Phishing: i rischi non vengono solo dalle email e iOS è il sistema più colpito

In queste pagine parliamo spesso di sicurezza informatica, ma accanto a malware, ransomware e tutti gli altri virus che fanno scalpore, c'è un tipo di attacco che non smetterà mai di girare: il phishing.

Come spiega Wikipedia:

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale

Insomma, chi utilizza questo genere di attacchi punta a violare la parte più debole del sistema, ossia l'utente che non sempre riesce a riconoscere link legittimi da truffe.

L'esempio più tipico di phishing è la cosiddetta truffa alla nigeriana, ma dalle vecchie email in cui si chiedevano dei soldi per sbloccare un conto in banca africano ne è passato di tempo.

Per spiegare l'attuale situazione del phishing, la società di sicurezza Wandera ha pubblicato un'interessante infografica che illustra la situazione attuale delle truffe informatiche, con un'attenzione particolare a quelle che avvengono tramite smartphone.

Secondo quanto riportato, infatti attualmente l'81% dei tentativi di phising avviene al di fuori delle email. Molti tentativi di truffa avvengono infatti tramite app e, in particolare, il 26% di questi, tramite giochi. Interessante precisare anche che il 63% degli attacchi è orientato a dispositivi iOS.

Secondo quanto riportato da Wandera, gli attacchi di phishing non colpiscono solo i privati: ben l'85% delle società ha sofferto di tentativi di frode, anche se non sempre ne sono stati al corrente.

Per dare un'idea della mole di dati coinvolti, solo nel 2016 sono stati pubblicati online 930 milioni di credenziali, un aumento del 280% rispetto al 2015.

Tra gli utenti che cascano alle truffe del phishing, il 24% ha cliccato ad un finto link per i social network (e oltre la metà ha poi condiviso le credenziali), mentre il 19% si è fatto tentare da finte offerte sconto.

Wandera spiega poi il perché i truffatori puntano sul mobile: per prima cosa, spesso su mobile l'indirizzo URL è troncato a causa delle dimensioni limitate dello schermo, rendendo più difficile accorgersi se si tratta di un link affidabile o meno.

Inoltre, lo smartphone si utilizza spesso in mobilità e, per questo motivo, si presta meno attenzione a dove si clicca. Infine, sembra che la maggior parte degli utenti ritengano (a torto) che i dispositivi mobili siano un ambiente più sicuro, dove nulla di male può succedere, a differenza dei PC.

Infine, il report illustra i diversi tipi di phishing, che andiamo a riassumere di seguito:

• Frode finanziaria: una truffa in cui l'utente viene invitato a controllare un presunto pagamento sospetto. L'attacco propone una schermata simile a quella della banca (o di PayPal) in cui l'utente viene ingannato a inserire i propri dati;
• Aggiornamento del servizio: in maniera simile al precedente, l'utente viene invitato a inserire le proprie credenziali per scoprire le novità di un servizio a cui è iscritto (Dropbox, Gmail...);
• Offerta promozionale: una finta offerta promozionale invita l'utente ad iscriversi ad un servizio per ricevere un coupon omaggio, inserendo mail e password. La tattica è più efficiente di quanto non si pensi: non solo si ottiene l'indirizzo email, ma spesso anche la password, considerando che (purtroppo) molte persone utilizzano la stessa password per tutto;
• Spear phishing: si tratta di un attacco molto più mirato dei precedenti, frutto di uno studio da parte dei truffatori, che contattano l'utente rivolgendosi a lui personalmente e spacciandosi per il capo dell'azienda per cui lavora (o simili) cercando di estorcere informazioni
• Whaling: molto simile al precedente, ma rivolto ad un "pesce grosso" (un dirigente d'azienda, ad esempio), al quale il truffatore cerca di estorcere informazioni spacciandosi per un collega.