8 tipi di attacchi di phishing che dovresti conoscere

Il phishing è ancora una delle più grandi minacce alla sicurezza informatica al mondo.

Infatti, secondo una ricerca della società di sicurezza informatica Barracuda , il phishing è diventato così dilagante che il numero di attacchi di phishing correlati al coronavirus è aumentato del 667% da gennaio a marzo di quest'anno. Ciò che è ancora più allarmante è che, secondo uno studio Intel, fino al 97% delle persone non è in grado di identificare un'e-mail di phishing.

Per evitare di diventare una vittima, devi conoscere i diversi modi in cui i phisher potrebbero tentare di attaccarti. Ecco otto diversi tipi di tentativi di phishing che potresti incontrare.

1. Phishing tramite posta elettronica

Questa è la tipica e-mail di phishing progettata per imitare un'azienda legittima. È il tipo di attacco meno sofisticato che utilizza il metodo "spruzza e prega".

Non prendono di mira una persona specifica e spesso inviano e-mail generiche a milioni di utenti sperando che alcune vittime ignare facciano clic sul collegamento, scarichino il file o seguano le istruzioni nell'e-mail.

Spesso non sono così personalizzati, quindi usano saluti generali come "Caro titolare del conto" o "Caro socio stimato". Spesso usano anche panico o paura con parole come "URGENTE" per indurre gli utenti a fare clic sul collegamento.

2. Spear phishing

Questo è un tipo di phishing più sofisticato e avanzato che prende di mira un gruppo specifico o anche individui specifici . Viene spesso utilizzato da hacker di alto profilo per infiltrarsi nelle organizzazioni.

I truffatori eseguono ricerche approfondite sulle persone, sul loro background o sulle persone con cui interagiscono abitualmente in modo da poter creare un messaggio più personale. E poiché i suoi utenti più personali spesso non sospettano che qualcosa non va.

Controlla sempre l'indirizzo e-mail e il formato della lettera rispetto a ciò che riceveresti normalmente da quel contatto. È anche meglio chiamare il mittente e verificare tutto prima di scaricare un file allegato o fare clic sui collegamenti, anche se sembra che provenga da qualcuno che conosci.

3. Caccia alle balene

Questo è un altro tipo di phishing sofisticato e avanzato, solo che si rivolge a un gruppo specifico di persone: dirigenti aziendali di alto profilo come manager o CEO.

A volte si rivolgevano direttamente al bersaglio nel saluto e il messaggio potrebbe essere sotto forma di un mandato di comparizione, un reclamo legale o qualcosa che richiede un'azione urgente per evitare bancarotta, licenziamento o spese legali.

Gli aggressori impiegherebbero molto tempo a fare ricerche approfondite sulla persona e creare un messaggio specializzato per prendere di mira le persone chiave di un'organizzazione che normalmente avrebbero accesso a fondi o informazioni sensibili.

All'obiettivo verranno inviati collegamenti a una pagina di accesso convincente in cui i codici di accesso o le informazioni di accesso verranno raccolti dagli hacker. Alcuni criminali informatici chiedono anche alle vittime di scaricare un allegato per visualizzare presumibilmente il resto della citazione o della lettera. Questi allegati sono dotati di malware che può accedere al computer.

4. Vishing target di vishing o phishing vocale

Il vishing o phishing vocale è un tipo di phishing, ma invece di inviare un'e-mail, gli aggressori cercheranno di ottenere informazioni di accesso o dettagli bancari per telefono.

Gli aggressori impersoneranno il personale di un'organizzazione o il personale di supporto di una società di servizi, quindi giocheranno sulle emozioni per chiedere alle vittime di consegnare i dettagli della banca o della carta di credito.

Il messaggio a volte potrebbe riguardare un importo scaduto come tasse, vincite in un concorso o provenire da un falso personale di supporto tecnico che richiede l'accesso remoto a un computer. Potrebbero anche utilizzare un messaggio preregistrato e lo spoofing del numero di telefono, facendo sembrare una chiamata all'estero come se fosse locale. Questo viene fatto per dare credibilità all'attacco e far credere alle vittime che la chiamata sia legittima.

Gli esperti consigliano alle persone di non fornire mai informazioni sensibili come dettagli di accesso, numeri di previdenza sociale o dati bancari e della carta di credito per telefono. Riaggancia e chiama immediatamente la tua banca o il tuo fornitore di servizi.

