“Il phishing è in aumento”, “Attenzione al phishing”, “Difenditi dagli attacchi di phishing e dalle sue conseguenze”.
Questi sono solo alcune delle frasi che si sentono sempre più spesso in tema di sicurezza informatica e di cybercriminalità. Ma cos’è esattamente il phishing? Quali sono le sue conseguenze?
Significato di phishing e caratteristiche dell’attacco
Il termine “phishing” è stato utilizzato per la prima volta nel 1996 per indicare “una truffa mediante la quale un utente di Internet viene indotto a rivelare informazioni personali o riservate che il truffatore può utilizzare illecitamente“.
Allargando un po’ il cerchio, oggigiorno il termine indica tutte quelle attività in cui un malintenzionato cerca di ingannare la vittima convincendola, attraverso una comunicazione digitale, a compiere un’azione volta a ottenere informazioni personali/dati di accesso/finanziari ecc. Tali comunicazioni imitano, nell’aspetto e nel contenuto, comunicazioni da parte di persone o enti affidabili (es. banche, istituti governativi).
I canali utilizzati per compiere attacchi di phishing
Tra i canali adoperati per lanciare attacchi di phishing vi sono:
- Email (il canale più utilizzato)
- SMS
- Servizi di messaggistica istantanea (es. WhatsApp, Facebook Messenger ecc.)
- Altri canali (es. gli hacker potrebbero creare un clone del sito ufficiale di un ente bancario per portare l’utente a rivelare le sue credenziali ecc.)
Le azioni richieste all’utente per portare a segno un attacco di phishing
Gli attacchi di phishing, per poter generare danni, hanno generalmente bisogno dell’intervento di un utente. Il termine infatti sembrerebbe essere una variante del termine “fishing”, cioè pescare in lingua inglese, probabilmente alludendo al fatto che, per far sì che queste truffe siano portate a termine, c’è bisogno che la vittima compi un’azione, cioè che “abbocchi” all’amo lanciato dal cybercriminale.
Tra le azioni che l’utente è portato a compiere quando riceve un attacco di phishing vi sono:
- Click su un link
- Download di un file, applicazione ecc.
- Inserire credenziali, informazioni di pagamento ecc. in un sito “clone” del sito ufficiale di un’organizzazione/servizio
- Eseguire l’ordine di trasmettere, in risposta alla comunicazione ricevuta, informazioni personali o finanziarie importanti per “confermare” (di fatto, fornire) i dati richiesti (es. un venditore fraudolento che chiede di inviare fotocopia della carta d’identità).
Conseguenze di un attacco di phishing
Le conseguenze di un attacco di phishing non sono mai piacevoli e possono variare per gravità e impatto. Sintetizzando, le principali conseguenze che possono verificarsi a seguito di un attacco hacker sono quelle presentate di seguito.
Conseguenze economiche
Es. acquisti con la carta di credito di cui sono stati rubati i dati, prelievi o trasferimenti di denaro non autorizzati ecc. In questi casi la persona o l’organizzazione potrebbe anche trovarsi ad affrontare un blocco del mezzo di pagamento o del conto corrente.
Ulteriori attacchi informatici
Spesso gli attacchi di phishing vengono utilizzati per intromettersi nell’infrastruttura aziendale per sferrare successivamente altri attacchi informatici con tecniche quali ransomware e malware.
Estromissione dall’accesso ai servizi
Se vengono rubate le credenziali di accesso, la loro compromissione impedisce all’utente di poter accedere normalmente al servizio, portando a rallentamenti, disservizi o blocchi totali.
Furto d’identità
Il cybercriminale può usare l’identità della persona per effettuare azioni le cui conseguenze cadranno sulla persona truffata (o sull’azienda che eventualmente rappresenta).
A titolo di esempio: l’acquisto di un prodotto senza pagarlo.
Azioni illegali come attività di riciclaggio di denaro.
Pubblicazione sui social della persona di documenti riservati/contenuti diffamatori ecc.
Gravi conseguenze in termini di reputazione
Strettamente connesso al furto d’identità, il phishing può compromettere in modo irreparabile l’affidabilità percepita della persona o azienda.
Questo perché il criminale, spacciandosi per l’utente aggirato, può inviare comunicazioni attraverso i canali aziendali a clienti, colleghi, fornitori, contatti volte a truffare questa rete (es. farsi inviare informazioni, documenti ecc.)
Basti pensare a un cybercriminale che, fingendosi un dipendente, contatta un cliente dell’azienda per comunicargli che l’IBAN aziendale indicato in precedenza era “sbagliato” e di effettuare quindi il pagamento verso un altro conto.
Questo comporta:
- Truffe ai danni di clienti, fornitori, partner, dipendenti…
- Conseguente perdita di fiducia da parte degli interlocutori che potrebbero decidere di avvalersi di altre aziende al posto dell’azienda truffata (perdita di fatturato/di fornitori validi ecc.)
- Il dover dimostrare, in caso di truffe ai danni di questi, di non essere il responsabile dei fatti (dimostrazione che può rivelarsi non solo molto complessa ma anche molto costosa a causa delle spese giudiziali)
- Anche se l’azienda riuscisse a dimostrare la sua innocenza, il suo nome potrebbe finire a causa di questo incidente in un elenco di pagatori non affidabili, vedendosi rifiutare finanziamenti o sovvenzioni statali anche a distanza di anni.
Vuoi imparare a difendere la tua organizzazione dagli attacchi di phishing e dalle loro conseguenze?
Scopri il nostro programma User Awareness Program!
