• Valerio Maria Murgolo

Phishing per andare a pesca!

Cosa conosci del Phishing?



Oggi la maggior parte delle comunicazioni passano dall’e-mail che in molti casi sono contenitori di informazioni sensibili che rivestono un particolare valore per l’individuo, l’organizzazione e la comunità.


Le e-mail sono diventate nel tempo il principale mezzo usato tra truffatori e criminali, che effettuano la maggior parte delle loro azioni fraudolente tramite la modalità di Phishing.

La parola Phishing deriva dall’unione delle parole PHreaking, con cui si sono indicate le prime truffe tecnologiche, e fISHING che vuol dire andare a pasca.


Quindi creare truffe tecnologiche lanciando un’esca, come nella pesca, per conquistare un premio grazie all’inganno.


I Phisher inviano una e-mail, un messaggio in chat, un messaggio sullo smartphone, e cos’ via, con un contenuto ingannevole e invitano il destinatario a compiere un’azione generando in lui la possibilità di avere un vantaggio o superare una situazione spiacevole.


La possibilità di successo del cyber attacco dipende dalla consapevolezza della vittima del possibile attacco e dalla sua capacità di individuare l’inganno.


La tecnica più comune d’attacco è massiva, quindi basata sulla probabilità dei numeri di raggiungere tante persone e trovare chi casca nella pesca.


Volendo raccontare un esempio reale, circa 4 mesi fa ho ricevuto un’e-mail dalla mia banca, il design era identico, che mi comunicava che il mio conto, come quello di altri, aveva ricevuto un attacco tecnologico e dovevo inviare i miei dati sensibili del conto come controllo a due passaggi per potervi accedere.

Ero in auto, ho letto frettolosamente, mi è salito uno stato d’ansia ed ero pronto a procede.

Ma una vocina mi ha detto: i dati sensibili non si inviano via e-mail e questo mi ha salvato.


Nel tempo e grazie all’utilizzo di altri canali, per esempio i social network, i criminali informatici hanno imparato a puntare le singole persone raccogliendo tutte le informazioni necessarie.


Per esempio tramite i social scoprono che sto per partire per un viaggio, a quel punto mi arriva una e-mail, simile a quelle dell’agenzia, con all’interno la richiesta di invio di carta di credito per confermare il viaggio pianificato. In questo caso il senso d’ansia è elevato, perché credibile, e la truffa è fatta.


Gli obiettivi di questi attacchi fraudolenti mirano alla sottrazione di informazioni, come dati sensibili e password, il controllo e compromissione dei dispositivi, per successivamente chiedere un riscatto, e la truffa vera e propria, quindi riuscire ad estorcere denaro.


Ma i danni possono espandersi, nel caso in cui clicchi su un link fraudolento, entra un malware, codice malevole, che infetta il pc, che magari è aziendale e collegato ad altri dell’organizzazione, e anche altri dispositivi aziendali vengono infettati.

Da poco tempo è nato un nuovo codice maligno, il Ransomware, che una volta installato nel computer cripta tutti i dati in esso contenuti, rendendoli inaccessibili senza una chiave di sblocco.

Il criminale propone alla vittima un riscatto per sbloccare il computer e riavere tutti i dati.


Esistono alcuni suggerimenti utili per poter evitare di inciampare nel Phishing:

  1. Controlla sempre l’indirizzo del mittente, solitamente sono strani e non conosciuti.

  2. Non farti prendere dall’urgenza, questi messaggi puntano a chiudere subito, ricorda che per comunicazioni urgenti un ente non scrive una e-mail ma si mette in contatto con te.

  3. Controlla gli errori ortografici, queste azioni solitamente arrivano dall’estero.

  4. Non comunicare mai dati sensibili via e-mail.

  5. Controlla i link allegati, basta passare con il mouse e verificare l’url.

  6. Verifica l’affidabilità di una e-mail, copia e incolla sul browser l’indirizzo del contatto, cancella tutto ciò che è precedente alla chiocciola (@) e invia, atterrerai su un sito che non conosci.

  7. SE HAI DUBBI NON CLICCARE, è l’unico modo che hanno per truffarti.

Oggi il phishing si sviluppa su altri canali come sms, chat-bot e social network, che hanno permesso di espandere la rete da utilizzare per la pesca.



Parliamo di numeri!

il report A Constant State of Flux: Trend Micro 2020 Annual Cybersecurity Report”, di Trend Micro Research sulle minacce informatiche che hanno colpito nel corso del 2020, ha riportato una situazione drammatica.


La pandemia ha contribuito ad aumentare gli attacchi informatici, con Phishing, malware, Ransomware, app malevoli, tramite Vpn aziendali e cloud, IoT e reti.


Nello specifico:


· I settori del pubblico, bancario, manifatturiero e sanitario hanno rappresentato quasi 90.000 casi di attacco.


· I Ransomware sono aumentati del 20%, con doppio premio, riattivazione del computer e del sistema e tutela della reputazione evitando la diffusione dei dati sensibili.


· Si sono sviluppati malware che si infilano nella catena di approvvigionamento entrando nella rete dall’esterno.


· Sono state rilevate più di 16 milioni di minacce correlate a Covid-19.


· Oltre il 60% degli attacchi relativi al Covid-19 ha avuto origine negli Stati Uniti, in Germania e in Francia.


· Il cloud e IoT sono diventati mezzi di diffusione di attacco.


· Ci sono stati 62.637.731.995 attacchi bloccati 2020


Valutando i dati italiani:


· L’Italia è il Paese più colpito in Europa, quinto al mondo, per attacchi malware, con 12.953 attacchi ricevuti.


· Nel 2020 l’Italia, preceduta dalla Germania, è il secondo Paese più colpito in Europa, con il 12,2% dei ransomware di tutto il continente.


· Le minacce arrivate via mail sono state 312.232.742.


· I malware di online banking intercettati sono stati 4.468.


In conclusione la consapevolezza è fondamentale per non cascare in queste truffe, quindi informati e formati, utilizza password differenti, salva i dati con sistemi cloud e fatti furbo.