Cos’è il phishing di spear (con esempi) e come puoi evitarlo

Cos'è il phishing di lancia

Gli schemi di phishing in genere implicano che una vittima viene indotta a rinunciare a informazioni che possono essere successivamente utilizzate in una sorta di truffa. Le informazioni vengono spesso ricercate tramite un’e-mail, una telefonata (phishing o phishing vocale) o un messaggio di testo (phishing o smishing SMS). Il phishing è un elemento molto comune in molti tipi di truffe su Internet che possono colpire migliaia di persone contemporaneamente nella speranza che uno o due vengano ingannati.

Lo spear phishing è un tipo di phishing più mirato. L’autore in genere conosce già alcune informazioni sul bersaglio prima di fare una mossa. Se consideri quanti dettagli personali qualcuno potrebbe scoprire su di te su Internet in questi giorni, non è davvero così difficile per qualcuno presentarsi come una festa di fiducia e indurti a consegnare alcune informazioni aggiuntive.

Per fortuna, se sei a conoscenza di questi tipi di truffe e sai cosa cercare, puoi evitare di diventare la prossima vittima.

In questo post, entreremo nel dettaglio di ciò che è il phishing della lancia e forniremo alcuni esempi di schemi di phishing. Ti offriremo quindi alcuni suggerimenti per aiutarti a non farti sorprendere. Iniziamo!

Che cos’è il phishing di lancia

Come accennato, il phishing della lancia è una forma mirata di phishing. Quasi tutte le truffe online iniziano con una qualche forma di phishing, ma molti di questi tentativi colpiscono casualmente un vasto pubblico. Ad esempio, potresti ricevere un’email in cui dichiari di ricevere del denaro e devi solo fornire alcuni dettagli personali. Questa è una forma di phishing, ma non è mirata.

Una sezione di un'e-mail di phishing generale che richiede informazioni personali.Una sezione di un’e-mail di phishing generale che richiede informazioni personali.

Nel tentativo di spear phishing, un autore deve conoscere alcuni dettagli sulla vittima. Utilizzando questi dettagli, il truffatore mira a infondere fiducia nella vittima e ad arrivare il più lontano possibile con la truffa. Quindi dove trovano questi dettagli? Questi potrebbero essere raccolti da un precedente tentativo di phishing, un account violato o in qualsiasi altro luogo in cui potrebbero essere in grado di scoprire informazioni personali. I social media, in particolare, sono un focolaio di informazioni su individui e aziende.

I tentativi di spear phishing possono assumere molte forme diverse. Alcuni tentano di farti cliccare su un link che potrebbe portare a un sito Web che scarica malware, un sito Web falso che richiede una password o un sito che contiene annunci pubblicitari o tracker. Altri tentativi di phishing potrebbero chiederti di fornire il tuo numero di previdenza sociale, consegnare le informazioni della carta di credito o bancarie o semplicemente inviare denaro.

Attacchi ai singoli

A livello personale, i truffatori potrebbero rappresentare un affare di cui ti fidi, ad esempio una banca o un negozio in cui hai fatto acquisti. Potrebbero offrire grandi affari, dirti che devi o sono in debito, o che un account sta per essere bloccato. Potrebbero anche fingere di essere qualcuno che conosci, direttamente o indirettamente. Ad esempio, posare come qualcuno che è andato nella tua vecchia scuola o è un membro del tuo gruppo religioso potrebbe farti aprire.

Attacchi alle imprese

Lo spear phishing è una forma molto comune di attacco anche alle aziende. Poiché è così mirato, il phishing di lancia è probabilmente il tipo più pericoloso di attacco di phishing. Secondo il SANS Institute, il 95% degli attacchi alle reti aziendali comporta tentativi di phishing di successo. Inoltre, un rapporto del 2023 di IRONSCALES ha rivelato che lo spear phishing è sempre più designato al laser (PDF), con il 77% delle e-mail indirizzate a dieci o meno caselle di posta. Inoltre, il loro studio ha scoperto che un terzo degli attacchi ha preso di mira solo una cassetta postale.

Un infograhic spear phishing che evidenzia le suddette statistiche.Fonte: IRONSCALES

Una truffa di spear phishing comune nelle aziende coinvolge il truffatore che si pone come un dirigente dell’azienda e richiede che un dipendente ignaro trasferisca denaro a un conto appartenente al truffatore. Questo è spesso indicato come “caccia alle balene” ed è un tipo di frode del CEO.

