Il phishing è una frode informatica che attraverso l'invio di e-mail contraffatte mira all'acquisizione, per scopi illegali, di dati riservati, ad esempio le informazioni di accesso della banca online della vittima. La crescente consapevolezza degli utenti ha reso via via sempre più difficile la vita ai phisher, i quali dopo un po' di notti insonni hanno escogitato un sistema di truffe più sofisticato: truffe indirizzate non più ad una moltitudine di utenti, ma a piccoli gruppi, dove è più semplice ottenere la fiducia di poche persone per il tempo strettamente necessario a ottenere le loro informazioni.
Questa nuova forma di truffa informatica si chiama: spear phishing (letteralmente, "pesca con la fiocina" o "phishing con la fiocina"). Con messaggi di posta elettronica falsificati apparentemente attendibili l'aggressore mira a indurre tutti gli appartenenti a una determinata organizzazione a rivelare i propri dati di accesso ai sistemi aziendali. Per far abboccare (in tutti i sensi) la vittima, la lettera contiene informazioni riguardanti l'azienda stessa e magari come mittente figura l'esatto nome di un dirigente. Caduti all'amo i destinatari apriranno la e-mail, permettendo al phisher di carpire informazioni preziose sul computer di quella persona.
Quando una delle vittime delle organizzazioni prese di mira viene "trafitta dalla fiocina", l'aggressore installa sui computer compromessi delle backdoor per ottenere accesso al computer o alla rete e carpire informazioni riservate. Oppure può installare dei keylogger per rubare nomi utente e password. O addirittura installare virus che inviino tutti i file di un particolare tipo ai quali il computer della vittima ha accesso.
Lo spear phishing è molto più difficile da ostacolare rispetto al phishing generico per due motivi:
- essendo gli attacchi diretti a piccoli gruppi, è più difficile per i responsabili della sicurezza venirne a conoscenza e adottare la relativa protezione o fornire gli opportuni avvisi;
- gli attacchi hanno come bersaglio il personale di un’organizzazione specifica, quindi le tecniche di social engineering sono molto personalizzate, specifiche per i dipendenti di tale organizzazione.
A differenza del phishing tradizionale, nello spear phishing i messaggi sembrano provenire da un dipendente della stessa azienda.
Un trucco piuttosto diffuso è quello di spacciarsi per il datore di lavoro o per un collega di un ufficio che ha motivo e titolo di chiedere informazioni personali come account e passoword, ad esempio il responsabile della rete informatica.
A differenza del phishing tradizionale dove i messaggi iniziano con un impersonale "caro correntista" e simili, i messaggi di spear phishing indicano nome, cognome e altri dati personali dei loro bersagli. Quanti di voi sentirebbero motivo di dubitare nel ricevere sulla propria rete aziendale un'email in cui un collega dell'ufficio del personale o delle rete informativa locale o della segreteria del dirigente chiede vostre informazioni personali dimostrando di sapere già tutte queste informazioni?
Una volta convinti i dipendenti della veridicità della email e che essa proviene effettivamente da un collega, per il phisher è un gioco penetrare nella rete.
Ecco 5 suggerimenti targati Microsoft per evitare le frodi attuate tramite spear phishing
Per saperne di più collegatevi a:
http://www.microsoft.com/italy/athome/security/email/spear_phishing.mspx
1.
Non rivelare informazioni personali o finanziarie in risposta a richieste formulate in messaggi di posta elettronica, indipendentemente dal mittente.
2.
Se si riceve un messaggio di posta elettronica sospetto, contattare la persona o l'organizzazione riportata nel campo Da prima di rispondere o aprire i file allegati.
3.
Non selezionare mai i collegamenti di un messaggio di posta elettronica che richiede informazioni personali o finanziarie, ma inserisci manualmente l'indirizzo del sito Web nella finestra del browser.
4.
Segnalare qualsiasi messaggio di posta elettronica che si ritiene possa essere un messaggio di spear phishing alla propria società.
5.
