Tra le minacce alla sicurezza informatica il Phishing è costantemente una delle più rilevate dai report e delle analisi effettuati a livello globale. Paradossalmente, però, il pubblico dei non addetti ai lavori fatica ancora a inquadrarne perfettamente i contorni, dal momento che non si tratta di una minaccia estremamente visibile, come ad esempio i classici virus informatici in grado di mandare in crash i nostri dispositivi. In effetti il Phishing è qualcosa di decisamente più subdolo, che agisce sfruttando l’emotività e il basso tasso di informatizzazione degli internauti, per carpire quello che poi interessa davvero ai cybercriminali. Ovvero dati e informazioni personali, che potranno essere usati direttamente o- molto più spesso- ceduti ad altri soggetti in cambio di soldi sul Dark Web. Ma, come sempre, è meglio partire da una definizione che ci aiuti a inquadrare il tema e a capire perché lo dobbiamo temere.
Come chiarisce infatti il Clusit, il termine phishing, che nasce dall’unione del verbo inglese “fishing” (pescare) a “phreaking” (una sorta di intrusione nei sistemi telefonici), indica una tecnica fraudolenta che punta principalmente ad ottenere i dati personali di clienti di banche, servizi finanziari e servizi on-line (codici, password, dati della carta di credito, ecc), convincendo l'utente a fornirglieli con falsi pretesti. La modalità classica del phishing presuppone la ricezione di una e-mail, in apparenza proveniente da organizzazioni note al grande pubblico (banche, società finanziarie, ecc) o da siti web che richiedono l'accesso previa registrazione (web-mail, e-commerce ecc.). In questi messaggi di phishing, nei quali è spesso possibile notare una grammatica italiana non del tutto perfetta, si fa di norma riferimento all’esistenza di problemi di registrazione o di altra natura, invitando così l’utente a fornire i propri dati di accesso al servizio. Proprio per risolvere il problema, gli hacker inseriscono un link che – in apparenza - rimanda al sito web dell’organizzazione. In realtà il malcapitato finisce su un sito creato ad hoc dai cybercriminali, dove le informazioni rivelate vengono archiviate e poi utilizzate a scopo di lucro. Un’alternativa è la presenza di file di cui si richiede il download, che permettono in realtà agli hacker di eseguire azioni non consentite sugli endpoint, sempre con il medesimo obiettivo: sottrarre denaro e informazioni sensibili.
Basti pensare che il cybercrime non si è fatto scrupoli a sfruttare la pandemia da Covid-19 per i propri interessi: a partire da marzo del 2020 le caselle di posta elettronica di tutto il mondo sono state bersaglio di messaggi di Phishing, in apparenza provenienti dall’Organizzazione mondiale della Sanità o da altri istituti pubblici per la prevenzione della malattia. In realtà, lo sfruttamento del Covid-19 non è casuale: i cybercriminali hanno sempre cercato di collegarsi a fatti di attualità (uno dei primi esempi fu l’uragano Katrina) o a ricorrenze del momento. La logica è semplice: fatti noti al grande pubblico tendono a catturare l’attenzione degli utenti, aumentando così la probabilità di lettura del messaggio di phishing e la cessione di informazioni sensibili. Con il tempo, alle azioni di phisghing massive, che adottano cioè il metodo della “pesca a strascico”, si sono affiancate anche azioni più mirate, che vengono definite di business email compromise, in cui gli hacker sfruttano differenti informazioni ottenute da fonti diverse di una medesima organizzazione, con l’intento di aumentare la propria credibilità presso il destinatario finale del messaggio. Che può essere indotto persino a eseguire bonifici o pagamenti di varia natura, nella convinzione che l’ordine sia partito dal Ceo o da qualche altro superiore. Nonostante tutte le contromisure approntate contro il phishing, questa tecnica di attacco resta un investimento estremamente profittevole per il cybercrime: secondo l’ultimo report del Clusit nel 2019 le tecniche di Phishing e Social Engineering hanno segnato un +81,9% rispetto al 2018, arrivando a rappresentare il 17% del totale delle minacce censite.
