Casi di phishing in aumento, capiamo quali sono i motivi
Il phishing è la tipologia di attacco informatico più comune al mondo: circa il 75% delle società in tutto il mondo hanno ricevuto almeno un’email di phishing nel corso del 2020. E se un attacco va a buon fine, i danni sono grossi: negli USA hanno stimato un costo medio di circa 4 milioni di dollari per le società che rimangono vittime.
D’altronde, per gli hacker e i malintenzionati è molto semplice effettuare degli attacchi di phishing: quasi tutti i casi di phishing avvengono via email (circa il 96%) e vengono inviate più di 3 miliardi di email di phishing ogni anno. Numeri che sfortunatamente sono destinati ad aumentare, visto che sempre più persone usano Internet per motivi personali e di lavoro (nel 2021 ci sono più di 4 miliardi di utenti su Internet).
In un mondo sempre più connesso e digitale, i rischi aumentano ogni giorno
Sappiamo bene quale sia lo scopo del phishing: sottrarre dati personali ai singoli individui oppure alle società o enti governativi. I motivi possono essere vari: rubare dati per utilizzarli per scopi illegali, rivenderli per guadagnare soldi oppure possono essere usati per chiedere un riscatto alla persona o società a cui vengono sottratti. Inoltre, tramite il phishing si può diventare vittima di ransomware, il tipo di malware più pericoloso che ci sia in circolazione.
Considerato che sempre più attività si svolgono online, esistono sempre più opportunità per i malintenzionati di creare email di phishing. Molti sono i nostri dati a rischio: usiamo servizi bancari e di pagamento, siti di e-commerce per gli acquisti, email e servizi di videochiamata per lavoro, social network e servizi di streaming (video, musica e gaming) per divertirci, giornali e riviste online per rimanere informati, e così via.
Ciò significa che riceviamo sempre più email da tutti questi servizi utilizzati e siamo quindi più esposti a potenziali truffe. Infatti, le email di phishing si spacciano per email ufficiali e inventano sempre nuovi motivi per costringere gli utenti ad aprirle e cliccare sui link al loro interno (o scaricare eventuali file allegati). Spesso cercano anche di creare un senso di urgenza, così da spingere chi legge ad aprirle subito.
Sempre più business online, sempre più potenziali obiettivi di phishing
Ma gli obiettivi delle email di phishing non sono solo singoli individui: spesso sono proprio le aziende a entrare nel mirino dei truffatori. Visto che sempre più attività si spostano online, significa che ci sono sempre più imprenditori che si approcciano per la prima volta al mondo digitale, e che quindi sono magari meno informati sui rischi della rete.
In casi del genere, i malintenzionati possono mandare email di phishing dove si spacciano come aziende fornitrici, clienti che vogliono fare grandi acquisti, oppure possono spacciarsi per enti governativi o anche rubare l’identità di uno dei dipendenti o dirigenti. Ma non sono solo le piccole aziende ad essere esposte, lo sono pure le grandi multinazionali. Infatti, le grosse aziende hanno migliaia e migliaia di dipendenti in tutto il mondo, e la totalità delle comunicazioni avviene spesso vai email.
Per i malintenzionati basta colpire un singolo dipendente, anche usando tecniche di ingegneria sociale per ottenerne la fiducia, e riuscire così poi a entrare nei server di tutta l’azienda. Le società sanno a quali pericoli sono esposte e quindi aumentano la spesa in cybersecurity, anche se in Italia siamo ancora molto indietro. La cosa migliore da fare in questi casi è fornire il giusto training ai propri dipendenti, tramite video corsi, webinar e anche simulazioni di attacchi phishing.
I social e le chat amplificano tutti i rischi
Quasi 4,5 miliardi di persone hanno un profilo sui social network e più della metà della popolazione usa i dispositivi mobile per accedere al web. Per esempio, solo in Italia ci sono 80 milioni di smartphone (su una popolazione di circa 60 milioni). E in media, ogni utilizzatore dei social passa circa 2 ore al giorno sui social. Ciò significa che tutte queste persone sono esposte al phishing che avviene sui social network.
Nelle varie chat dei social, ma anche sulle app, si potrebbero ricevere richieste di amicizia da contatti sconosciuti oppure si potrebbero ricevere dei link tramite una catena di Sant’Antonio. Essendo messaggi diretti, ci sono molte più probabilità che finiremo con il leggerli e magari anche cliccare con i link inviati. Inoltre, su telefono esiste pure il problema dello smishing, ovvero SMS di phishing che simulano le classiche notifiche di app e servizi online.
Di base poi, sui social teniamo sempre le difese più abbassate e non pensiamo di certo di rischiare di diventare vittima di phishing. Per tal motivo, per i malintenzionati è semplicissimo (e gratuito) creare dei profili fake sui social, tramite i quali mandare link e messaggi malevoli via chat o tramite la sezione dei commenti. La regola d’oro rimane sempre la stessa: mai accettare richieste di amicizia da contatti sconosciuti e mai cliccare su link inviate da persone che non conosciamo.
Photo by Leon Seibert on Unsplash