Una sezione di un'infografica di spear phishing di Symantec.Fonte: Symantec

Come puoi vedere nella sezione precedente di un’infografica di Symantec, negli ultimi anni la prevalenza dei tentativi di spear phishing è aumentata rapidamente. Mentre i truffatori colpiscono aziende di qualsiasi dimensione, gli attacchi contro le piccole imprese stanno diventando sempre più popolari.

Esempi di spear phishing

I tentativi di spear phishing sono stati utilizzati per truffare individui e aziende con milioni di dollari. Possono anche causare danni in altre aree, come rubare informazioni segrete dalle imprese o causare stress emotivo alle persone. Ecco alcuni esempi di attacchi di spear phishing riusciti.

Tentativi di spear phishing rivolti alle aziende

I truffatori prendono di mira le aziende continuamente, ma qui ci sono alcuni esempi di alcuni attacchi di alto profilo.

Ubiquiti Networks Inc

Nel 2015, questa società ha consegnato oltre 40 milioni di dollari in una truffa di spear phishing che coinvolge frodi del CEO. Le e-mail apparentemente inviate da alti dirigenti hanno indicato ai dipendenti di inviare fondi da una consociata di Hong Kong a conti appartenenti a terzi. Le e-mail in realtà provenivano dai truffatori e gli account di terzi appartenevano a loro.

Epsilon

Questa società di marketing online è stata presa di mira nel 2011 come parte di uno schema per raccogliere le credenziali dei clienti, probabilmente per l’uso in altri tentativi di phishing di spear.

Una sezione della homepage di Epsilon.Dato che i dati sono il pane e il burro dell’attività di Epsilon, è facile capire perché sarebbe un obiettivo ideale.

I rapporti indicano che le e-mail di spear phishing potrebbero contenere un collegamento a un sito in cui è stato scaricato malware, che a sua volta ha disabilitato il software antivirus, fornito l’accesso remoto al sistema e potrebbe essere utilizzato per rubare le password. Queste e-mail sono state inviate a diverse società di marketing, ma hanno sempre preso di mira i dipendenti responsabili delle operazioni di posta elettronica.

Electronic Frontier Foundation

Nel 2015, i truffatori hanno utilizzato il pretesto fidato della Electronic Frontier Foundation (EFF) per indirizzare le vittime verso un sito falso (Electronicfrontierfoundation.org). È stato usato per distribuire keylogger e altri malware, ma da allora l’EFF ha preso il controllo del dominio.

Un aggiornamento sul post del blog EFF relativo al dominio di spear phishing.

Ora reindirizza semplicemente a un post sul blog EFF che descrive in dettaglio la truffa.

RSA

La società di sicurezza RSA è stata presa di mira con successo in un tentativo di spear phishing all’inizio del 2011. A due gruppi all’interno della società sono state inviate e-mail di spear phishing semplicemente intitolate “Piano di reclutamento 2011”. Sebbene le e-mail siano state contrassegnate come posta indesiderata, un dipendente ha aperto un allegato e-mail che alla fine ha portato all’installazione di una forma di malware sul computer. Il malware ha fornito all’aggressore l’accesso remoto e la possibilità di rubare dati sensibili.

Alcoa

L’esercito cinese è stato accusato di numerosi tentativi di spear phishing volti a rubare segreti commerciali da società statunitensi. Uno di questi è stato segnalato per colpire l’azienda di alluminio Alcoa. Nel 2008, si sospetta che gli hacker abbiano contattato 19 dipendenti Alcoa senior via e-mail, impersonando un membro del consiglio di amministrazione dell’azienda. Una volta aperta, la posta installava malware sui computer dei destinatari, causando il furto di quasi 3.000 e-mail e oltre 800 allegati.

Tentativi di spear phishing rivolti agli individui

Mentre le aziende vedono enormi perdite da questi attacchi, sia direttamente che indirettamente, l’impatto su un individuo può essere ancora più grave. Prendiamo ad esempio la storia inquietante di un utente reddit che abbiamo intervistato per un precedente articolo.

È stata presa di mira da un criminale che ha usato il social engineering per convincerla a consegnare una password a un account di posta elettronica. Questo alla fine ha portato il truffatore ad assumere diversi social media e account di posta elettronica e ricattare la vittima con i contenuti.

Una sezione della conversazione di testo in cui la vittima consegna la password.

