Principale Cronaca Tutti i grandi attacchi hacker nascono da piccoli errori di singoli

Tutti i grandi attacchi hacker nascono da piccoli errori di singoli

Errori che dipendono generalmente dalla distrazione, qualche volta dalla scarsa competenza, più spesso la colpa è di risposte veloci alle urgenze. I criminali lo sanno e perciò usano il fattore umano come leva per conseguire i loro scopi

di Alessio Nisi

© SILAS STEIN / DPA / DPA PICTURE-ALLIANCE
– Hacker, attacco informatico

 

AGI –  Il 95% delle violazioni informatiche con furto di dati (i cosiddetti databreach) dipende dall’errore fatto da qualcuno. A volte dipende dalla distrazione, qualche volta dalla scarsa competenza, più spesso la colpa è di risposte veloci alle urgenze. I criminali lo sanno e perciò usano il fattore umano come leva per conseguire i loro scopi.

È quanto emerge da uno studio di IBM, ripreso da Yoroi, società di cybersecurity, per inquadrare e mettere in guardia gli utenti dal phishing, quelle violazioni informatiche che iniziano proprio “hackerando gli umani”, come ha sottolineato la compagnia fondata e guidata da Marco Ramilli. Una truffa molto diffusa. Secondo Yoroi, solo in Italia si assiste ogni settimana a circa 20 campagne di phishing.

La persuasione

Le tecniche usate per il phishing sono diverse, ma la principale è basata sull’ingegneria sociale. La social engineering si fonda sulla persuasione e può essere sintetizzata “come la capacità di indurre qualcuno a fare qualcosa che non farebbe di propria spontanea iniziativa”: rispondere a un’email fraudolenta che ci induce a compiere un’azione a nostro discapito, fornire le credenziali di accesso alla nostra email, al social network preferito o al profilo che usiamo per gli acquisti online e le transazioni bancarie.

Le scuse inventate dai furfanti sono molte: “Il tuo conto è bloccato, se vuoi operare, reinserisci le credenziali. Vai al sito xxxx” oppure “Approfitta oggi dello sconto, per ogni acquisto potrai partecipare all’estrazione di un nuovo iPhone”.

Così “pescano” i nostri dati

Al cuore dei furti di credenziali e della sostituzione di identità c’è spesso un’email di phishing, che serve appunto a “pescare” i nostri dati. “Combattere il phishing è cruciale per proteggere le nostre attività digitali e online.

Si può fare con la formazione e l’educazione all’uso critico della Rete e con strumenti di rilevamento automatico”, ma siccome i furfanti digitali diventano sempre più bravi ad aggirare le nostre difese, una possibilità è quella di fermare i criminali andando alla fonte.

L’evoluzione delle tecniche di phishing

Gli attacchi di phishing possono essere diversi poiché i malintenzionati diventano sempre più sofisticati e creativi nelle loro tecniche. I tipi di phishing più comuni sono lo spear phishing, cioè il phishing mirato a certe categorie di bersagli, il clone phishing, basato sulla costruzione di siti ad hoc, il vishing e lo Smsihing, le telefonate e i messaggi fraudolenti, le violazione delle email aziendali note come truffe BEC, Business email compromise.

Una recente tecnica è nota come Multi-Factor Authentication (MFA) Fatigue. “Il criminale in questo caso esegue uno script in cui tenta di accedere più volte a servizi altrui con le credenziali rubate”, inviando così un’ondata di richieste all’utente fino a che per sbaglio la vittima arrivi ad accettare la richiesta fraudolenta.

I phishing kit

Il phishing è dunque una tattica fraudolenta che, sfruttando la fiducia di chi riceve un messaggio e-mail, cerca di rubare dati sensibili come le credenziali di accesso a un servizio online, i numeri del conto corrente o le informazioni relative alle carte di credito. Questi messaggi e il loro invio tramite e-mail sono pensati per arrivare a quante più vittime possibili e quindi la procedura per comporli, inviarli e raccoglierne i frutti è basata sui grandi numeri.

Per questo i criminali utilizzano sempre più spesso procedure automatizzate: i kit di phishing. Dal punto di vista dell’attaccante la creazione di una buona copia del sito legittimo costa poi lavoro; perciò, i phishing kit sono molto utilizzati nell’underground criminale.

Strumenti pronti all’uso. I phishing kit sono strumenti “pronti all’uso” distribuiti sul darkweb e in grado di fornire a cybercriminali (anche inesperti) la capacità di creare siti adatti al phishing. La società di cybersecurity Yoroi insieme all’Università di Bologna e a quella di Modena-Reggio Emilia hanno intercettato e classificato più di 2 mila di questi kit truffaldini.

Come funziona. Un tipico messaggio di phishing può presentarsi in questo modo: “Gentile cliente, ti aspettiamo nel nuovo negozio di via San Martino 12F a Milano. Per te sconto di 30€ per ogni 150€ di spesa, valido fino al 5/10/2022. Non perdere l’occasione. Info privacy bit.ly/dT57?N0ud”. Una volta cliccato sul link si viene rediretti su un sito web dove immettere credenziali che verranno usate dai criminali per truffe successive.

LASCIA UNA RISPOSTA

Inserisci il tuo commento, grazie!
Inserisci il tuo nome qui, grazie

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.