Utilizzare un filtro anti-phishing, per eseguire scansioni e identificare i siti Web sospetti, oltre che per ottenere aggiornamenti continui sugli ultimi siti di phishing noti. Internet Explorer 7 e successivi e Firefox 3 e successivi contengono un filtro anti-phishing integrato
Questa nuova forma di truffa informatica si chiama: spear phishing (letteralmente, "pesca con la fiocina" o "phishing con la fiocina"). Con messaggi di posta elettronica falsificati apparentemente attendibili l'aggressore mira a indurre tutti gli appartenenti a una determinata organizzazione a rivelare i propri dati di accesso ai sistemi aziendali. Per far abboccare (in tutti i sensi) la vittima, la lettera contiene informazioni riguardanti l'azienda stessa e magari come mittente figura l'esatto nome di un dirigente. Caduti all'amo i destinatari apriranno la e-mail, permettendo al phisher di carpire informazioni preziose sul computer di quella persona.
Quando una delle vittime delle organizzazioni prese di mira viene "trafitta dalla fiocina", l'aggressore installa sui computer compromessi delle backdoor per ottenere accesso al computer o alla rete e carpire informazioni riservate. Oppure può installare dei keylogger per rubare nomi utente e password. O addirittura installare virus che inviino tutti i file di un particolare tipo ai quali il computer della vittima ha accesso.
Lo spear phishing è molto più difficile da ostacolare rispetto al phishing generico per due motivi:
- essendo gli attacchi diretti a piccoli gruppi, è più difficile per i responsabili della sicurezza venirne a conoscenza e adottare la relativa protezione o fornire gli opportuni avvisi;
- gli attacchi hanno come bersaglio il personale di un’organizzazione specifica, quindi le tecniche di social engineering sono molto personalizzate, specifiche per i dipendenti di tale organizzazione.
A differenza del phishing tradizionale, nello spear phishing i messaggi sembrano provenire da un dipendente della stessa azienda.
Un trucco piuttosto diffuso è quello di spacciarsi per il datore di lavoro o per un collega di un ufficio che ha motivo e titolo di chiedere informazioni personali come account e passoword, ad esempio il responsabile della rete informatica.
A differenza del phishing tradizionale dove i messaggi iniziano con un impersonale "caro correntista" e simili, i messaggi di spear phishing indicano nome, cognome e altri dati personali dei loro bersagli. Quanti di voi sentirebbero motivo di dubitare nel ricevere sulla propria rete aziendale un'email in cui un collega dell'ufficio del personale o delle rete informativa locale o della segreteria del dirigente chiede vostre informazioni personali dimostrando di sapere già tutte queste informazioni?
Una volta convinti i dipendenti della veridicità della email e che essa proviene effettivamente da un collega, per il phisher è un gioco penetrare nella rete.
Ecco 5 suggerimenti targati Microsoft per evitare le frodi attuate tramite spear phishing
Per saperne di più collegatevi a:
http://www.microsoft.com/italy/athome/security/email/spear_phishing.mspx
1.
Non rivelare informazioni personali o finanziarie in risposta a richieste formulate in messaggi di posta elettronica, indipendentemente dal mittente.
2.
Se si riceve un messaggio di posta elettronica sospetto, contattare la persona o l'organizzazione riportata nel campo Da prima di rispondere o aprire i file allegati.
3.
Non selezionare mai i collegamenti di un messaggio di posta elettronica che richiede informazioni personali o finanziarie, ma inserisci manualmente l'indirizzo del sito Web nella finestra del browser.
4.
Segnalare qualsiasi messaggio di posta elettronica che si ritiene possa essere un messaggio di spear phishing alla propria società.
5.
Utilizzare un filtro anti-phishing, per eseguire scansioni e identificare i siti Web sospetti, oltre che per ottenere aggiornamenti continui sugli ultimi siti di phishing noti. Internet Explorer 7 e successivi e Firefox 3 e successivi contengono un filtro anti-phishing integrato