Quella truffa è stata particolarmente dannosa dal punto di vista emotivo, mentre altri sono puramente motivati ​​dal punto di vista finanziario. Alcuni schemi di phishing spear su larga scala colpiscono gli utenti di grandi aziende, come quelli di seguito:

PayPal

Gli utenti di PayPal sembrano essere il bersaglio di infiniti tentativi di phishing generali. L’enorme numero di utenti significa che le e-mail generiche di massa avranno maggiori possibilità di successo. Tuttavia, alcuni utenti PayPal sono stati colpiti da e-mail di spear phishing più mirate. Questi in realtà si rivolgono al cliente per nome, facendoli sembrare più legittimi della tua e-mail di phishing standard.

Amazon

Amazon è un’altra società che ha così tanti utenti, vale la pena tentarne l’aggancio attraverso un tentativo di phishing generale. Ma anche gli utenti di Amazon dovrebbero fare attenzione agli attacchi di spear phishing. Nel 2015 si è verificato un enorme attacco mirato quando fino a 100 milioni di e-mail sono state inviate ai clienti Amazon che avevano recentemente effettuato un ordine. Le e-mail sembravano reali, con il titolo di “Il tuo ordine Amazon.com è stato spedito”, seguito da un codice d’ordine. Invece di un messaggio, l’e-mail includeva solo un allegato. L’apertura dell’allegato alla fine ha portato alcuni destinatari a installare Locky ransomware, che ha comportato un riscatto bitcoin.

Altri esempi comuni di truffe di phishing con lancia

A parte questi casi specifici, ecco alcuni scenari di esempio più generali che potresti incontrare. Questi tutti usano informazioni che potrebbero essere raccolte dai post dei social media, soprattutto se sei incline a divulgare informazioni su dove fai acquisti, mangi, banca, ecc.

  • Un’e-mail da un negozio online su un acquisto recente. Potrebbe includere un collegamento a una pagina di accesso in cui il truffatore raccoglie semplicemente le tue credenziali.
  • Una telefonata automatica o un messaggio di testo dalla tua banca che indica che il tuo account potrebbe essere stato violato. Ti dice di chiamare un numero o seguire un link e fornire informazioni per confermare che sei il titolare del conto reale.
  • Un’e-mail in cui viene indicato che il tuo account è stato disattivato o sta per scadere e devi fare clic su un link e fornire le credenziali. I casi che coinvolgono Apple e Netflix sono stati recenti esempi sofisticati di questo tipo di truffa.
  • Un’e-mail che richiede donazioni a un gruppo religioso o beneficenza associata a qualcosa nella tua vita personale.

Quando pensi a quante informazioni puoi trovare sui social media, è facile vedere come qualcuno potrebbe guadagnare rapidamente la tua fiducia semplicemente dichiarando un interesse comune o proponendoti come un’azienda con cui hai una storia.

Come evitare le truffe di phishing della lancia

Alcune statistiche piuttosto pertinenti sono emerse da uno studio Intel del 2015, che ha rivelato che il 97% delle persone non era in grado di identificare le e-mail di phishing. In effetti, in tutto il settore della sicurezza informatica, la principale pepita di consigli per prevenire tentativi di phishing di successo è l’educazione.

In questa sezione offriremo suggerimenti per aiutare sia gli individui che le imprese proteggere da queste truffe. Ne parleremo più dettagliatamente di seguito, ma ecco un elenco di passaggi attuabili che puoi intraprendere per combattere i tentativi di phishing di lancia riusciti:

  1. Aumentare la consapevolezza
  2. Usa gli strumenti per la difesa
  3. Cerca email false
  4. Evitare di fare clic su collegamenti e allegati
  5. Cerca i siti di phishing
  6. Evitare di inviare informazioni personali
  7. Verifica richieste sospette
  8. Usa password complesse e un gestore di password

Ora diamo un’occhiata più da vicino a ciascuno di questi passaggi.

Aumentare la consapevolezza

Come con qualsiasi truffa, uno dei modi migliori per evitarlo è quello di prendere coscienza di come avviene la truffa. La condivisione delle informazioni con amici, familiari e colleghi può aiutare a impedire che anche loro diventino vittime. Se sei un imprenditore, lo è fondamentale per garantire che i dipendenti siano istruiti sul tema degli attacchi di phishing, in particolare il phishing di spear.

