Spear Phishing: Ce este?

Spear phishing: che cos’è?

⌛ Reading Time: 3 minutes

Il 12 gennaio 2016 è stato lanciato un attacco informatico che ha interessato 80.000 clienti di un fornitore di servizi elettrici ucraini (Prykarpattyaoblenergo). Questa è stata la prima volta che abbiamo potuto documentare e confermare completamente che un’interruzione di corrente è stata causata da hacker da una posizione remota. Questi hacker non hanno sempre le migliori attrezzature o risorse. In cambio hanno un atteggiamento e un talento che si confrontano con le salvaguardie con un unico principio in mente: l’anello più debole in un sistema di sicurezza è l’essere umano che lo utilizza.

Un’indagine sull’attacco di cui sopra è giunta alla conclusione che si trattava di un incidente di spear phishing. Sebbene questo argomento sia stato discusso brevemente in un articolo precedente, sospetto che questo sia un momento opportuno per approfondire l’argomento e offrire quante più informazioni cruciali possibili su questo tipo di attacco.

Che cos’è lo spear phishing?

La magia dello spear phishing consiste nel raccogliere informazioni su un individuo (data di nascita, nome, altre informazioni rilevanti) prima di eseguire l’attacco. L’attacco stesso incorporerà tali informazioni per convincere l’individuo che il mittente è un’entità legittima che “conosce” la vittima. Lo spear phishing è pericoloso perché utilizza il rapporto tra un individuo e un’organizzazione per raggiungere il suo scopo che di solito comporta l’acquisizione di informazioni cruciali e utili (spesso di natura finanziaria, ma non sempre, come nel caso del furto di identità) sulla vittima.

Il sito web dell’FBI utilizza l’estensione esempio ipotetico di hacker che imitano un’azienda di telecomunicazioni e inviando ai suoi clienti un collegamento a una pagina fasulla dove avrebbero inserito le loro date di nascita e numeri di previdenza sociale. Questo è un esempio da manuale di ciò che ho descritto sopra. Di solito, le vittime di spear phishing sono spesso collegate in qualche modo. Di solito sono clienti della stessa azienda, colleghi o compagni di classe.

Differenza tra Spear Phishing e Plain Old Phishing

Il tipico stile tradizionale di phishing prevede l’invio di e-mail a caso a un lungo elenco di persone. Gli hacker sperano di ottenere qualche risposta, ma la maggior parte delle persone non cadrà vittima di questo attacco. A causa della sofisticazione dietro lo spear phishing, è molto più efficace e con maggiori probabilità di produrre vittime anche tra persone che dovrebbero sapere meglio che fidarsi di tali email. Alcuni attacchi di spear phishing utilizzano persino indirizzi ufficiali delle aziende che stanno imitando (una pratica nota come spoofing), rendendoli estremamente pericolosi.

Gli hacker intelligenti, invece di guardare una grave perdita di database (come quello che Target ha subito nel marzo 2014) come un elenco di e-mail casuali a cui possono sparare per scherzi e risatine, considera quell’elenco come un’opportunità per utilizzare le informazioni raccolte per vittimizzare i clienti utilizzando la loro fiducia nell’azienda come esca. Perverso? Sì. Malizioso? Assolutamente. Elegante? Oh si!

Come armarti contro di essa

Per combattere lo spear phishing, la prevenzione è fondamentale. Devi operare in base al principio che nessuna azienda ti chiederà informazioni personali tramite un messaggio di posta elettronica. Non chiamare mai il numero di telefono di un’azienda utilizzando quello fornito nell’e-mail poiché potrebbe essere di proprietà e gestito dagli hacker piuttosto che dall’entità aziendale. Dovresti sempre cercare il numero di telefono ufficiale dell’azienda e chiamarla se ricevi una potenziale email di phishing.

Se l’email proviene da un amico o un familiare, richiamalo invece di rispondere via email. L’indirizzo potrebbe essere falsificato.

Qualche altro consiglio per evitare che le persone cadano vittime di spear phishing? Raccontaci di loro in un commento!