5. Smishing

Lo smishing è qualsiasi forma di phishing che prevede l'uso di messaggi di testo o SMS. I phisher cercheranno di indurti a fare clic su un link inviato tramite testo che ti porterà a un sito falso. Ti verrà chiesto di inserire informazioni sensibili come i dettagli della tua carta di credito. Gli hacker raccoglieranno quindi queste informazioni dal sito.

A volte ti dicono che hai vinto un premio o che se non inserisci le tue informazioni continuerai a essere addebitato ogni ora per un particolare servizio. Come regola generale, dovresti evitare di rispondere a messaggi di numeri che non riconosci. Inoltre, evita di fare clic sui link che ricevi dai messaggi di testo, soprattutto se non conosci la fonte.

6. Angler Phishing

Questa tattica di phishing relativamente nuova utilizza i social media per indurre le persone a condividere informazioni sensibili. I truffatori monitorano le persone che pubblicano informazioni bancarie e altri servizi sui social media. Quindi fingono di essere un rappresentante del servizio clienti di quella società.

Supponiamo che pubblichi uno sfogo su un deposito ritardato o su qualche cattivo servizio bancario e il messaggio includa il nome della tua banca. Un criminale informatico utilizzerà queste informazioni per fingere che provengano dalla banca e quindi contattarti.

Correlati: 7 siti rapidi che consentono di verificare se un collegamento è sicuro

Ti verrà quindi chiesto di fare clic su un collegamento in modo da poter parlare con un rappresentante del servizio clienti e quindi ti chiederanno informazioni per "verificare la tua identità".

Quando ricevi un messaggio come questo, è sempre meglio contattare il servizio clienti attraverso canali sicuri come le pagine ufficiali di Twitter o Instagram. Questi normalmente avrebbero un segno di account verificato.

7. Phishing fraudolento del CEO

Questo è quasi come la caccia alle balene. Si rivolge ad amministratori delegati e manager, ma diventa ancora più insidioso poiché l'obiettivo non è solo quello di ottenere informazioni dal CEO, ma di impersonarlo. L'aggressore, fingendo di essere il CEO o simile, invierà quindi un'e-mail ai colleghi chiedendo denaro tramite bonifico bancario o chiedendo di inviare immediatamente informazioni riservate.

L'attacco è normalmente rivolto a qualcuno all'interno dell'azienda che è autorizzato a effettuare bonifici bancari, come i titolari del budget, le persone del dipartimento finanziario o coloro che sono a conoscenza di informazioni sensibili. Il messaggio è spesso pensato per suonare molto urgente, quindi la vittima non avrà tempo per pensare.

8. Phishing da motore di ricerca il phishing sui motori di ricerca utilizza tecniche SEO

Questo è uno dei più recenti tipi di attacchi di phishing che utilizza motori di ricerca legittimi. I phisher creeranno un sito Web fasullo che offre offerte, articoli gratuiti e sconti sui prodotti e persino offerte di lavoro false. Utilizzeranno quindi tecniche SEO (ottimizzazione dei motori di ricerca) per indicizzare i loro siti da siti legittimi.

Quindi, quando cerchi qualcosa, il motore di ricerca ti mostrerà i risultati che includono questi siti falsi. Sarai quindi indotto ad accedere o fornire informazioni sensibili che vengono poi raccolte dai criminali informatici.

Alcuni di questi phisher stanno diventando esperti nell'utilizzo di tecniche avanzate per manipolare i motori di ricerca per indirizzare il traffico verso i loro siti web.

Rimani informato e sii vigile

Conoscere i nomi di ogni tipo non è tanto importante quanto comprendere MO, modalità e canale di ogni attacco. Non devi confonderti con come vengono tutti chiamati, ma è importante sapere come sono creati i loro messaggi e quali canali usano gli aggressori per arrivare a te.

È anche importante rimanere sempre vigili e sapere che ci sono così tante persone là fuori che cercano di indurti a fornire i tuoi dettagli. Comprendi che la tua azienda potrebbe diventare il bersaglio di un attacco e che i criminali stanno cercando un modo per entrare nella tua organizzazione.

Conoscere l'esistenza di tali minacce è il primo passo per impedire al computer di diventare il punto di accesso di un aggressore. È anche molto importante ricontrollare l'origine del messaggio prima di agire.

Devi anche capire che gli aggressori a volte usano la paura e il panico delle persone per indurre gli utenti a fare ciò che vogliono. Quindi di fronte a una minaccia è importante calmarsi in modo da poter pensare. E quando si tratta di individuare promozioni e truffe gratuite, vale ancora il vecchio adagio: se qualcosa sembra troppo bello per essere vero, probabilmente lo è.