Puoi rimanere aggiornato su questi argomenti leggendo blog come il nostro e quelli dei principali fornitori di software di sicurezza, come McAfee e Norton.

Per le aziende, puoi effettivamente eseguire un test gratuito per guarda quanto sono “inclini al phish” i tuoi dipendenti. Sulla base di tali risultati, è possibile decidere la migliore linea di azione da intraprendere per migliorare la formazione e prevenire tentativi di phishing riusciti. Aziende come KnowBe4 forniscono formazione sulla consapevolezza della sicurezza contro tali attacchi.

Usa gli strumenti per la difesa

Mentre l’educazione e la consapevolezza sono alcune delle migliori difese là fuori, gli strumenti siamo disponibile per aiutare a difendersi dagli attacchi di phishing. Questi sono particolarmente utili per le aziende in cui molto è in gioco se un tentativo dovesse avere successo. Alcuni degli strumenti disponibili includono PhishDefender di InfoSec e Cofense (precedentemente PhishMe).

Per gli individui, i principali provider di posta elettronica stanno intensificando il gioco quando si tratta di tattiche anti-phishing. Con l’aiuto di tecniche di apprendimento automatico, Gmail afferma di bloccare il 99,9% delle e-mail di spam.

Cerca email false

Abbiamo un intero post dedicato a individuare e-mail di phishing, ma qui ci sono i principali takeaway:

  • Non fidarti dei nomi visualizzati poiché possono essere qualsiasi cosa un truffatore vuole che siano.
  • Verifica la presenza di domini di posta elettronica falsi; spesso saranno versioni leggermente diverse della cosa reale.
  • Guarda il logo e altre immagini; le immagini a bassa risoluzione possono essere un omaggio.
  • Esamina attentamente i link passando con il mouse sopra il testo del collegamento (senza fare clic). Un collegamento diverso da quello nel testo del collegamento è un segno di un collegamento dannoso.
  • Cerca errori di ortografia e grammatica, poiché questo può essere un segnale rivelatore che non è un messaggio legittimo.

Le e-mail e i messaggi di spear phishing sono altamente mirati, quindi vale la pena impegnarsi da parte del criminale a trascorrere del tempo facendoli sembrare il vero affare. In quanto tali, stanno diventando sempre più sofisticati e difficili da individuare. Potrebbe essere necessario eseguire più controlli e anche in questo caso potrebbero coprire tutte le basi.

Evitare di fare clic su collegamenti e allegati

Come accennato in precedenza, i collegamenti possono portare a siti Web contenenti malware, pubblicità spam e tracker. Allo stesso modo, un allegato può contenere virus o malware e non dovrebbe mai essere aperto a meno che tu non sia assolutamente sicuro della fonte.

Un'e-mail Walmart falsa contenente un collegamento di phishing.Un’e-mail Walmart falsa contenente un collegamento di phishing.

Alcune e-mail conterranno solo un collegamento o un allegato senza nessun altro messaggio, probabilmente indirizzando il senso di curiosità del lettore per spingerli a fare clic.

Il miglior consiglio? Non fare semplicemente clic su collegamenti o allegati se si sospetta.

Cerca i siti di phishing

Se ti capita di fare clic su un collegamento in un’e-mail e finisci per passare a un sito Web, puoi fare alcuni controlli per rilevare un impostore. Ancora una volta, abbiamo un intero post dedicato a individuare siti Web fasulli, ma qui ci sono i principali suggerimenti:

  • Controlla l’URL per vedere se corrisponde a ciò che è nella pagina.
  • Verifica la presenza di un certificato SSL / TLS (un simbolo di lucchetto verde e / o “https” nella barra degli indirizzi).
  • Cerca una pagina di navigazione o un piè di pagina, tra cui una pagina “Informazioni”, politica sulla privacy, condizioni d’uso o di servizio e dettagli di contatto.
  • Controlla l’ortografia e la grammatica corrette; come per le e-mail, la cattiva scrittura può essere un indicatore di un sito falso.
  • Diffidare delle affermazioni “troppo buone per essere vere”; spesso sono proprio questo.
  • Cerca altrove per le recensioni di aziende sconosciute.
  • Controlla il copyright è aggiornato; in caso contrario, è probabilmente un sito falso.

In altri casi, fare clic su un collegamento può semplicemente portare a una pagina vuota. Se hai fatto clic su un collegamento e sospetti che il malware possa essere stato scaricato, vari strumenti possono rilevarlo e rimuoverlo.