La grande domanda è, naturalmente, come è possibile difendersi dal phishing e, soprattutto, riconoscere che si tratti di messaggi di questo tipo e non di mail veritiere? Nonostante l’accuratezza crescente, esistono alcune caratteristiche che permettono di identificare buona parte dei messaggi di phishing. La prima mossa è proprio quella di interrogarsi sulla “legittimità” della richiesta ricevuta: un servizio di home banking, e-commerce, ecc. non chiederà mai i codici di accesso, numeri di carta di credito, codici bancomat o password inviando e-mail o messaggi sul telefono. I gestori di questi servizi, infatti, sono ben cosci dei rischi insiti nella divulgazione dei dati dei propri utenti (con conseguenze anche normative, come previsto dal GDPR) e non faranno mai richieste di questo tipo. Se lo facessero, ci sarebbe davvero da preoccuparsi e sarebbe più che opportuno cambiare gestore, così da mantenere al sicuro i propri dati. Se proprio si fosse ancora nel dubbio, è bene dare un’occhiata attenta all’indirizzo del mittente: nel phishing gli hacker utilizzano un indirizzo e-mail che assomiglia molto a quello dell’organizzazione “affidabile” da cui dovrebbe provenire il messaggio, ma ovviamente sono costretti ad alterare o omettere alcuni caratteri rispetto a quello ufficiale. Un discorso simile può essere fatto per i link e collegamenti ipertestuali presenti nel testo: un consiglio utile, prima di cliccarci senza ragionare, è quello di visualizzare con il mouse l’indirizzo effettivo di destinazione che, nel caso di phishing, non porterà certo al sito ufficiale della compagnia. Come abbiamo poi accennato in precedenza, un aiuto all’individuazione della minaccia può arrivare dalla lettura del testo: gli hacker non possono certo affidarsi a dei traduttori professionisti, ma impiegano dei programmi automatici, che fanno suonare un po’ strano l’italiano delle lettere di phishing. Che dunque può contenere veri e propri errori di ortografia e grammaticali, nonché la presenza di saluti e firme generiche, come i classici "Gentile cliente stimato" o "Signore / Signora", che non vengono mai utilizzati in una comunicazione ufficiale.
Ovviamente, questo genere di errori tende a essere meno evidente nei casi di attacchi più sofisticati, come quelli di Business email compromise; in questi casi, piuttosto, l’unica possibilità di evitare danni è di interrogarsi seriamente sulla legittimità della richiesta che arriva dal mittente. Vale comunque sempre la regola di massima di non fornire informazioni personali o sulla propria organizzazione, a meno di non avere l’assoluta certezza sull’identità del proprio interlocutore. Magari contattando direttamente il presunto interlocutore o l’azienda del messaggio in questione. Oltre a innalzare la soglia dell’attenzione, occorre sfruttare tutte le possibilità di difesa offerte dalla tecnologia: il riferimento, in particolare, è alle funzionalità anti-phishing offerte dal client di posta elettronica e dal browser web. Un ulteriore supporto arriva dai software antivirus, firewall, filtri e-mail e dal regolare aggiornamento di software e OS, che possono limitare sensibilmente le conseguenze peggiori degli attacchi di phishing. Le aziende, poi, hanno a disposizione l’arma più potente di tutti, quella della formazione dei propri dipendenti, che possono essere sensibilizzati a dovere su questa minaccia ed evitare così di compiere azioni irreparabili basate sull’emotività.
La formazione è particolarmente importante perché tutto lascia pensare che, nel prossimo futuro, assisteremo a una ulteriore recrudescenza del phishing: la posta elettronica continuerà a essere il meccanismo privilegiato, ma già oggi si sta assistendo a un aumento dell'uso di messaggistica sui social media, WhatsApp e altri vettori per condurre questi attacchi. Gli hacker, inoltre, potranno sempre più contare su soluzioni basate sull’AI per preparare e inviare i messaggi, rendendo ancora più pericoloso e difficilmente riconoscibile il phishing .