso allegati con estensione exe, doc e pdf travestiti da contravvenzione, avviso di consegna, estratto conto, ecc. Aprendoli verrà installato un virus sul tuo device, che al momento giusto rileverà e farà sue le credenziali di accesso a tutti i siti in cui effettui un certo tipo di azioni (istituti bancari ed e-commerce, per esempio).

Come evitare di diventare vittima di phishing

A volte la comunicazione ricevuta può sembrarci reale e affidabile, ma è sempre buona norma:

– Diffidare comunque dei link in essa contenuti.
Ipotizziamo che il mittente della comunicazione sembri essere l’istituto bancario della tua azienda. Anziché cliccare sul link inserito nel testo dell’email sospetta e invece di copiarlo e incollarlo in una nuova finestra di navigazione, usiamo Google digitando l’indirizzo web della banca, già noto, senza URL ombrosi.

– Verificare che il sito in cui inserisci i dati li trasmetta con protocollo cifrato.

– Controllare che si tratti di un sito originale e non di un clone. Farlo è semplice: osserva l’URL. Se non ti convince è probabile che sia stato creato ad hoc con intenti fraudolenti.

– Dotare la tua azienda della tecnologia adeguata a garantire un grado di protezione sufficiente.

– Affidarsi a esperti di cyber security che possano svolgere un assessment dei rischi che corre la tua azienda.

Vishing: il phishing vocale

Come il phishing classico, il voice phishing è sempre finalizzato a rubare i dati sensibili, ma avviene attraverso una telefonata anziché tramite posta elettronica.

Il vishing approfitta dell’ingegneria sociale e sfrutta senza etica e a proprio vantaggio le regole della persuasione – anche in maniera molto spiacevole.

Nel voice phishing i criminali si spacciano per qualcuno in cui si suppone che la vittima designata riponga fiducia (per esempio un dipendente bancario o assicurativo) e si comportano come se sapessero molte cose dell’azienda oggetto di vishing, colpendo i trigger emotivi di chi ha risposto alla chiamata e spesso scatenando in questa persona sensazioni negative.

Ecco come funzionano le tecniche di vishing più utilizzate:

– Vieni avvisato che il conto corrente della tua impresa è stato compromesso e rischia un cyber attacco. In questo caso si prospettano due scenari:
a. potrebbero cercare di far trasferire il denaro della tua azienda su un conto più sicuro;
b. nell’altro ti verranno richieste le credenziali di accesso al conto per risolvere la presunta compromissione.
Ricorda che, per quanto preparata e professionale possa apparirti la persona che ti ha telefonato, le banche non chiedono mai né di effettuare transazioni al telefono, né i tuoi dati di accesso personali.

– Dall’altra parte del ricevitore qualcuno potrebbe fingere di essere un tuo fornitore e informarti di aver cambiato conto corrente. Quindi ti indicherà che, da quel momento in poi, dovrai pagare i suoi compensi sul nuovo conto, di cui ti fornirà prontamente le coordinate bancarie.

– Vieni contattato da un sedicente collega che in veste di un addetto informatico ti chiede di condividere dati sensibili come password aziendali per garantirti, paradossalmente, che essi rispondano ai requisiti di sicurezza aziendali.

– Il tuo interlocutore si spaccia per un funzionario di un ente pubblico vicino al tuo contesto di lavoro (es. Agenzia delle Entrate, INPS, Garante Privacy) e facendo leva sulla presunta posizione di autorità della quale gode tale ruolo, tenta di estorcere informazioni sensibili. Come puoi intuire, pertanto, se il phishing può essere eseguito massivamente, il vishing tipicamente prevede una parte di studio importante del target così da poter sferrare un attacco credibile e mirato. Questa attività talvolta ricade anche sotto la definizione specifica di spear phishing, ossia attacco veicolato puntualmente contro un soggetto o entità specifica.

Evitare il vishing è possibile

C’è una ragione se il vishing è la forma di phishing più diffusa in assoluto e il motivo è presto detto. Un numero di telefono è una combinazione di numeri con una lunghezza definita e limitata, mentre un indirizzo email non solo può essere potenzialmente molto lungo o molto corto, ma è anche composto sia da numeri che da lettere e simboli.
Per i truffatori di questo tipo è molto più semplice mischiare numeri in modo del tutto casuale e avere fortuna, che azzeccare un indirizzo email allo stesso modo.

Ciò detto, esistono alcune semplici accortezze che possono aiutare a riconoscere il reale intento di chi si trova dall’altra parte della cornetta e risparmiare grattacapi – anche molto costosi – al tuo business e ai tuoi clienti, che ne pagherebbero come te le conseguenze.

– Non condividere mai i tuoi dati al telefono, per nessuna ragione.

– Non rispondere a telefonate da parte di numeri sconosciuti o anonimi.

– Iscriviti al registro delle opposizioni.

– Non inviare il tuo numero di telefono in risposta a email, sms o direct sibillini sui social.

– Richiamare l’interlocutore, facendosi quindi fornire un numero di telefono identificabile. Ad esempio difficilmente un collega chiamerebbe da un numero di telefono ubicato in una nazione estera o con un prefisso sospetto.

– Seguire un approccio zero trust: nessun nome, autorità, o posizione gerarchica può essere considerata attendibile previa adeguata verifica. Purtroppo infatti molte volte il successo dell’attacco scaturisce da un desiderio reale di cortesia o di subordinazione da parte della vittima.

Phishing e SMS: lo smishing

L’ultima e forse meno diffusa tecnica di phishing è lo smishing.
Si tratta di un classico tentativo di phishing con link sospetti, messaggi intimidatori e compagnia, ma avviene tramite i classici SMS.

L’obiettivo dello smishing è ancora una volta il furto di dati, che può avvenire attraverso:
– click sul link incluso, ritenuto necessario a verificare un addebito sospetto o lo stato di una consegna urgente;
– telefonata al numero clienti. In alcuni casi i truffatori non chiamano ma si fanno chiamare per aiutarti a verificare un addebito sospetto o il tuo account aziendale compromesso;
– sconto del provider di un servizio. In questi casi spesso o non si tratta del tuo provider, oppure non usi quel servizio.

Anche se non rientrano esattamente nella categoria dello smishing, sono inclusi in questa categoria anche i tentativi di phishing che avvengono via Facebook Messenger o WhatsApp, dove quasi sempre sono profili di utenti che conosci e che ritieni affidabili – ma che sono stati a loro volta violati – a contattarti.

L’importanza della sicurezza informatica aziendale

I cyber attacchi sono sempre più frequenti e subdoli, oltretutto per compiere un passo falso è sufficiente abbassare la guardia nel momento sbagliato. Inoltre sono pericolosi per le persone fisiche, ma ancora di più lo sono per le aziende, poiché in gioco ci sono spesso anche i dati dei clienti oltre ai propri.

Va tenuto a mente che in un’azienda il rischio di un attacco di questo genere aumenta in maniera direttamente proporzionale al numero di dipendenti e di device connessi alla rete: ognuno di loro può potenzialmente ricevere una delle comunicazioni indicate in questo articolo e aprire inavvertitamente la porta ai criminali informatici.

Con un sistema aziendale di sicurezza informatica completo e affidabile, potrai finalmente aprire con tranquillità i messaggi di posta elettronica ricevuti, senza il timore di scaricare un malware, di vederti svuotare il conto in banca o di creare disagi ai tuoi clienti.

Richiedi una prova gratuita delle nostre soluzioni e lascia i truffatori lontani dalla tua azienda.