Evitare di inviare informazioni personali

Le aziende legittime raramente richiedono informazioni personali via e-mail. Se ricevi un’email o un SMS che ti chiede di fornire dettagli come il tuo indirizzo, numero di previdenza sociale o informazioni bancarie nel corpo di un’e-mail o di un messaggio di testo, è molto probabile che si tratti di un tentativo di phishing.

Un’e-mail autentica in genere fornisce l’indirizzo di un sito a cui accedere (senza collegamento), fornisce un collegamento su cui fare clic o fornisce un numero da chiamare. Tenere presente, tutti questi scenari potrebbero anche essere tattiche di phishing più sofisticate, quindi dovrebbe essere verificato (più su quello sotto).

Verifica richieste sospette

Se hai dei sospetti su un’e-mail o un altro messaggio, non visitare il sito o chiamare il numero fornito. Se ritieni che possa essere autentico ma non sei sicuro, puoi provare a verificarlo prima.

Un modo per farlo è semplicemente eseguire una ricerca per l’e-mail o il numero di telefono fornito. Se si tratta di una truffa nota, è probabile che vedrai risultati che indicano altrettanto.

Un altro metodo di verifica più affidabile è semplicemente chiamare o inviare un’e-mail all’azienda per verificare se si tratta di una richiesta reale. Tuttavia, dovresti contattare l’azienda tramite un numero di telefono o e-mail dal suo sito Web effettivo, non le informazioni di contatto trovate nell’e-mail.

Usa password complesse e un gestore di password

Se sospetti di essere stato vittima di un tentativo di phishing o di ricevere una notifica in quanto tale (da una fonte sicuramente attendibile), dovresti prendere in considerazione la possibilità di modificare la password. L’utilizzo di una password complessa è importante in quanto può aiutare a prevenire altri attacchi come gli attacchi di forza bruta.

Se ricordare le password sembra troppo difficile, un gestore di password può essere d’aiuto. Un altro vantaggio di questi strumenti è che essi può aiutarti a rilevare un sito di phishing per impostazione predefinita. I gestori di password funzionano inserendo automaticamente le tue informazioni in siti noti, quindi non funzioneranno su domini sconosciuti (compresi i falsi). Questo non è qualcosa su cui fare affidamento, ma può fungere da backup.

Se ti viene mai chiesto di cambiare una password, non seguire mai il link nell’email o nel messaggio di testo. Vai direttamente al sito Web e modificalo lì. In questo modo, sei coperto se il messaggio è legittimo o meno.

Correlati: oltre 70 truffe comuni (online e offline) e come evitarle; Truffe comuni di phishing e come riconoscerle ed evitarle.

Credito immagine principale: “Freccette” sotto licenza CC BY 2.0

1 thought on “Cos’è il phishing di spear (con esempi) e come puoi evitarlo

  1. be un modo per guadagnare la tua fiducia e ottenere informazioni personali. È importante essere consapevoli di questi tipi di truffe e non fornire mai informazioni personali a persone o siti web sconosciuti. Attacchi alle imprese Le imprese sono spesso bersaglio di tentativi di spear phishing, poiché i truffatori cercano di ottenere informazioni sensibili come dati dei clienti, informazioni finanziarie o proprietarie. Questi attacchi possono essere molto sofisticati e coinvolgere linvio di e-mail o messaggi di testo che sembrano provenire da fonti affidabili, come fornitori o clienti. Ad esempio, un truffatore potrebbe inviare une-mail che sembra provenire da un fornitore di servizi di pagamento, chiedendo di aggiornare le informazioni dellaccount. Se lazienda cade nella trappola e fornisce le informazioni richieste, il truffatore potrebbe accedere allaccount e rubare denaro o informazioni sensibili. È importante che le aziende adottino misure di sicurezza adeguate per proteggere le informazioni sensibili e formare i dipendenti su come riconoscere e prevenire i tentativi di spear phishing. In generale, è importante essere consapevoli dei rischi del phishing e adottare misure di sicurezza adeguate per proteggere le informazioni personali. Ci sono molti strumenti disponibili per aiutare a prevenire i tentativi di phishing, come software antivirus e filtri anti-spam. Inoltre, è importante essere cauti quando si ricevono e-mail o messaggi di testo sospetti e non fornire mai informazioni personali a persone o siti web sconosciuti.

Comments are closed.