Spear phishing: cos’è e come difendersi

Scopriamo cos’è lo spear phishing e come utilizza il social engineering per colpire le vittime

Lo spear phishing è un tipo di phishing mirato che ha come bersaglio una sola persona. In questo si differenzia dallo spray phishing, un attacco di massa che cerca di coinvolgere quante più vittime possibile. In questo post vedremo esattamente cos’è lo spear phishing, come si differenzia dalle altre tipologie simili e, in base a queste differenze, come possiamo proteggerci.

Come abbiamo visto nel nostro articolo sul phishing, la categoria generale comprende tutti i cyberattacchi che cercano di ingannare la vittima per rubarle dati personali o denaro. La maggior parte degli attacchi di phishing utilizza le email, perché sono il mezzo di cui ci fidiamo di più e con cui siamo più propensi ad abbassare la guardia.

Di solito, gli attacchi di spray phishing si basano sull’invio di un’email a un lungo elenco di destinatari, i cui indirizzi vengono comprati in blocco nel Deep Internet. L’email sembra provenire da un’azienda o un’organizzazione conosciuta dalle vittime, ad esempio da una banca, e contiene un messaggio urgente che incita il destinatario a seguire le indicazioni fornite. Generalmente, alla vittima viene chiesto di fare clic su un link che indirizza a un sito web falso, costruito in modo da assomigliare a quello della azienda legittima. Quando l’utente inserisce le proprie credenziali per fare il log in, queste vengono registrate dall’hacker. In alternativa, un altro tipo di messaggi di phishing cerca di convincere il destinatario a scaricare o aprire un file allegato che nasconde un malware. Il virus si installa sul computer e registra i dati personali (sniffing) per poi comunicarli al sistema dell’hacker attraverso la connessione a Internet.

Per essere efficace, questo tipo di attacchi fa affidamento sul numero di potenziali vittime a cui vengono inviati i messaggi e non sulla qualità del messaggio e della truffa. Quando invece l’hacker prende di mira una sola persona, la truffa è più difficile da riconoscere, l’attacco diventa più pericoloso e prende il nome di spear phishing, dall’inglese spear, che significa lancia o trafiggere.

Traduzione e definizione di spear phishing e whale phishing

Bisogna ammettere che la cultura anglosassone ha un talento particolare per coniare nomi caratteristici e utilizzare le metafore. In questo caso ha preso in prestito alcune parole dal mondo della pesca (in inglese phishing si legge come fishing, che significa appunto pescare, andare a pesca), dal regno animale (whale significa balena) e da quello marziale (come abbiamo visto, spear significa lancia).

Lo spear phishing è un tipo di phishing mirato, che ha come obiettivo una sola persona o un’organizzazione. In questo caso, l’hacker utilizza tecniche e strumenti più precisi. Se la persona presa di mira ricopre una posizione importante all’interno di un’azienda o è un personaggio famoso, l’attacco diventa una sorta di caccia al pesce grosso (la balena) e prende il nome di whale phishing.

Differenze importanti tra phishing e spear phishing

La differenza principale tra la categoria generale e quella particolare è che quest’ultima è molto più precisa e studiata. Vediamo esattamente cosa contraddistingue un attacco di spear phishing:

• L’hacker raccoglie informazioni sulla vittima con tecniche di ingegneria sociale e spesso la conosce personalmente. Molte volte, in un caso di spear phishing il criminale è una persona vicina alla vittima o un dipendente della stessa azienda (o un ex dipendente).
• L’attacco è personalizzato: è progettato su misura per la vittima in base alle informazioni raccolte e non può funzionare con altri bersagli.
• I messaggi ingannevoli sono più precisi e convincenti. A differenza dello spray phishing, i messaggi di spear phishing non contengono errori, i particolari dell’email e dell’eventuale sito falso sono molto curati ed è più difficile riconoscere la truffa.
• L’attacco viene scagliato in un momento propizio e approfittando dei punti deboli della vittima, ad esempio l’hacker potrebbe spacciarsi per un collega della vittima nel momento in cui questa persona è in vacanza o non può essere contattata per altri motivi.
• L’attacco fa leva su meccanismi psicologici studiati dal social engineering, ad esempio sulla paura e sull’urgenza, che in un contesto aziendale di alto livello sono molto efficaci.

Obiettivo dello spear phishing

In linea di massima, ci sono due tipi di persone che ricorrono allo spear phishing, cyberladri e attivisti. I primi cercano di impossessarsi dei dati personali della vittima per accedere ai suoi account e rubarle denaro o chiedere un riscatto con un attacco ransomware. La seconda categoria è più interessata a creare problemi, intralciare le normali attività della vittima o magari screditarla pubblicamente. Questo è il caso di attacchi mirati a personaggi pubblici o celebrità dei social media. Non dimentichiamo che per molte di queste persone, gli account di Instagram o YouTube sono la loro azienda: prova a immaginare cosa può succedere a un youtuber famoso se all’improvviso un hacker viola il suo account ed elimina tutti i video che ha caricato.

Come proteggersi dallo spear phishing

Valgono le stesse regole e il buon senso applicabili al phishing in generale: il punto debole è l’essere umano. Un’email di spear phishing è assolutamente innocua finché la vittima non fa clic sul link o sull’allegato del messaggio. Il problema, in questo caso, è che le truffe di spear phishing sono ben congeniate e potrebbero non insospettire minimamente la vittima. Ecco alcuni consigli pratici per proteggersi dallo spear phishing:

1. 1. Creare protocolli di sicurezza in azienda e farli rispettare.
   2. Creare canali di comunicazione interna sicuri e limitarsi a essi.
   3. Fare moltissima attenzione ai messaggi urgenti.
   4. Verificare sempre la legittimità di mittenti, siti e così via.
   5. Utilizzare una password diversa per ogni account online, MAI la stessa password per account aziendali e personali. È importantissimo perché consente di limitare i danni: se l’hacker riesce a rubare le credenziali di un account, proverà a utilizzarle anche su altri siti. Tutt’oggi sono molte le persone che utilizzano gli stessi dati di accesso per più servizi web, come la Intranet aziendale, il proprio profilo Facebook e l’app di e-banking (sbagliatissimo!). Leggi il nostro post su come creare password efficaci.
   6. Mantenere aggiornato il software di cybersicurezza, che protegge il computer da eventuali virus scaricati per sbaglio dalle email di spear phishing.
   7. Utilizzare l’autenticazione a due fattori in tutti gli account online per cui è disponibile. Secondo Google, la verifica in due passaggi blocca il 66% degli attacchi di spear phishing.

In conclusione, nonostante il phishing e lo spear phishing siano un problema serio, non dobbiamo farci prendere dal panico, anzi, l’importante è proprio restare calmi e tenere sempre gli occhi ben aperti. In questo modo sarà il nostro stesso intuito a dirci quando un messaggio ha qualcosa che non va e potremo riconoscere e sventare un attacco di spear phishing ancora prima che inizi.