Antivirus e sicurezza

Qual è la differenza tra phishing e spear phishing

07 Ottobre 2020

Quanti sono, secondo te, gli utenti che navigano ogni giorno online consapevoli dei rischi che corrono e che si nascondono anche dietro “semplici” email?

Molto pochi, te lo assicuro.

E potenzialmente anche i tuoi clienti potrebbero non rientrare in questa categoria, soprattutto se parliamo di phishing e spear phishing.

Chi meglio di te che sei un MSP (Managed Service Provider) può fornire loro informazioni e conoscenze sul tema?

Ecco perché è importante che anche tu sia sempre ben informato e aggiornato sull’evoluzione degli attacchi informatici.

Ma andiamo con ordine.

Phishing: cos’è e come riconoscerlo

Idealmente questa tecnica di hacking consiste nel “lanciare una rete” con lo scopo di “pescare” potenziali vittime da colpire e, ovviamente, danneggiarle in qualche modo.

Tecnicamente la “rete” viene lanciata attraverso messaggi di posta elettronica progettati talmente bene da indurre l’utente a fare click su di un link creato ad hoc che lo porterà in automatico ad una finta pagina web.

Mettiamo caso che si tratti di una richiesta di aggiornamento credenziali del proprio home banking, una volta arrivato qui, l’hacker raccoglierà facilmente le informazioni e i dati personali che gli occorrono per compiere le sue azioni criminose.

Non esagero quando dico che è quasi impossibile riconoscere un attacco di questo tipo perché gli indirizzi email “fake”, i link e le pagine web create con l’utilizzo di loghi e colori verosimili, hanno variazioni spesso impercettibili all’occhio umano rispetto agli originali.

Ovvio, all’occhio umano non allenato o poco consapevole di ciò che può accadere sul web, proprio come dicevo poco fa.

Spear-phishing: in cosa differisce?

La prima differenza sostanziale che distingue un attacco di spear-phishing dal phishing è il bacino di destinatari presi di mira.

Qui non si tratta di inviare massivamente email “nel mucchio” perché, al contrario, le vittime vengono accuratamente scelte e prese di mira individualmente.

Come? Attraverso tecniche di social engineering ovvero studiando il profilo dell’utente e i suoi comportamenti (grazie a ricerche effettuate nel Web), cercando di cogliere collegamenti utili e capire di cosa si occupa, a quali progetti sta lavorando, chi sono i colleghi, gli amici e così via.

Uno degli schemi più usati è quello di compromettere la posta elettronica aziendale di un dipendente particolarmente “interessante”, un accountant per esempio, fingendo di essere il suo datore di lavoro.

Prendiamo il caso in cui l’hacker, dopo aver indagato sulle relazioni che intercorrono tra i dipendenti di un’azienda X, i fornitori, i progetti in corso ecc, riesca ad individuare il CEO, Giovanni, e uno degli accountant del dipartimento amministrativo, Luca.

A questo punto il cyber criminale creerà un finto account di posta elettronica (ma facilmente classificabile come attendibile) dal quale poter inviare una email a Luca fingendosi Giovanni in cui gli chiederà di versare un bonifico urgente sul conto (altrettanto falso) di un fornitore con il quale di solito Luca è in contatto.

Luca non riconosce la minaccia perché non è abbastanza informato sui pericoli del web e, in più, non ha elementi per pensare che si tratti di una richiesta fasulla perché:

  • riceve questa richiesta dal suo CEO, quindi già si fida;
  • conosce perfettamente il fornitore perché si tratta dell’agenzia alla quale l’azienda si rivolge di solito quando vengono organizzati eventi aziendali, quindi si fida;
  • guarda caso il dipartimento marketing sta organizzando l’evento aziendale di fine anno, quindi ancora una volta si fida.

Cosa succede a questo punto? Ovvio: Luca esegue il bonifico e l’hacker è pronto a incassare il suo bottino.

E così il gioco è fatto.

Se tutto questo ti sembra assurdo, credimi non lo è.

Questo scenario è più frequente di quanto immagini proprio perché, come nel caso di Luca e Giovanni, quando una richiesta urgente arriva direttamente dal CEO della propria azienda, rifiutare, o obiettare, non è di certo la prima reazione che nasce spontanea avere!

Stare sul pezzo è fondamentale…

Gli attacchi informatici rappresentano un grave rischio per le imprese ma fortunatamente a tutto (quasi) si può porre rimedio.

La sicurezza informatica nel mondo dell’Information Technology, si sa, non è impeccabile al 100% ma con l’evolversi delle tecniche di studio e implementazione delle tecnologie si può arrivare a risultati che si avvicinano molto alla perfezione.

Se i tuoi clienti utilizzano Microsoft 365 per la posta elettronica devi sapere che i tradizionali sistemi di sicurezza non bastanoper contrastare le minacce di cui ti ho parlato perché si basano sull’analisi delle firme ovvero delle minacce note.

Ciò che serve oggigiorno è l’intelligenza Artificiale e il Machine Learning, oltre che una costante formazione.

Ecco allora perché Vade Secure, la soluzione di sicurezza che si integra perfettamente con Microsoft 365, è ciò che fa al caso tuo.

Se vuoi sapere di più scarica gratuitamente il White Paper “email sicura per Microsoft 365”.

Tratto dal blog di Vade Secure

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.