Il vecchio metodo della truffa via email, per adescare le vittime con l’inganno (phishing), è sempre uno dei canali preferiti dai criminal hacker – o aspiranti tali – che lo utilizzano per compiere varie azioni illegali: dalla diffusione del malware alla sottrazione delle credenziali o dei dati e delle informazioni sensibili per raggiungere altri scopi.
In questo mondo alquanto variegato, che non sembra conoscere battute d’arresto, si sono di recente affacciate altre due varianti di phishing che utilizzano due canali diversi, con le stesse finalità. Si tratta di smishing e vishing.
Sms, occhi aperti
Lo smishing, anche noto come Sms phishing è un tipo di attacco di social engineering che utilizza, appunto, gli Sms per trarre in inganno le vittime.
Questa forma di truffa ha sempre lo scopo di sottrarre i dati dell’utente – le informazioni personali (data di nascita, residenza, etc…), per compiere ulteriori azioni criminali, ma anche le informazioni finanziarie e le credenziali di accesso per puntare a tutti gli account collegati al device bersaglio.
Come se non bastasse non è raro che questi schemi siano un metodo per ottenere conti “ignari” per riciclare denaro.
L’attacco di smishing è similare al classico phishing: alla vittima viene recapitato un messaggio Sms contenente un link malevolo. Questo messaggio ha lo scopo d’ingannare colui che lo riceve a cliccare sul link che reindirizza l’utente su una landing page ad hoc allestita per raccogliere le informazioni personali.
Una delle campagne più famigerate di smishing è stata sicuramente Lucky Draw che, nel febbraio di questo anno, ha preso di mira gli utenti Nokia nel subcontinente indiano. Le inconsapevoli vittime si sono viste recapitare un semplice Sms che le informava di aver vinto un concorso ad estrazione con dei premi (da qui il nome Lucky Draw).
Nel corpo del messaggio, che aveva come mittente Nokia.com online shopping Pvt Ltd.co, al malcapitato venivano offerti come premio o una macchina Tata o l’equivalente di circa 17mila euro in rupie indiane.
Per ricevere la “fortunata” vincita, però, si doveva versare circa 90 euro su un conto Paypal, obiettivo finale della campagna di smishing.
Messaggi vocali fuorvianti
Non sono solo i messaggi uno dei nuovi metodi prediletti dai criminal hacker per portare avanti le loro campagne di phishing.
Il vishing, crasi di voice phishing, è un tipo di criminal scamming che utilizza messaggi vocali per ottenere informazioni personali e soldi dalle vittime. Solitamente questi messaggi sono preregistrati in maniera da ingannare efficacemente i destinatari e dare un tono ufficiale alla transazione illegale.
Tipicamente, una chiamata automatica viene indirizzata al telefono della vittima informandola che il proprio conto corrente è stato violato. Il messaggio prosegue chiedendo di chiamare un apposito numero verde che, non appena contattato, comincia a loggare i dettagli dell’account bancario attraverso il keypad del telefono.
Un esempio lampante di questo tipo di truffa è quanto accaduto ai danni della compagnia area Singapore Airlines. La campagna di vishing, in maniera similare a quella che aveva colpito Nokia, annunciava ai clienti della compagnia di aver vinto dei biglietti aerei omaggio e che per riceverli le vittime avrebbero dovuto unicamente digitare i propri dati personali e finanziari chiamando il numero verde creato ad hoc per sottrarli.
Un fenomeno in crescita
Smishing e vishing sono solo due esempi di un fenomeno in rapida espansione: negli ultimi anni gli aggressori hanno portato gli attacchi di phishing a un livello di sofisticazione completamente nuovo.
Giocano attivamente sulle emozioni delle persone e dei consumatori per sferrare i loro colpi e rubare le informazioni sensibili senza che le vittime ne siano consapevoli. Secondo un recente studio le tattiche di social engineering hanno trovato i migliori risultati se indirizzate contro i quadri dell’azienda (team HR, amministrazione, team di supporto…).
Le nuove metodologie
Con un’ampia gamma di obiettivi, i criminal hacker cominciano a variare le proprie campagne in base al proprio target, dimostrando un livello di creatività mai registrato prima.
Alcuni dei migliori esempi:
- Servizi o storage cloud finti: per bypassare il gateway di sicurezza presente nella maggior parte dei client mail, nel 2019 i criminal hacker sono passati al cloud storage come DocuSign, Dropbox, Box link e Microsoft Cloud Services.
- Brain food: Più comune rispetto al primo esempio, queste campagne sfruttano la recente “mania” per integratori e prodotti bio promuovendo falsi prodotti o pillole.
Sicuramente le aziende che si occupano di marketing sono state tra i principali obiettivi tra il 2018 e il 2019. Queste, nonostante l’avvento del Gdpr, detengono una buona quantità di informazioni sensibili relative ai loro clienti – come nome, ubicazione e possibilmente professione – questo le rende bersagli più che ambiti per i criminali informatici
Anche il settore immobiliare ha visto un buon numero di attacchi di phishing nel 2019. I truffatori hanno ingannato le industrie immobiliari con e-mail che in genere si occupavano di transazioni di fondi che devono essere effettuate immediatamente.
I rimedi contro il phishing
Sfortunatamente, il problema nell’affrontare il phishing è legato all’importanza che il fattore umano ricopre nella riuscita di questi attacchi. È una questione di formazione quasi quanto più che di strumenti. Per questo servizi come il Phishing Human Risk Checkup sono fondamentali.
Permettono infatti di proteggere l’azienda su due fronti: identificando l’esposizione al rischio phishing aziendale ed educando i dipendenti a riconoscere e identificare le mail malevoli.
Un percorso in quattro fasi
- Test: Attraverso l’attività di phishing simulation, che replica in tutto e per tutto un attacco, viene identificato e misurato il livello di rischio phishing e rischio fattore umano dell’azienda;
- Learn: In base al risultato della fase di test, viene condotta una attività di formazione e awareness con lo scopo di indicare come funzionano gli attacchi di phishing, le tattiche utilizzate dagli hacker e come riconoscere ed evitare un attacco di phishing;
- Verify: La seconda attività di phishing simulation ha l’obiettivo di identificare e misurare il rischio phishing e il rischio fattore umano dell’azienda dopo aver effettuato la fase di Learn;
- Kpi: Misura l’efficacia per programma e l’efficacia della formazione.
Il phishing non è scomparso con il passare degli anni, anzi è ancora più insidioso del giorno in cui è comparso. Le soluzioni per contrastarlo esistono. Ora è il momento di giocare d’anticipo.
© RIPRODUZIONE RISERVATA